Données personnelles : Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
La loi adaptant la loi de 1978 Informatique et libertés au RGPD vient de paraître au JORF.
Le règlement du 27 avril 2016 (RGPD) étant d'application immédiate, la principale utilité de cette loi est d'adapter les règles de fonctionnement de la CNIL et d'élargir ses pouvoirs de sorte qu'elle puisse pleinement jouer son rôle d'autorité de contrôle nationale, telle que le RGPD le prévoit. Sans cette loi, il serait difficile de faire appliquer le RGPD.
Ainsi, la CNIL étant l'autorité de contrôle exigée par le RGPD, ses missions sont élargies : certification des personnes, des produits et des systèmes de données ou de procédures ; droit de contrôle sur place généralisé à l'ensemble des locaux servant à la mise en œuvre d'un traitement des données personnelles ; contrôles en ligne facilités…(art. 1 à 10)
Afin de permettre à la Loi 78-17 d'entrer en cohérence avec le RGPD, sont supprimées les dispositions relatives à l'obligation de déclaration préalable auprès de la CNIL, sauf pour les traitements qui impliquent l'utilisation du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) (art. 11), le traitement des données sensibles et notamment les données génétiques, biométriques et de santé (art. 8, 11), et les données de santé (art. 16).
Les sanctions prévues par le RGPD sont inscrites dans la loi en respectant le principe de gradation des sanctions :
- avertissement en cas de simple risque de manquement;
- mise en demeure, en cas de manquement encore susceptible de faire l'objet d'une mise en conformité;
- procédure de sanction.
La formation restreinte de la CNIL peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées. (art. 7)
L'article 12 porte sur les responsabilités des sous-traitants en matière de données personnelles et l'article 27 sur les transferts internationaux de données.
Les ventes liées : lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur.
Le consentement du consommateur au choix des équipements ou services incluant le traitement de ses données ne doit pas être empêché sans motif légitime d'ordre technique ou de sécurité. (art. 28).
L'action de groupe données personnelles pourra être mise en œuvre dès la parution de la loi pour réparer des dommages dont le fait générateur est postérieur au 24 mai 2018. (art. 25 et 26)
15 ans est l'âge à partir duquel un mineur peut utiliser sans l'autorisation parentale des réseaux sociaux opérant le traitement de ses données personnelles. Avant cet âge, la loi impose le principe du double consentement, du mineur et de ses parents, avec des obligations d'information spécifiques. (art. 20 et 23)
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles