La nouvelle loi Informatique et Libertés du 20 juin 2018 permet l’application effective des textes européens, qui représentent un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
Elle dote notamment la CNIL des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs.
Elle organise l’articulation nécessaire des procédures internes de la CNIL aux nouveaux mécanismes de coopération européenne.
Elle exerce certaines des « marges de manœuvre nationales » autorisées par le RGPD, transpose en droit français la Directive « police-justice » et modifie certaines de ses dispositions pour les rapprocher de la lettre du RGPD.
La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national.
Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale.
Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et libertés reste en vigueur et vient compléter le RGPD : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc.
Enfin, la loi nationale reste pleinement applicable pour tous les fichiers « répressifs », qu’il s’agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l’Etat.
De nombreuses dispositions spéciales sont prévues en ces matières.
Une ordonnance de réécriture complète de la loi Informatique et Libertés est prévue, dans un délai de six mois, notamment afin de résoudre ces difficultés de lisibilité de ce cadre juridique composite.
Dans l’attente, il convient de prêter une attention particulière au cadre juridique applicable à chaque traitement.
Le droit national doit également être complété par un nouveau décret d’application de la loi Informatique et Libertés pour achever la mise en conformité du droit national au cadre juridique européen.
Ce décret, sur lequel la CNIL a été saisie pour avis, devrait être publié dans les prochaines semaines.
Il permettra de fixer plus précisément les procédures de traitement par la CNIL des différents dossiers dont elle a la charge et de préciser certaines dispositions de la loi.
La CNIL rappelle enfin la nécessité d’adopter ce décret et cette ordonnance dans les plus brefs délais, afin de rendre le nouveau cadre juridique plus lisible pour les professionnels et les citoyens.