Cet été est paru un décret volumineux destiné à modifier certaines dispositions relatives à la protection des données personnelles. Le texte a été signé à la suite du vote de la loi du 20 juin 2018 qui modifie la loi relative à l’informatique et aux libertés pour l’adapter au RGPD (règlement général relatif à la protection des données).
Le décret signé le 1er août 2018 et paru le 3 août 2018 apporte son lot de modifications de formes et de nouveaux renvois (dont nous avons déjà étudié le contenu s’agissant de l’accès aux données personnelles de santé), mais certaines dispositions nouvelles méritent d’être connues, d’autant plus que l’avis rendu par la CNIL n’est pas exempt de critiques.
Les dérogations au signalement des violations de données personnelles critiquées par la CNIL
En principe, toute violation de données à caractère personnel doit être communiquée par le responsable du traitement à la ou les personnes concernées, dès lors que cela crée un risque élevé pour leurs droits et libertés. C’est ainsi que la règle est posée par l’article 34 du RGPD.
Cependant, le décret qui vient de paraître crée un article qui liste les traitements qui peuvent déroger à cette obligation de signaler une violation de données personnelles (voir l’article 27 du décret). Ils sont de deux catégories.
La première concerne les traitements qui permettent d’identifier, directement ou indirectement, des personnes dont l’anonymat est protégé telles que des « fonctionnaires de la police nationale, de militaires, de personnels civils du ministère de la défense ou d’agents des douanes appartenant à des services ou unités désignés par arrêté du ministre intéressé » d’après l’avis de la CNIL. La CNIL approuve cette dérogation qui « apparaît nécessaire et proportionnée pour garantir la sécurité nationale, la défense nationale et la sécurité publique ».
La seconde dérogation est moins évidente car elle vise tous les traitements de données « de gestion administrative, financière et opérationnelle » et « les traitements de données de santé » sans plus de précisions. La CNIL critique cela et considère que les catégories de traitement visées ne sont pas assez décrites, laissant planer une grande ambiguïté et une forte interprétation du texte. Elle alerte sur le caractère non exhaustif des critères donnés par le décret qui ne permettent pas de délimiter strictement le champ de la dérogation.
Le transfert de données personnelles hors de l’UE réécrit par décret
Le décret réécrit entièrement les dispositions relatives au transfert de données personnelles hors de l’UE (voir l’article 24 du décret) car elles sont toutes prévues par le chapitre V du RGPD. Il semble que des modifications aient été apportées entre le projet de décret et le décret finalement publié. En effet, dans son avis, la CNIL a formulé des propositions afin de préciser comment elle, ou la personne concernée, est informée du projet de transfert de données. La CNIL a également proposé d’ajouter des mesures relatives à la possibilité qui lui est offerte d’éditer des formulaires explicatifs.
Le décret final a pris en compte les remarques de la CNIL car il précise que cette dernière peut éditer des modèles d’informations et annexes qui doivent lui être communiqués lorsque le responsable du traitement transfère des données personnelles dans un pays n’appartenant pas à l’UE.
Le texte du décret est majoritairement dédié à une réécriture similaire à ce que prévoit le RGPD. Il est intéressant de le lire en ayant à l’esprit les commentaires de la CNIL pour voir quels points sont susceptibles d’évoluer davantage.
