Décret pris pour l’application de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Publié au Journal officiel du 30 mai 2019, le décret n° 2019-536 du 29 mai 2019(1) pris pour l’application de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés(2), telle que modifiée par l’ordonnance du 12 décembre 2018(3) sur le fondement de l’habilitation de l’article 32 de la loi du 20 juin 2018 relative à la protection des données personnelles(4), achève la mise en place du nouveau cadre juridique résultant de l’entrée en vigueur, le 25 mai 2018, du règlement général sur la protection des données(5) (RGPD) et de la directive 2016/680 du 27 avril 2016 relative au traitement des données à caractère personnel en matière pénale(6).

Il abroge le décret n° 2005-1309 du 20 octobre 2005 modifié en dernier lieu en août 2018(7) pris pour l’application de la loi informatique et libertés.

Composé de six titres, ce décret procède, d’une part, dans un objectif d’accessibilité et d’intelligibilité du droit, à la réorganisation des dispositions réglementaires applicables afin de tenir compte de la nouvelle architecture de la loi informatique et libertés et, d’autre part, aux dernières adaptations du droit au RGPD et la directive du 27 avril 2016.

Le titre premier (70 articles) comprend des dispositions communes relatives à la Commission nationale de l’informatique et des libertés. Précisant sa composition et son fonctionnement, il traite également des modalités d’exercice de ses missions de contrôle dans la mise en œuvre des traitements, notamment en matière de coordination avec les autorités régulatrices des États membres de l’Union européenne pour lequel elle peut être amenée à être désignée « chef de file » au sens de l’article 56 du RGPD. Il traite par ailleurs, à travers ses articles 61 à 70, des formalités préalables à la mise en œuvre des traitements.

Le titre II comporte 57 articles applicables aux traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD. Il comporte des dispositions relatives aux codes de conduites, règles d’entreprises contraignantes et certifications, aux traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, aux droits des personnes, aux obligations incombant au responsable du traitement et au sous-traitant, en particulier dans le domaine de la santé, aux droits et obligations propres aux traitements dans le secteur des communications électroniques.

Les 10 articles du titre III s'appliquent aux traitements, mis en œuvre par les autorités compétentes, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales ou de menaces à la sécurité publique, complétant ainsi la transposition de la directive précitée du 27 avril 2016.

Le titre IV, avec 11 articles, comporte les dispositions relatives aux traitements intéressant la sûreté de l’État et la défense.

Enfin le titre V procède à l’adaptation outre-mer de ces dispositions réglementaires.

Ce décret est entré en vigueur le 1er juin 2019, concomitamment à l’ordonnance du 12 décembre 2018(8) ayant procédé à la réécriture de la loi informatique et libertés.
Notes
puce note (1) Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (3) Lettre de la DAJ n° 264 du 20 décembre 2018
puce note (4) Lettre de la DAJ n° 255 du 5 juillet 2018
puce note (5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (6) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
puce note (7) Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
puce note (8) Article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018
 

Lancement du site oups.gouv.fr

Le ministre de l’action et des comptes publics a lancé le 4 juin 2019 le site internet oups.gouv.fr(1) destiné aux particuliers et aux entreprises. Il identifie les erreurs administratives les plus fréquentes et conseille les usagers pour les éviter.

La loi du 10 août 2018 pour un État au service d’une société de confiance(2) a consacré le droit à l’erreur au sein du code des relations entre le public et l’administration(3). Illustrant ce changement du mode d’intervention de l’action publique, le site oups.gouv.fr répertorie les principaux « événements de vie » sources d’erreur tant pour les particuliers (études supérieures, déménagement, naissance, retraite, etc.) que pour les professionnels (cotisations sociales, obligations douanières, impôts, etc.) dans leurs relations avec les administrations (Pôle emploi, Caisse nationale d’allocations familiales, direction générale des finances publiques, direction générale des douanes et droits indirects, etc.).

Des actions complémentaires vont être mises en œuvre prochainement tels que la mise en place, pour toute démarche en ligne, de messages de prévention de l’erreur, le déploiement de dispositifs de détection des erreurs, d’informations à destination d’usagers de la possibilité de bénéficier du droit à l’erreur ou la formation d’agents sur le droit à l’erreur.

Ainsi que le rappelle le site oups.gouv.fr « chaque usager, particulier ou entreprise, peut (…) rectifier - spontanément ou à la demande de l’administration - son erreur lorsque celle-ci est commise de bonne foi et pour la première fois. »
retour sommaire  

Conformité à la Constitution de la résolution du Sénat renforçant les capacités de contrôle de l’application des lois

Depuis 2009, chaque président de commission du Sénat dresse un bilan annuel de l’application des lois qui relèvent des compétences de sa commission, qu’il s’agisse des lois votées lors de la précédente session, des lois antérieures et, en fin de quinquennat, des lois votées pendant la législature.

Par le passé le suivi de l’application des lois a été centralisé à la Conférence des présidents, puis par la commission sénatoriale pour le contrôle de l’application des lois, commission supprimée en 2014 pour « restituer aux commissions permanentes la plénitude de leurs prérogatives de contrôle ».

Par décision du 6 juin 2019(1), le Conseil constitutionnel a déclaré conforme à la Constitution la résolution du Sénat du 7 mai 2019 renforçant les capacités de contrôle de l’application des lois(2).

Cette résolution vise à modifier le règlement du Sénat en vue, d’une part, de confier au rapporteur d’un projet ou d’une proposition de loi la responsabilité d’assurer le suivi de son application après sa promulgation, en rendant compte chaque année à la commission saisie au fond de l’application de la loi, en particulier de la publication des textes d’application.

D’autre part, cette résolution modifie l’article 22 du règlement du Sénat(3) en précisant que les commissions permanentes contribuent à l’élaboration du bilan annuel de l’application des lois – bilan réalisé chaque année en pratique mais jusqu’alors non mentionné par le règlement intérieur.

Saisi par le Président du Sénat, le Conseil constitutionnel relève que la mission de suivi envisagée « revêt un caractère temporaire et se limite à un simple rôle d’information contribuant à permettre au Sénat d’exercer son contrôle sur l’action du Gouvernement dans les conditions prévues par la Constitution. »
retour sommaire  

Circulaire du 5 juin 2019 relative à la transformation des administrations centrales et aux nouvelles méthodes de travail

Par une circulaire du 5 juin 2019, le Premier ministre a défini les sept axes de réformes visant à transformer les administrations centrales et leurs méthodes de travail(1).

Afin de renforcer l’efficacité des administrations centrales, le Premier ministre demande de « réduire les échelons hiérarchiques » et de « diminuer le poids des activités récurrentes », telles que la production normative ou la rationalisation des modalités d’exercice de la tutelle, ainsi que de supprimer les doublons existants entre les services supports des directions et les secrétariats généraux des ministères ou entre les différentes directions « métiers ». Un cadre souple doit également permettre la réduction du nombre d’échelons hiérarchiques et la constitution d’équipes projets en administration centrale, sans pour autant augmenter le nombre de personnels encadrants, et tout en en prévoyant la baisse des effectifs.

Dans l’objectif de réduire le nombre d’instances et de commissions rattachées aux administrations centrales, le Premier ministre demande aux administrations de justifier le maintien des structures dont la taille n’excède pas 100 ETP. Par ailleurs, les administrations ne peuvent plus constituer de nouvelles entités administratives qui leur soient rattachées autrement qu’en supprimant, transformant ou fusionnant des structures déjà existantes.

Le Premier ministre entend également délocaliser certaines fonctions ou missions en région et mieux intégrer les services déconcentrés à l'élaboration de la norme. Un important travail de déconcentration des décisions individuelles sera également entrepris prochainement, la prise de décision individuelle au niveau central ne devant rester que très exceptionnelle.

L’amélioration du fonctionnement du travail interministériel passe par la responsabilisation des directeurs d’administration centrale, dont le travail doit être conduit en étroite collaboration avec les cabinets ministériels à la taille resserrée, et par le développement de la culture de coopération entre administrations concernées par un même projet, la tenue de réunions d’arbitrage interministériel ne devant rester qu’exceptionnelle. Un outil interministériel de traitement dématérialisé des amendements parlementaires sera par ailleurs déployé au début de l’année prochaine.

Le Premier ministre demande à revoir profondément l’usage des circulaires dont le flux apparaît toujours élevé, malgré l’important travail de diminution de stock accompli en 2018 : cet usage doit ainsi être « recentré exclusivement sur l'accompagnement, le suivi et l'exécution des réformes ». À l’inverse, les circulaires commentant ou interprétant les normes doivent être remplacées par une documentation régulièrement tenue à jour, mise à disposition sur les sites internet des ministères. S’agissant des circulaires relatives à l’organisation et le fonctionnement des services, elles ne doivent être utilisées qu’à titre exceptionnel, sur des priorités d’actions du ministre.

Enfin, le Premier ministre demande, afin de mieux suivre l’exécution des réformes entreprises par les ministres, d’accompagner chaque projet de loi de cinq indicateurs d'impact devant permettre de mesurer de manière efficace l'atteinte des résultats des politiques publiques. Ces indicateurs seront intégrés aux études d’impact des projets de loi et aux plans de transformation ministérielle.
retour sommaire  

Lignes directrices relatives au règlement applicable au libre flux des données à caractère non personnel dans l’Union européenne

Le 29 mai 2019, la Commission européenne a publié ses lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne(1), adopté en novembre 2018(2), clarifiant ainsi ses règles par rapport à celles du RGPD, en particulier pour les ensembles de données dits « mixtes » (personnelles et non-personnelles).

Le règlement relatif aux flux des données à caractère non-personnel présente ainsi trois caractéristiques :
- l’interdiction aux États membres d’imposer des exigences en matière de localisation des données, sauf motifs de sécurité publique ;
- l’existence d’un mécanisme de coopération garantissant que les autorités compétentes continuent d’être en mesure d’exercer tout droit dont elles jouissent en matière d’accès aux données qui sont traitées dans un autre État membre ;
- l’encouragement des acteurs du secteur à élaborer, avec le soutien de la Commission, des codes de conduite fondés sur l’autorégulation concernant le changement de fournisseurs de services et le portage des données.

Les données à caractère non-personnel relèvent de deux catégories : celles qui « au départ, ne concernaient pas une personne physique identifiée ou identifiable » et celles qui « étaient initialement des données à caractère personnel, mais qui ont ensuite été rendues anonymes ».

Lorsqu’un ensemble de données est composé à la fois de données à caractère personnel et de données à caractère non personnel (données « mixtes ») : le règlement de novembre 2018 et le RGPD s’appliquent pour chacun en ce qui les concernent. En revanche, en cas de données « inextricablement liées », les droits et obligations de protection des données découlant du RGPD s’appliquent à l’intégralité de l’ensemble des données mixtes, indépendamment de la part de données à caractère personnel dans cet ensemble.

La Commission précise par ailleurs la notion d’exigences de localisation des données interdite par le règlement relatif au libre flux des données à caractère non-personnel et le principe de libre circulation figurant dans le RGPD, notamment pour les opérations de traitement ayant lieu en dehors de l’Union européenne. Elle rappelle ainsi que « les règles relatives aux transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales en vertu du RGPD doivent être respectées en tout état de cause. »
retour sommaire  
Informations légales | Données personnelles