Loi « Informatique et Libertés » et RGPD : ce qui change pour l’outre-mer
Depuis le 1er juin 2019, tous les territoires d’outre-mer sont soumis au même régime juridique que le territoire métropolitain.
Depuis le 20 juin 2018, le règlement général sur la protection des données (RGPD) et la loi « Informatique et Libertés » s’appliquaient de manière différenciée entre les différentes collectivités territoriales d’outre-mer. Depuis l’entrée en vigueur, le 1er juin 2019, de la nouvelle rédaction de la loi « Informatique et Libertés », ce décalage est résorbé : ces collectivités et le territoire métropolitain sont dorénavant soumis au même régime juridique.
Depuis le 1er juin 2019, les traitements mis en œuvre dans l’ensemble des pays et territoires d’outre-mer et au sein du territoire métropolitain sont soumis aux mêmes règles en matière de protection des données :
- la loi « Informatique et Libertés » et son décret d’application s’appliquent intégralement dans tous ces territoires ;
- le RGPD, qui n’est pas directement applicable en droit à certains territoires d’outre-mer, s’applique également à l’égard de tous les organismes établis en France dès lors que les dispositions de la loi « Informatique et Libertés » y renvoient expressément.
Le cadre juridique comprend néanmoins quelques spécificités pour certains pays et territoires d’outre-mer, mentionnées aux titres V (Dispositions relatives à l'outre-mer) de la loi et du décret d’application.
Quelles sont les conséquences ?
- en ce qui concerne les formalités préalables :
Les organismes publics et privés qui mettent en œuvre des traitements de données personnelles et qui sont établis à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, ne sont plus soumis à l’obligation d’accomplir les formalités préalables auprès de la CNIL anciennement prévues par la loi « Informatique et Libertés ».
Tout comme pour les organismes établis dans d’autres territoires, seules certaines formalités du secteur santé et certaines demandes d'avis perdurent.
- en ce qui concerne la réalisation des analyses d’impact :
Dans un souci d’égalité avec le territoire métropolitain et les départements et régions d’outre-mer, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements mis en œuvre par des organismes établis à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 1er juin 2019 (récépissé, autorisation, avis de la CNIL), ou qui ont été consignés dans le registre des traitements prévu par la loi ou le RPGD. De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact.
Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée par de tels organismes dans un délai raisonnable, qui peut être estimé à 3 ans à compter du 1er juin 2019.
En revanche, l’analyse d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas suivants de traitements susceptibles de présenter un risque élevé :
- pour les traitements antérieurs au 1er juin 2019 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
- pour les traitements, antérieurs au 1er juin 2019 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
- pour tout nouveau traitement après le 1er juin 2019.
En tout état de cause, la réalisation d’une étude d’impact constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité au RGPD. Pour plus d’informations sur les AIPD, et notamment sur les cas dans lesquels une analyse d’impact sera obligatoire.