Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (Lien Legifrance, JO 21/06/2018)
Les principales dispositions
La loi a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d'une part, de l'adapter au règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données : RGPD), directement applicable depuis le 25 mai 2018. Elle vise, d'autre part, à transposer la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données. Modifiant donc essentiellement la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi Informatique et libertés), la présente loi comprend 37 articles répartis en cinq titres dont : un titre Ier relatif aux dispositions communes au règlement (UE) 2016/679 et à la directive (UE) 2016/680, un titre II qui rassemble les différentes marges de manœuvre permises par le règlement et un titre III portant transposition de la directive.
Titre Ier : Dispositions d'adaptation communes au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (art. 1er à 8)
Chapitre Ier : Dispositions relatives à la Commission nationale de l'informatique et des libertés (art. 1er à 7)
L'article 1er modifie l'article 11 de la loi du 6 janvier 1978, relatif aux missions de la Commission nationale de l'informatique et des libertés (CNIL) pour prévoir que cette commission peut « être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données ».
L'article 2 modifie l'article 13 de la loi du 6 janvier 1978 pour prévoir que les deux personnalités qualifiées désignées par les présidents des deux assemblées parlementaires le sont au regard de leur connaissance du numérique mais également des questions touchant aux libertés individuelles, à l'instar des trois personnalités qualifiées nommées par décret.
L'article 3 modifie l'article 15 de la loi du 6 janvier 1978 notamment pour prévoir que l'ordre du jour de la commission réunie en formation plénière est rendu public. Il décide qu'un décret en Conseil d'Etat, pris après avis de la CNIL, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature.
L'article 4 modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la CNIL, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, il prévoit que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
L'article 5 étend le droit d'accès et le droit de communication reconnu par l'article 44 de la loi du 6 janvier 1978 aux membres et agents habilités de la CNIL. Le contrôle de la commission est exclu en ce qui concerne les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions.
L'article 6 insère dans la loi du 6 janvier 1978 un chapitre VII bis, intitulé : « De la coopération » (art. 49 à 49-5) afin de préciser la procédure de coopération entre la CNIL et les autres autorités de contrôle de l'Union européenne, prévue par le chapitre VII du règlement, à la fois lorsque la CNIL est autorité de contrôle chef de file ou en tant qu'autorité concernée. Il prévoit notamment que lorsqu'une opération de contrôle conjointe se déroule sur le territoire français, des membres et agents des autres autorités de contrôle participant, le cas échéant, à l'opération peuvent être présents auprès des membres ou agents habilités de la Commission, agissant en tant qu'autorité de contrôle d'accueil. Ils peuvent, dans ce cadre, être habilités par le président de la CNIL pour exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d'enquête dont disposent les membres et les agents de la commission. La procédure prévoit également que la CNIL peut saisir le comité européen à la protection des données chargé de veiller à une application cohérente du règlement dans l'ensemble de l'Union européenne.
L'article 7 réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la CNIL en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Le président de la commission peut ainsi prononcer des avertissements et des mises en demeure et ensuite, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires. L'article 7 modifie aussi les article 46 à 48 de la loi du 6 janvier 1978.
Chapitre II : Dispositions relatives à certaines catégories de données (art. 8)
L'article 8 modifie la rédaction de l'article 8 de la loi du 6 janvier 1978 pour l'adapter aux dispositions du 1 de l'article 9 du règlement. Il reprend le principe d'interdiction de traitement de données dites « sensibles » tout en élargissant le champ de ces données par rapport à la rédaction actuelle de l'article 8 de la loi (interdiction de traiter des données génétiques, biométriques aux fins d'identifier une personne physique de manière unique, données concernant l'orientation sexuelle d'une personne). Il complète par ailleurs les cas dans lesquels de telles données peuvent être exceptionnellement traitées, outre les cas prévus par l'article 9.2 du règlement.
Titre II : Marges de manœuvre permises par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (art. 9 à 28)
L'article 9 de la loi précise dans un sens extensif le champ d'application de la loi du 6 janvier 1978 déterminé par son article 2.
Chapitre Ier : Champ d'application territorial des dispositions complétant le règlement (UE) 2016/679 (art. 10)
L'article 10 complète la loi du 6 janvier 1978 par un article 5-1 pour répondre à l'exigence du règlement que soit déterminé avec précision le champ d'application de la loi nationale. Il prévoit ainsi qu'en cas de divergences de législations entre États membres de l'Union européenne liées aux marges de man œuvre laissées à ces derniers sur plusieurs points (notamment les spécificités nationales pouvant concerner les droits de la personne en cause, les obligations du responsable de traitement ou du sous-traitant, les pouvoirs des autorités de contrôle), la loi nationale s'applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n'est pas établi en France. Toutefois, dans le cadre des traitements à des fins journalistiques mentionnés à l'article 85 du règlement, le droit applicable est celui dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne. Cette situation trouvera à s'appliquer par exemple dans le domaine de l'audiovisuel ou de la presse ainsi que le précise le considérant 153 du règlement.
Chapitre II : Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements (art. 11)
Auparavant, les traitements de données à caractère personnel étaient, par principe, soumis à un régime déclaratoire. Pour certains traitements portant sur des données sensibles ou mis en œuvre par l'État, ou pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, un régime d'autorisation était prévu : autorisation par la CNIL (article 25), par arrêté ministériel, pris après avis motivé et publié de la CNIL (article 26, I) ou non-publié (article 26, III), par un acte réglementaire unique (article 26, IV et 27, III), par décret en Conseil d'État, pris après avis motivé et publié de la CNIL (article 27, I). La nouvelle logique de responsabilisation prévue par le règlement conduit à supprimer la plupart des formalités préalables. L'article 11 de la loi supprime ainsi le régime de déclaration préalable prévu aux articles 22 à 24 de la loi du 6 janvier 1978. les responsables de traitement devront donc mener une analyse d'impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Cet article instaure une formalité préalable particulière pour les traitements qui nécessitent l'utilisation du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR). Ce type de traitements sont ainsi autorisés par un décret-cadre pris après avis motivé et publié de la CNIL qui définit des catégories de responsables de traitement et les finalités pour lesquelles les traitements peuvent être mis en œuvre. Des exceptions sont prévues pour certains traitements identifiés (traitements à finalités de statistique publique, de recherche scientifique ou historique, de téléservices) dès lors que le NIR fait l'objet préalablement d'une opération cryptographique lui substituant un code statistique non signifiant..
L'article 11 supprime également les formalités préalables prévues à l'article 27, à savoir un régime d'autorisation par décret en Conseil d'État pris après avis motivé et publié de la CNIL, à l'exception des traitements mis en œuvre pour le compte de l'État, agissant dans l'exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. Enfin, l'article 11 abroge les formalités préalables prévues par les articles 25 (régimes d'autorisation par la CNIL) qui ne sont pas imposées par le règlement, ce dernier prévoyant une consultation de l'autorité de contrôle en cas de « risque élevé ». Ce risque devra être apprécié, selon la logique de responsabilisation qui est celle du règlement, par le responsable de traitement et non par matière.
Chapitre III : Obligations incombant aux responsables de traitement et à leurs sous-traitants (art. 12)
L'article 12 complète l'article 35 de la loi du 6 janvier 1978 pour prévoir que les sous-traitants des responsables de traitement doivent, dans le champ d'application du règlement (UE) 2016/679 du 27 avril 2016, respecter les obligations prévues par ledit règlement.
Chapitre IV : Dispositions relatives à certaines catégories particulières de traitements (art. 13 à 18)
L'article 13 modifie l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.
L'article 15 modifie l'article 36 de la loi du 6 janvier 1978 et notamment le complète pour prévoir que lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du 27 avril 2016 ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités.
L'article 16 prévoit une nouvelle rédaction du chapitre IX de la loi du 6 janvier 1978, consacré aux traitements de données à caractère personnel dans le domaine de la santé. Le 3° de l'article 53 de cette loi, dans cette nouvelle rédaction, en exclut toutefois les traitements mis en œuvre aux fins d'assurer « la prise en charge des prestations par les organismes d'assurance maladie complémentaire ».
L'article 17 complète l'article L. 312-9 du code de l'éducation pour prévoir que la sensibilisation aux droits et aux devoirs liés à l'usage de l'internet et des réseaux dans les écoles et les établissements d'enseignement, intègre les règles applicables aux traitements de données à caractère personnel.
L'article 18 modifie l'article L. 4123-9-1 du code de la défense. Cet article prévoit notamment que le responsable d'un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l'une des finalités du traitement. A l'exclusion des traitements mis en œuvre pour le compte de l'Etat, des collectivités territoriales et de leurs groupements ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant la mention de la qualité de militaire. Les personnes accédant aux données à caractère personnel de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l'identité de ces personnes dans le seul but de procéder à cette enquête.
Chapitre V : Dispositions particulières relatives aux droits des personnes concernées (art. 19 à 24)
L'article 19 précise qu'un traitement de données à caractère personnel, à moins de satisfaire à l'une des conditions posées, doit avoir reçu le consentement de la personne concernée "dans les conditions mentionnées au 11) de l'article 4 et à l'article 7 du règlement (UE) 2016/679 du 27 avril 2016" (modification de l'art. 7 de la loi du 6 janvier 1978).
L'article 20 introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ». Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur ».
L'article 21 modifie l'article 10 de la loi du 6 janvier 1978 afin d'étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage. Il en va ainsi des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande. Il en va de même des décisions administratives individuelles dès lors que l'algorithme de traitement utilisé ne porte pas sur des données sensibles, que des recours administratifs sont possibles et qu'une information est délivrée sur l'usage de l'algorithme. Toutefois, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
Par ailleurs, l'article 21 prévoit que le comité éthique et scientifique mentionné à l'article L. 612-3 du code de l'éducation remet chaque année, à l'issue de la procédure nationale de préinscription et avant le 1er décembre, un rapport au Parlement portant sur le déroulement de cette procédure et sur les modalités d'examen des candidatures par les établissements d'enseignement supérieur. Le comité peut formuler à cette occasion toute proposition afin d'améliorer la transparence de cette procédure.
L'article 22 insère un article L. 121-4-2 dans le code de l'éducation prévoyant que l'autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d'enseignement scolaire met à la disposition du public, donc des élèves, le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du 27 avril 2016..
L'article 23 précise l'obligation d'information sur le traitement lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans : le responsable de traitement doit transmettre au mineur les informations dans un langage clair et facilement accessible.(ajout au III de l'article 32 de la loi n° 78-17 du 6 janvier 1978).
L'article 24 complète l'article 40 de la loi du 6 janvier 1978 par un III pour prévoir qu'un décret en Conseil d'Etat, pris après avis de la CNIL, pourra fixer la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du 27 avril 2016 lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. Le législateur utilise ainsi la marge de man œuvre prévue à l'article 23 du règlement relatif à la limitation de certains droits des personnes concernées.
Chapitre VI : Voies de recours (art. 25 à 28)
L'article 25 modifie l'article 43 ter de la loi du 6 janvier 1978 pour étendre l'action de groupe en matière de protection des données à caractère personnel introduite par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.
L'article 26 insère un article 43 quater dans la loi du 6 janvier 1978 pour prévoir qu'une personne concernée peut mandater une association ou une organisation aux fins d'exercer en son nom une réclamation auprès de la CNIL (article 77 du règlement (UE) 2016/679 du 27 avril 2016), un recours juridictionnel contre la CNIL (article 78) ou contre un responsable de traitement ou un sous-traitant (article 79). Il s'agit de préciser les modalités d'exercice de ce droit prévu par l'article 80-1 du règlement. Cet article transpose également l'article 55 de la directive permettant les réclamations et recours par l'intermédiaire d'une association pour les traitements relevant de la directive.
L'article 27 insère un article 43 quinquies dans la loi du 6 janvier 1978 afin d'introduire une nouvelle voie de recours pour la CNIL pour tenir compte de l'arrêt de la Cour de justice de l'Union européenne du 6 octobre 2015, C-362/14. Il prévoit ainsi que, dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données dans le cadre de transferts de données vers des États non membres de l'Union européenne ou à des organisations internationales, elle peut demander au Conseil d'État d'ordonner, dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte. Dans ce cas, le Conseil d'État devra saisir la Cour de justice de l'Union européenne à titre préjudiciel sur la validité de la décision d'adéquation prise par la Commission européenne sur le fondement de l'article 45 du règlement, ou de tout autre acte de la Commission autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données pris sur le fondement de l'article 46 du même règlement (clause-type de protection des données, code de conduite, mécanisme de certification). L'article 27 étend ces recours à la contestation des décisions d'adéquation prises sur le fondement de la directive pour permettre la saisine du Conseil d'État d'une question préjudicielle à la Cour de justice de l'Union européenne permettant d'apprécier la validité d'une telle décision d'adéquation.
L'article 28 prévoit qu'en application de l'article 7 du règlement (UE) 2016/679 du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final dans les conditions définies au 11 de l'article 4 du même règlement.
Titre III : Dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (art. 29 et 30)
L'article 29 apporte des modifications aux articles 32, 41 et 42 de la loi du 6 janvier 1978.
L'article 30 insère un nouveau chapitre XIII dans la loi du 6 janvier 1978, comportant des articles 70-1 à 70-27 et applicable aux traitements de données relevant de la directive du 27 avril 2016. Ces dispositions régissent les traitements de données à caractère personnel mis en œuvre « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Le premier alinéa du nouvel article 70-1 détermine notamment les personnes autorisées à mettre en œuvre de tels traitements. Le nouvel article 70-2 fixe les conditions dans lesquelles des données sensibles, au sens du paragraphe I de l'article 8 de la loi du 6 janvier 1978, peuvent faire l'objet d'un tel traitement.
Titre IV : Dispositions visant à faciliter l'application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales (art. 31 à 33)
L'article 31 prévoit la possibilité pour les collectivités territoriales et leurs groupements de conclure des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel ("mutualisation").
L'article 32 habilite le gouvernement à adopter par voie d'ordonnance de l'article 38 de la Constitution les mesures relevant du domaine de la loi nécessaires : 1° A la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées. 2° Pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet. 3° A l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application dans les collectivités concernées de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 relevant de la compétence de l'Etat.
L'article 33 supprime notamment la sous-section 4 « Récupération et portabilité des données » (art. L. 224-42-1 et s.) introduite dans le code de la consommation par l'article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Des mesures relatives à la portabilité sont prévues par l'article 20 du RGDP.
Titre V : Dispositions diverses et finales (art. 34 à 37)
L'article 34 modifie par coordination plusieurs articles de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
L'article 36 réécrit l'article 230-8 du code de procédure pénale définissant les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale. Le procureur de la République est compétent pour ordonner l'effacement ou la rectification de ces données, d'office ou à la demande de la personne concernée par les données. La personne concernée peut former une demande sans délai à la suite d'une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d'irrecevabilité, que lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d'une décision de relaxe ou d'acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause font l'objet d'une mention, sauf si le procureur de la République ordonne l'effacement des données personnelles ».
L'article 37 précise les conditions d'entrée en vigueur. Il prévoit ainsi que les titres Ier à III de la loi et les articles 34 et 35 entrent en vigueur le 25 mai 2018. Toutefois, l'article 70-15 de la loi n° 78-17 du 6 janvier 1978 entre en vigueur à une date fixée par décret, et au plus tard : 1° Le 6 mai 2023 lorsqu'une telle obligation exigerait des efforts disproportionnés ; 2° Le 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé. La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l'entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire. L'article 70-15.prévoit que le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l'interconnexion et l'effacement, portant sur de telles données. Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci. Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales. Ce journal est mis à la disposition de la CNIL à sa demande.
Plan de la loi
TITRE Ier : Dispositions d'adaptation communes au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (art. 1er à 8)
Chapitre Ier : Dispositions relatives à la Commission nationale de l'informatique et des libertés (art. 1er à 7)
Chapitre II : Dispositions relatives à certaines catégories de données (art. 8)
TITRE II : Marges de manœuvre permises par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (art. 9 à 28)
art. 9
Chapitre Ier : Champ d'application territorial des dispositions complétant le règlement (UE) 2016/679 (art. 10)
Chapitre II : Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements (art. 11)
Chapitre III : Obligations incombant aux responsables de traitement et à leurs sous-traitants (art. 12)
Chapitre IV : Dispositions relatives à certaines catégories particulières de traitements (art. 13 à 18)
Chapitre V : Dispositions particulières relatives aux droits des personnes concernées (art. 19 à 24)
Chapitre VI : Voies de recours (art. 25 à 28)
TITRE III : Dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (art. 29 et 30)
TITRE IV : Dispositions visant à faciliter l'application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales (art. 31 à 33)
TITRE V : Dispositions diverses et finales (art. 34 à 37)
Décision du Conseil Constitutionnel
CC 12 juin 2018 Loi relative à la protection des données personnelles n° 2018-765 DC
Rubriques : médias, télécommunications, informatique / relations entre l'administration et les citoyens / pénal et pénitentiaire
Voir aussi :
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - RGPD - Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés