Publication de l’ordonnance n° 2018-1125 du 12 décembre 2018 relative à la protection des données personnelles
L’ordonnance n° 2018-1125 du 12 décembre 2018(1) a été publiée au Journal officiel le 13 décembre 2018. Ce texte est pris en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles(2) habilitant le Gouvernement à procéder dans un délai de six mois : i) à la réécriture de l’ensemble de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « loi informatique et liberté »(3), ii) à la mise en cohérence de l’ensemble de la législation applicable à la protection des données à caractère personnel avec le paquet « européen de protection des données » et iii) à l’adaptation et à l’extension outre-mer de cette matière.
Le chapitre Ier de l’ordonnance réécrit la loi CNIL afin de simplifier sa mise en œuvre, d’apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel et d’en assurer l’application en outre-mer.
Aussi, la loi « informatique et liberté » comporte désormais :
Le chapitre II de l’ordonnance procède à la mise en cohérence avec les changements résultant de la loi « informatique et liberté » de l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu’elles soient codifiées ou non.
L’ordonnance entrera en vigueur concomitamment à celle du décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.
Le chapitre Ier de l’ordonnance réécrit la loi CNIL afin de simplifier sa mise en œuvre, d’apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel et d’en assurer l’application en outre-mer.
Aussi, la loi « informatique et liberté » comporte désormais :
- un titre Ier contenant des dispositions constituant le socle commun à l’ensemble des traitements de données à caractère personnel (principes relatifs à la protection des données à caractère personnel, dispositions relatives à la Commission nationale de l’informatique et des libertés, voies de recours spécifiques, dispositions pénales, etc.) ;
- un titre II portant sur les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 (dispositions générales relatives au traitement des données, droits des personnes concernées, obligations incombant au responsable du traitement et au sous-traitant, traitements dans le secteur des communications électroniques, etc.) ;
- un titre III concernant les traitements relevant de la directive (UE) 2016/680 du 27 avril 2016, transposée par la loi précitée du 20 juin 2018 (dispositions générales, obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel, droits de la personne concernée et transferts internationaux de données) ;
- un titre IV relatif aux dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense (droits de la personne concernée, obligation pour le responsable de traitement, garanties du sous-traitant, transferts de données hors de l’Union européenne, etc.) ;
- un titre V concernant les dispositions relatives à l’outre-mer (Nouvelle Calédonie, Polynésie française, îles Wallis et Futuna et Terres australes et antarctiques françaises).
- un titre II portant sur les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 (dispositions générales relatives au traitement des données, droits des personnes concernées, obligations incombant au responsable du traitement et au sous-traitant, traitements dans le secteur des communications électroniques, etc.) ;
- un titre III concernant les traitements relevant de la directive (UE) 2016/680 du 27 avril 2016, transposée par la loi précitée du 20 juin 2018 (dispositions générales, obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel, droits de la personne concernée et transferts internationaux de données) ;
- un titre IV relatif aux dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense (droits de la personne concernée, obligation pour le responsable de traitement, garanties du sous-traitant, transferts de données hors de l’Union européenne, etc.) ;
- un titre V concernant les dispositions relatives à l’outre-mer (Nouvelle Calédonie, Polynésie française, îles Wallis et Futuna et Terres australes et antarctiques françaises).
Le chapitre II de l’ordonnance procède à la mise en cohérence avec les changements résultant de la loi « informatique et liberté » de l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu’elles soient codifiées ou non.
L’ordonnance entrera en vigueur concomitamment à celle du décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.
Notes