Publication du décret d’application de la loi relative à la protection des données personnelles

Le 3 août 2018 a été publié le décret n°2018-687 du 1er août pris en application de la Loi Informatique et Libertés du 6 janvier 1978 telle que modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Il achève la mise en conformité au RGPD du droit national en encadrant sa mise en œuvre concrète, précise certaines dispositions de la loi et fixe les délais et procédures applicables aux missions de la CNIL.

Pour lire le décret sur Légifrance

Le Conseil constitutionnel valide la loi adaptant la législation française au RGPD

Le 12 juin 2018 le Conseil constitutionnel a notamment décidé que si "le législateur [avait] fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résult[ait] pas une inintelligibilité de la loi", et a ainsi écarté les arguments des sénateurs qui arguaient de l'inconstitutionnalité de la loi. Le Conseil s'est également prononcé sur l'emploi d'algorithmes “auto-apprenants” par l'administration, c’est-à-dire "susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement", en lui interdisant de les utiliser "comme fondement exclusif d’une décision administrative individuelle". La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018.

Pour lire la décision du Conseil constitutionnel

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Avis de la CNIL sur le projet de loi d’adaptation du droit national au droit de l’UE

Après avoir été saisie par la Ministre de la Justice, la CNIL a rendu le 30 novembre 2017 une délibération portant avis sur le projet de loi visant à mettre en conformité le droit national avec le paquet européen de protection des données comprenant le Règlement Général sur la Protection des Données (RGPD) et la directive du 27 avril 2016 relative aux traitements de données personnelles dans la sphère pénale. Ainsi, selon la CNIL, bien que "le projet (…) rempli[sse] globalement [cet] objectif principal" et "semble faire un usage raisonnable [des marges de manœuvre ouvertes aux États par le Règlement]", il y a un "risque réel de non-respect des délais de mise en œuvre du paquet européen".

Pour lire la délibération de la CNIL

Mise en garde de la CNIL sur des messages de « mise en conformité »

Dans un communiqué de presse du 24 novembre 2017, la CNIL a émis une mise en garde suite à la réception, par plusieurs entreprises, par fax et par téléphone, de "messages pour une « mise en conformité » avec le règlement européen sur la protection des données personnelles ( dit « RGPD »)". La CNIL a souligné que ces messages n’émanaient pas d’elle et qu’ils pouvaient avoir pour finalité de "faire appeler un numéro de téléphone surtaxé, de (…) faire signer un engagement frauduleux (…) ou de collecter des informations sur [l’]organisation [des entreprises concernées] pour préparer une escroquerie ou une attaque informatique".

Pour lire le communiqué de presse de la CNIL

RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Projet de recommandation relative à l’analyse d’impact

Le 20 décembre 2016, la Commission belge de la protection de la vie privée a publié un projet de recommandation, soumis à consultation publique jusqu’au 28 février 2017, relative à l’analyse d’impact, nouvelle obligation prévue par le règlement sur la protection des données (RGPD) lorsque le traitement présente un “risque élevé pour les droits et libertés des personnes physiques”. La Commission y apporte des précisions sur les éléments essentiels que doit contenir l’analyse d’impact, tels que la description des opérations de traitement et des finalités, qui doit être claire et complète sans renvoyer à des finalités générales, ou encore le contrôle de la proportionnalité des opérations de traitement, à propos duquel la Commission recommande d’indiquer non seulement les raisons qui justifient la nécessité du traitement mais aussi la justification des moyens choisis. Enfin, la Commission fournit des explications sur les circonstances dans lesquelles l’analyse d’impact est obligatoire et sur la consultation préalable de l’autorité de contrôle.

Pour lire le projet de recommandation de la Commission belge de la protection de la vie privée