1 Encadrement juridique du RGPD (2016/679)
- Ordonnance 2018-1125 de décembre 2018 applicable au 1er juin 2019 (réécriture de la loi Informatique et Libertés de 1978 modifiée loi n° 2018-493 du 20 juin 2018,), par décret d’application 2019-536 du 29 mai 2019.
- Le RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
| Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel. L’ordonnance est entrée en vigueur le 1er juin 2019, par un décret d’application : « Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » qui abroge le décret n° 2005-1309 du 20 octobre 2005. La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national. Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale. Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et Libertés reste en vigueur et vient compléter le RGPD Depuis le 12 décembre 2018, l’ordonnance n° 2018-1125 réécrit entièrement la loi Informatique et Libertés du 6 janvier 1978, afin d’y intégrer les modifications introduites par le RGPD. La nouvelle version de cette loi réaffirme à son article 7 qu’aucune disposition ne fait obstacle à l’application, au bénéfice de tiers, des dispositions relatives à l’accès aux documents administratifs et aux archives publiques. Figurent également dans le texte la mission pour la Cnil d’apporter une information adaptée à la situation des collectivités territoriales en matière de mise en œuvre de la protection des données personnelles. |
2 Les institutions
| la CNIL : www.cnil.fr | La Commission Nationale Informatique et Libertés est une AAI (Autorité Administrative Indépendante) : Présidée par Madame Marie Laure DENIS ; une structure de 288 emplois en 2023 ; un budget annuel de plus de 26.3 millions d’euros ; les sanctions pécuniaires sont versées directement à l’Etat. https://www.cnil.fr/fr/statut-et-organisation-de-la-cnil Elle informe les personnes concernées de leurs droits et les responsables de traitements de leurs obligations Elle veille à conformité des traitements Elle instruit les plaintes Elle sanctionne en cas de non-respect de la loi ou du RGPD Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Rapport 2023 – publication : avril 2024 : https://www.cnil.fr/fr/la-cnil-publie-son-rapport-annuel-2023 |
| Le conseil d’Etat | À compter de la date de notification de la décision de la formation restreinte, l’organisme mis en cause dispose d’un délai de deux mois pour former un recours devant le Conseil d’État contre la décision de la CNIL. |
| le CEPD https://edpb.europa.eu/edpb_fr | Le CEPD (comité européen de la protection des données – anciennement dénommé G29) regroupe les 27 autorités de contrôle (organismes indépendants, soit la CNIL en France). Une autorité de contrôles peut être désignée « chef de file », soit un interlocuteur unique pour l’Union Européenne. |
3 Les acteurs
| le DPD ou DPO | le Délégué à la Protection des Données ou Data Protection Officer Il veille à ce que son organisme soit en conformité Il forme, sensibilise le personnel Il informe et conseille le responsable de traitement Il établit et met à jour le registre des déclarations de traitements Il est l’interlocuteur pour toute demande de droit d’accès |
| le RT (Responsable de traitement) | le Responsable de traitement : c’est le Maire, le Président, le Directeur Général ; Il met en place les mesures techniques et organisationnelles afin d’assurer la sécurité et la confidentialité des données personnelles au sein de sa structure. Il missionne le DPO/DPD pour veiller à la conformité des traitements. C’est l’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens(notamment informatiques, financiers, humains) nécessaires à sa mise en œuvre. Il est établi sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale…) ou recourt à des moyens de traitement situés sur le territoire français. |
| le STT (sous-traitant ou prestataire) | Et le Sous-traitant ou Prestataire La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Le plus souvent un cadre juridique est mis en place : contrat, convention, mission, etc… Il est soumis aux mêmes obligations que le responsable de traitement ; |
4 Quelques définitions
| une DCP : une donnée à caractère personnel | Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. |
| Une donnée sensible ou particulière | Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes. A noter : Les informations relatives aux infractions ou condamnations font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts. |
Quelques définitions
| une DCP : une donnée à caractère personnel | Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. |
| Une donnée sensible ou particulière | Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes. A noter : Les informations relatives aux infractions ou condamnations font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts. |
De nouveaux instruments de régulation
Mise en place, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, de règlements types (instruments juridiquement contraignant pour les organismes). Après une période de consultation publique, les règlements types seront adoptés :
De nouveaux référentiels, ou lignes directrices avec une phase « projet » enrichie des observations recueillies, soumise ensuite à examen, lors d’une séance plénière de la CNIL en vue de l’adoption d’un document final : https://www.cnil.fr/fr/autres-referentiels
Autre sélection de référentiels, pouvant être plus couramment mis en place par une collectivités :
– Biométrie sur les lieux de travail (janvier 2019)
– Vigilances sanitaires (juillet 2019)
– Gestion des ressources humaines (avril 2020)
– Recherche dans le domaine de la santé (juillet 2020)
– Lignes directrices sur les cookies et les traceurs (septembre 2020)
– Accompagnement et le suivi social et médico-social des personnes âgées et en situation de handicap et en difficulté (mars 2021) – (également appelé : référentiel MANDATAIRE)
– Désignation des conducteurs ayant commis une infraction au code de la route (avril 2021)
– La gestion locative (mai 2021)
– projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant
– La protection de l’enfance et des jeunes majeurs de moins de 21 ans (janvier 2022)
– Alertes professionnelles (réactualisation Juillet 2023)