Un mois après l’adoption de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la loi Informatique et libertés du 6 janvier 1978, son décret d’application entre en vigueur, pour modifier l’ancien décret d’application du 20 octobre 2005.
Le RGPD fait une distinction entre les simples données à caractère personnel et les données qualifiées de « particulières » ou « sensibles », visées aux articles 9 et 10, lesquelles comprennent notamment les données de santé et celles relatives aux condamnations pénales et aux infractions. Cette dernière catégorie de données est soumise à des règles de traitement bien plus strictes, à raison du risque sérieux pesant sur les droits et libertés des personnes concernées en cas d’usage non désiré.
Le décret précise notamment les conditions dans lesquelles le traitement de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé peut être autorisé.
Le responsable de traitement intéressé doit déposer une demande d’autorisation auprès de la Commission nationale de l’informatique et des libertés ou de l’Institut national des données de santé. Un comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé analyse ladite demande et rend un avis, sur le fondement duquel la CNIL rendra une décision d’autorisation ou de rejet de la demande.
En matière de condamnations pénales, d’infractions et de mesures de sûreté connexes, le décret fait la liste exhaustive des personnes autorisées à mettre en œuvre un traitement sur ces données, soit :
– les associations d’aide aux victimes conventionnées par le ministère de la justice ;
– les associations d’aide à la réinsertion des personnes placées sous-main de justice mentionnées à l’article 2-1 de la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire, dans le respect de leur objet social ;
– les établissements et services mentionnés aux 2° du I de l’article L. 312-1 du code de l’action sociale et des familles au titre de leur mission d’accompagnement médico-social ;
– les établissements et services mentionnés aux 4° et 14° du I de l’article L. 312-1 du code de l’action sociale et des familles ;
– les lieux de vie et d’accueil mentionnés au III de l’article L. 312-1 du code de l’action sociale et des familles ;
– les établissements médicaux ou médico-pédagogiques habilités mentionnés aux articles 15 et 16 de l’ordonnance n° 45-174 du 2 février 1945 relative à l’enfance délinquante ;
– les institutions ou les établissements publics ou privés, d’éducation ou de formation professionnelle, habilités et les internats appropriés aux mineurs délinquants d’âge scolaire mentionnés aux articles 15 et 16 de l’ordonnance du 2 février 1945 précitée ;
– les personnes morales de droit privé exerçant une mission de service public ou les associations habilitées mentionnées à l’article 16 ter de l’ordonnance du 2 février 1945 précitée ;
– les mandataires judiciaires à la protection des majeurs mentionnés à l’article L. 471-1 du code de l’action sociale et des familles.
Ainsi, le décret du 1er août 2018 verrouille le traitement de ces données sensibles d’une manière bien plus stricte que la lettre du Règlement général sur la protection des données.
Virginie PERDRIEUX
Vivaldi-Avocats
