Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (Lien Legifrance, JO 21/06/2018)

Les principales dispositions (présentation plus détaillée - abonnés)
    La loi modifie la législation en matière de protection des données personnelles afin de l'adapter au règlement général sur la protection des données (RGPD) : règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, directement applicable depuis le 25 mai 2018. La loi modifie aussi la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi Informatique et libertés) afin de transposer une directive également du 27 avril 2016 portant spécifiquement sur la protection des personnes physiques à l'égard du traitement des données personnelles à des fins pénales.

    La Commission nationale de l'informatique et des libertés (CNIL) peut être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données.

    La loi du 6 janvier 1978 est complétée par un chapitre précisant la procédure de coopération entre la CNIL et les autres autorités de contrôle de l'Union européenne, à la fois lorsque la CNIL est autorité de contrôle chef de file ou en tant qu'autorité concernée.

    La nouvelle logique de responsabilisation prévue par le RGPD conduit à supprimer la plupart des formalités préalables de déclaration ou d'autorisation. Les responsables de traitement devront mener une analyse d'impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

    Un traitement de données à caractère personnel, à moins de satisfaire à l'une des conditions posées, doit avoir reçu le consentement de la personne concernée dans les conditions mentionnées par le RGPD.

     Un mineur à compter de l'âge de quinze ans peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information. Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale.

    La loi étend les cas dans lesquels, par exception, une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage. Il en va ainsi des décisions administratives individuelles dès lors que l'algorithme de traitement utilisé ne porte pas sur des données sensibles, que des recours administratifs sont possibles et qu'une information est délivrée sur l'usage de l'algorithme.

    L'autorité responsable des traitements de données à caractère personnel dans les établissements publics d'enseignement scolaire doit mettre à la disposition du public, donc des élèves et de leurs parents, un registre comportant la liste de ces traitements.

    Un décret en Conseil d'Etat, pris après avis de la CNIL, pourra fixer la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

    L'action de groupe en matière de protection des données à caractère personnel introduite par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, est étendue.

    Toute personne concernée peut mandater une association ou une organisation aux fins d'exercer en son nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre un responsable de traitement ou un sous-traitant.

    Une nouvelle voie de recours est accordée à la CNIL : dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données dans le cadre de transferts de données vers des États non membres de l'Union européenne ou à des organisations internationales, elle peut demander au Conseil d'État d'ordonner, dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte.

    Lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final.

    Les collectivités territoriales et leurs groupements peuvent conclure des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Ils peuvent aussi se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel ("mutualisation").

    Le gouvernement est habilité à adopter par voie d'ordonnance de l'article 38 de la Constitution les mesures relevant du domaine de la loi nécessaires notamment à la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées.

    … … … ...

Plan de la loi
TITRE Ier : Dispositions d'adaptation communes au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (art. 1er à 8)
Chapitre Ier : Dispositions relatives à la Commission nationale de l'informatique et des libertés (art. 1er à 7)
Chapitre II : Dispositions relatives à certaines catégories de données (art. 8)
TITRE II : Marges de manœuvre permises par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (art. 9 à 28)
art. 9
Chapitre Ier : Champ d'application territorial des dispositions complétant le règlement (UE) 2016/679 (art. 10)
Chapitre II : Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements (art. 11)
Chapitre III : Obligations incombant aux responsables de traitement et à leurs sous-traitants (art. 12)
Chapitre IV : Dispositions relatives à certaines catégories particulières de traitements (art. 13 à 18)
Chapitre V : Dispositions particulières relatives aux droits des personnes concernées (art. 19 à 24)
Chapitre VI : Voies de recours (art. 25 à 28)
TITRE III : Dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (art. 29 et 30)
TITRE IV : Dispositions visant à faciliter l'application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales (art. 31 à 33)
TITRE V : Dispositions diverses et finales (art. 34 à 37)


Décision du Conseil Constitutionnel
CC 12 juin 2018 Loi relative à la protection des données personnelles n° 2018-765 DC

Rubriques :  médias, télécommunications, informatique / relations entre l'administration et les citoyens / pénal et pénitentiaire

Voir aussi :
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - RGPD


affaires-publiques.org : accueil - informations/contacts