Le règlement général sur la protection des données, appelé communément par son acronyme RGPD, a été adopté le 14 avril 2016 par le Parlement Européen, et est en application directe en France depuis le 25 mai 2018.
Il est le texte de référence européen, et donc national, sur la question du traitement de données personnelles. Les textes nationaux concernant les mêmes sujets ne peuvent que confirmer ses dispositions, exceptées sur les 57 marges de manœuvre laissées aux Etats membres (par exemple sur les données de santé, d’infraction, sur la mort numérique, etc.).
La loi Informatique et libertés (LIL) de 1978 reste pleinement applicable pour tous les fichiers de la sphère pénale ou concernant le domaine du renseignement et de la sûreté de l’Etat. La loi sur les données personnelles du 20 juin 2018, ayant modifié la LIL, traite à elle seule de la protection des données relatives au statut de militaire ou de la réparation du préjudice maintenant possible via l’action de groupe.
Le règlement s’applique aux traitements professionnels de données à caractère personnel, contenues dans un fichier.
Il concerne tout responsable du traitement ou tout sous-traitant dont le siège social est installé sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. Il s’applique également aux traitements des données à caractère personnel relatives à des personnes physiques qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union (application extraterritoriale), lorsque ses activités sont liées à l’offre de biens ou de services dans l’Union ou au suivi du comportement de personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Rappel chronologique
- 4 mai 2016 : publication du règlement au JO de l’Union Européenne.
- 13 décembre 2017 : le gouvernement présente en conseil des ministres le projet de loi adaptant la loi informatique et libertés au RGPD. La CNIL (Commission Nationale de l’Informatique et des Libertés) attire l’attention sur le risque important de manque de lisibilité des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications à minima nécessaires à la mise en œuvre du règlement.
- 13 février 2018 : adoption par l’Assemblée nationale du texte du projet de loi sur les données personnelles, adaptant la loi Informatique et Libertés de 1978 au RGPD.
- 14 mai 2018 : adoption définitive de la loi relative à la protection des données personnelles, après de multiples allers-retours entre l’Assemblée nationale et le Sénat. Le texte vise simplement à éliminer de la loi Informatique et Libertés de 1978 (LIL) les dispositions qui lui sont contraires, à en compléter certaines afin de les rendre conformes au règlement. Cette loi autorise également le gouvernement à prendre, dans les six mois après promulgation de la loi, et après avis de la CNIL, par voie d’ordonnance (non encore promulguée à ce jour), les mesures suivantes :
- – réécrire l’ensemble de la LIL afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence, ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le RGPD ».
- – mettre en cohérence avec ces changements « l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ».
Un prochain article traitera des dispositions précises du RGPD.
Liens externes
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles