Le cadre juridique français relatif à la protection des données a été stabilisé le 30 mai par la publication d’un décret. La Cnil avait rendu un avis en amont.
RGPD : derniers réglages
Le décret d’application de la loi informatique et libertés a été publié le 30 mai. Entré en vigueur au 1er juin, il vient stabiliser le cadre juridique français relatif à la protection des données. « Aujourd’hui, la Cnil a tous les outils pour assurer l’application effective du RGPD et de loi ’informatique et libertés’ modifiée et vérifier la conformité des traitements mis en œuvre par les responsables de traitement et leurs sous-traitants » résume François-Xavier Boulin, avocat fondateur du cabinet effective IP.
Pour rappel, l’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes. La loi du 20 juin 2018 a modifié la loi informatique et libertés de 1978 et transposé en droit français la directive « police-justice ». S’en est suivi son décret d’application en août puis la réécriture et la mise en cohérence de cette loi, par ordonnance du 12 décembre 2018.
« Tout comme l’ordonnance du 12 décembre 2018, le décret du 29 mai 2019 a pour objets principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application », fait valoir la Cnil.
Le 9 mai, cette dernière a émis un avis sur le projet de décret. La Cnil a ainsi énoncé quelques observations notamment à destination des personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD. Elle a également souhaité préciser l'encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction.
Concrètement, la Cnil a défini plusieurs points d’amélioration, notamment sur les droits des personnes concernées par la loi, sur les transferts de données vers les États n’appartenant pas à l’Union européenne ou encore sur les dispositions régissant les traitements des données relatives aux personnes décédées.
« Le décret est une nouveauté dans la continuité ; il n’introduit pas de changements significatifs mais vient préciser un certain nombre de points techniques », fait valoir François-Xavier Boulin. Le texte apporte notamment des précisions en matière de données de santé, pour lesquelles certaines règles ou procédures semblaient encore incomplètes ou floues. Par exemple, « s’agissant de l’information des personnes accueillies dans les établissements ou centres exerçant des activités de prévention, de diagnostic ou de soins, il était auparavant nécessaire d’informer individuellement les personnes dès lors que les données étaient utilisées dans le cadre de traitement de données de santé ; le décret prévoit désormais qu’il est nécessaire d’informer individuellement uniquement les personnes dont les données vont être utilisées dans le cadre de traitement de données personnelles dans le domaine de la santé fondés sur l’ ‘intérêt public’ », indique François-Xavier Boulin.
