Un mois après l’adoption de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la loi Informatique et libertés du 6 janvier 1978, son décret d’application entre en vigueur, pour modifier l’ancien décret d’application du 20 octobre 2005.
En abrogeant le Titre II, Chapitre II, du décret du 20 octobre 2005, le texte réglementaire met fin au système déclaratif qui régissait jusqu’alors le droit de la protection des données personnelles.
Si la CNIL n’est plus le simple réceptacle des déclarations de traitement de données à caractère personnel des responsables de traitement, elle devient avant tout un organe de consultation, destiné à accompagner les entreprises, particuliers et institutions dans la mise en conformité de leurs activités.
La CNIL bénéficie d’un pouvoir normatif élargi, puisqu’elle a notamment la charge d’établir les listes des traitements pour lesquels une analyse d’impact sera obligatoire ou non, lesquelles seront publiées au Journal officiel de la République française.
Elle est également chargée de recevoir et d’approuver éventuellement :
– les projets de code de conduite, de modification ou de prorogation de codes existants de la part des associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants,
– les règles d’entreprises contraignantes que peuvent lui soumettre des entreprises transférant des données hors de l’Union européenne ;
– les critères des référentiels de certification et d’agrément, qu’elle peut elle-même prendre l’initiative d’élaborer.
Afin d’identifier d’éventuels manquements à la réglementation et de mettre en demeure les responsables de traitement et sous-traitants concernés, les membres ou agents de la CNIL peuvent réaliser des contrôles en ligne, en faisant usage d’une identité d’emprunt, pour contrôler des services de communication au public en ligne.
Enfin, il est inséré au décret du 20 octobre 2005 une Section 5 intitulée « Coopération et assistance », laquelle régit les relations entre la CNIL et les autres autorités de contrôle de l’Union européenne lorsque la CNIL entend adopter une mesure correctrice en tant qu’autorité chef de file dans le cas d’un traitement de données transfrontalier. La CNIL est qualifiée d’autorité chef de file, selon l’article 56 du RGPD, lorsque l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant se situe sur le territoire français.
Dans une telle situation, la CNIL se doit de soumettre aux autorités de contrôle concernées par le traitement, notamment sur le territoire desquels résident les personnes visées, le projet d’avertissement ou de mise en demeure qu’elle entend prendre à l’encontre du responsable de traitement ou du sous-traitant.
Si les autorités de contrôle concernées présentent des objections tendant au prononcé d’une mesure plus stricte, le président de la CNIL désigne un rapporteur chargé d’instruire l’affaire. La formation restreinte doit soumettre ledit rapport et son projet de décision aux autorités de contrôle concernées, lesquelles peuvent à nouveau s’opposer à la décision, ce qui entraînera l’ouverture d’une instruction, puis la prise de décision finale.
La CNIL se voit donc allouer plusieurs casquettes par la nouvelle réglementation issue du RGPD : dispensateur de conseils, organe normatif, autorité d’enquête et de sanction.
Virginie PERDRIEUX
Vivaldi-Avocats
