Pas de repos pour les données personnelles : publication du décret d’application de la loi du 20 juin 2018 relatif à la protection des données personnelles (eu)
Europe > Droit privé > Droit européen > Protection des données personnelles
Staub et associés, Cabinet Parisien
Août 2018
Le 1er août 2018, a été adopté le décret n° 2018-687 [1] en application de la loi n° 78-17 du 6 janvier 1978 [2] relative à l’informatique, aux fichiers et aux libertés (« LIL »), modifiée par la loi n° 2018-493 du 20 juin 2018 [3] relative à la protection des données personnelles.
Ce décret abroge, modifie et complète plusieurs dispositions des décrets du 20 octobre 2005 [4] pris en application de loi informatique et liberté modifiée par la Loi pour la Confiance dans l’Économie Numérique ainsi que des dispositions du décret du 28 décembre 2016 [5] portant simplification des formalités préalables relatives à des traitements à finalité statistique ou de recherche.
Il modifie également différents codes, dont le code pénal et le code de procédure pénale, afin de mettre ces textes en conformité avec le Règlement Général sur la Protection des Données (« RGPD »).
Plusieurs articles visent à adapter le décret de 2005 à l’essor du numérique et à en faciliter l’utilisation par les personnes concernées, les responsables de traitement et sous-traitants, mais aussi par la CNIL elle-même.
L’article 7 du décret crée de nouveaux articles au sein du décret de 2005, dont l’article 6-2 relatif à l’exercice par la CNIL de sa mission de contrôle du respect de la législation en vigueur.
L’article 11.I.2.c de la LIL reconnaît à la CNIL le pouvoir de « [recevoir] les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel (…) ».
Depuis le 1er août, la CNIL peut fournir un formulaire électronique pour procéder à ces réclamations, pétitions et plaintes.
Il est précisé qu’en l’absence de réponse de la CNIL à une réclamation dans un délai de 3 mois, le silence vaut décision de rejet de celle-ci.
L’article 9 du décret vient matériellement limiter les demandes des responsables de traitement.
Désormais, l’article 8 du décret du 20 octobre 2005 impose aux responsables de traitement d’adresser leurs déclarations, demandes d’avis, consultations et demandes d’autorisation par voie électronique.
Cela ne devrait pas fondamentalement changer les pratiques récentes en la matière.
Toutefois, le registre de traitement pouvant être réalisé « sous forme écrite y compris la forme électronique » (article 30.3 du RGPD), il conviendra d’anticiper une éventuelle saisie informatique du registre réalisé sur papier.
En effet, on peut supposer que cette obligation d’adresser à la CNIL les demandes par voie électronique s’applique également aux pièces annexes nécessaires à la constitution de ces demandes.
Or, le registre des traitements constitue un élément déterminant des dossiers de déclarations, consultations et autres demandes.
Dès lors, on peut se demander dans quelles hypothèses le registre sera tenu dans un format papier.
L’article 20 crée le nouvel article 65-1 du décret de 2005 afin de préciser les conditions dans lesquelles les agents de la CNIL peuvent réaliser des contrôles des services de communication au public en ligne.
Cette possibilité, ouverte par la loi du 20 juin 2018, renvoyait vers un décret d’application pour en préciser les modalités d’exécution. C’est désormais chose faite.
En cas de contrôle en ligne, les agents de la CNIL doivent dresser un procès-verbal qui contient :
- Les opérations en ligne réalisées ;
- Les modalités de consultation et d’utilisation des services en cause (notamment si une identité d’emprunt est utilisée par l’agent) ;
- Les réponses obtenues et leurs constatations ;
- Tout élément ou information pertinent du site.
Ce procès-verbal doit être communiqué au responsable de traitement ou au sous-traitant afin de respecter le principe du contradictoire.
D’autres précisions sont apportées par ce nouveau décret, par exemple sur l’exercice de leurs droits par les personnes concernées.
On peut notamment relever les précisions de l’article 23 du décret du 1er août 2018 qui crée un nouvel article 92 au sein du décret du 20 octobre 2005 relatif aux doutes quant à l’identité de la personne qui présente une demande, et aux modalités de résoudre ces doutes.
Les articles 13 et 14 du RGPD prévoient que dans de nombreux cas, il est indispensable d’indiquer à la personne concernée un moyen de contacter le représentant du responsable de traitement.
Ce nouvel article 92 anticipe le cas dans lequel la personne concernée n’aurait pas été informée, ou insuffisamment informée, et prévoit donc une règle de principe : à défaut de connaître le délégué à la protection des données ou le représentant du responsable ou du sous-traitant, la demande doit être adressée au siège de la personne morale, de l’autorité publique, du service ou de l’organisme dont le traitement relève.
À charge pour cette personne ou organisme de transférer la demande à la personne responsable.
Rappelons que le délai de réponse de un mois cours « à compter de la demande » (article 40 de la LIL).
Après l’expiration de ce délai, la personne concernée pourra saisir la CNIL.
À défaut de précisions sur ce point, il est plus prudent de prendre en compte la date de réception par le siège, et non la date de réception par l’entité ou la personne responsable du traitement suite à un transfert du courrier.
Le décret vient également achever, avec près de trois mois de retard, la transposition de la directive 2016/680 du 27 avril 2016 [6], relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Ainsi, l’article 26 précise la liste limitative des personnes morales autorisées à effectuer des traitements sur des données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, tel que précisé par l’article 9, 1° de la LIL.
L’article 25 crée les articles 110 à 110-7 dans le décret de 2005.
Peuvent ainsi réaliser ces traitements :
- Les associations d’aide aux victimes conventionnées par le ministère de la justice ;
- Les associations d’aide à la réinsertion des personnes placées sous-main de justice, dans le respect de leur objet social ;
- Les établissements et services mentionnés aux 2° du I de l’article L. 312-1 du code de l’action sociale et des familles au titre de leur mission d’accompagnement médico-social ;
- Les établissements et services mentionnés aux 4° et 14° du I de l’article L. 312-1 du code de l’action sociale et des familles ;
- Les lieux de vie et d’accueil mentionnés au III de l’article L. 312-1 du code de l’action sociale et des familles ;
- Les établissements médicaux ou médico-pédagogiques habilités ;
- Les institutions ou les établissements publics ou privés, d’éducation ou de formation professionnelle, habilités et les internats appropriés aux mineurs délinquants d’âge scolaire ;
- Les personnes morales de droit privé exerçant une mission de service public ou les associations habilitées ;
- Les mandataires judiciaires à la protection des majeurs.
En outre, par dérogation à l’article 12.3 du RGPD, l’article 110-5du décret un prévoit un délai de réponse dérogatoire de deux mois pour les demandes adressée au responsable d’un traitement effectué à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Fort de ses 19 pages, le décret du 1er août 2018 vient achever cette période de transition commencée en 2016 avec l’adoption de la directive et du règlement européen.
Il ne reste désormais plus qu’à se réapproprier le décret de 2005 dans sa nouvelle version et d’en chercher toutes les subtiles modifications.