Source : Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Le décret n° 2019-536 du 29 mai 2019 complète la nouvelle réglementation « informatique et libertés » qui adapte le droit français au RGPD qui est à l’origine d’une succession de modifications pour réécrire la loi « Informatique et libertés » du 6 janvier 1978.

Ce décret prévoit un ensemble de dispositions relatives à la Commission nationale de l’informatique et des libertés (CNIL) (composition, fonctionnement, contrôle de la mise en œuvre des traitements, mesures correctrices, sanctions et astreintes, formalités préalables) et les traitements relevant du régime de protection des données prévu par le RGPD (droit des personnes, obligations du responsable du traitement et du sous-traitant, etc.). Selon la CNIL, la publication de ce décret apporte surtout une clarté à toutes les personnes et organisations ayant à traiter des données personnelles comme le responsable du traitement ou bien son ou ses sous-traitants. Elles pourront « appréhender de manière plus claire leurs droits et obligations » dans ce domaine.

I –

C’est le cas notamment des modalités d’intervention de la CNIL. Désormais, la CNIL donne un avis sur les projets de loi ou de décrets relatifs à la protection des données avec l’obligation de se prononcer dans un délai de deux mois à compter de la date du jour de réception de la demande d’avis. Ce délai pourra être prolongé d’un mois sur décision motivée du président de la CNIL. Toutefois, en cas d’urgence, ce délai est ramené à un mois à la demande du Gouvernement.

Le décret détaille les modalités de coopération de la CNIL avec les autres autorités de contrôle ou avec le comité européen de la protection des données. Ainsi, la CNIL devra désormais soumettre sans délai aux autorités de contrôle concernées le projet d’avertissement ou le projet de mise en demeure.

Dans l’hypothèse où l’une de ces autorités formuleraient des objections que le président de la CNIL entendrait suivre, ce dernier désignera sans tarder un rapporteur qui instruira l’affaire.

La délibération portant avis, autorisation ou refus d’autorisation de la CNIL sera notifiée par lettre remise contre signature ou par voie électronique, dans un délai de huit jours, au responsable du traitement qui a présenté la demande.

II –

Un autre volet du décret concerne les obligations incombant au responsable du traitement et au sous-traitant. Ainsi, un délégué à la protection des données est désigné par le responsable du traitement.

Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux, et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s’exerce la mutualisation.

III –

Une large part du décret est également consacrée aux traitements dans le domaine de la santé. En effet, les demandes d’autorisation de traitement doivent répondre à un formalisme strict. Ainsi, le comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé émet un avis sur :

La méthodologie retenue ;

La nécessité du recours à des données à caractère personnel ;

La pertinence de celles-ci par rapport à la finalité du traitement ; et le cas échéant,

La qualité scientifique du projet.

IV –

Enfin, on relèvera l’introduction de la notion de « demande imprécise ». Ainsi, lorsque la demande transmise par une personne souhaitant exercer ses droits sur ses données est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d’y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires.

Il est par ailleurs précisé que les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement, le sous-traitant ou le délégué à la protection des données en réponse à une demande doivent être explicités, si nécessaire sous la forme d’un lexique ou d’icônes normalisées.