Accueil > NTIC / Médias / Presse
NTIC / Médias / Presse

La loi relative à la protection des données personnelles

Publié le 08/06/2018
Jean-Claude Zarka
maître de conférences HDR à l’université Toulouse 1 Capitole

Ce texte vient mettre en conformité le droit français avec le « paquet européen de protection des données » qui a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Il adapte le rôle de la Cnil aux nouvelles exigences européennes. Il fixe à 15 ans l’âge à partir duquel un mineur pourra consentir seul au traitement des données le concernant. Il procède également à l’extension de l’action de groupe en matière de données personnelles à la réparation des dommages subis.

Le « paquet européen de protection des données » que la loi relative à la protection des données personnelles1 vient transposer dans le droit français comporte deux textes d’importance : le règlement (UE) n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après RGPD)2 et la directive n° 2016/680/UE relative à la protection des données personnelles en matière policière et judiciaire3.

De « portée mondiale, puisqu’il devra être appliqué par tout organisme traitant les données personnelles des résidents européens », le nouveau règlement européen sur la protection des données personnelles4 est un « texte fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle »5. Le RGPD, qui a été présenté comme la « première réponse juridique »6 au scandale Cambridge Analytica7, poursuit trois grands objectifs : renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions spécifiques aux personnes mineures ; responsabiliser tous les acteurs traitant des données (responsables de traitement et sous-traitants) en privilégiant le recours à des outils de « droit souple » ; et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Comme le RGPD qui est entré en vigueur le 25 mai 2018, la directive n° 2016/680/UE vise à harmoniser les règles nationales afin d’assurer dans tous les États membres un niveau élevé de protection des données personnelles. Elle a vocation à appliquer aux données personnelles en matière policière et judiciaire les principes fondamentaux de la protection des données personnelles. Des fichiers de police judiciaire comme le fichier national automatisé des empreintes génétiques (FNAEG) ou le fichier « traitement d’antécédents judiciaires » (TAJ) seront concernés.

La directive européenne innove avec la création, en matière pénale, d’un droit à l’information de la personne concernée par les données personnelles traitées et l’instauration d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe.

La loi relative à la protection des données personnelles dite loi Cnil 3 vient adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, au « paquet européen de protection des données ». Le gouvernement a fait « le choix de conserver, dans un souci d’intelligibilité, l’architecture de (cette) loi »8 qui a été modifiée à plusieurs reprises, la dernière modification en date étant celle réalisée par la loi du 7 octobre 2016 pour une République numérique9. La réécriture d’ensemble de la loi Informatique et libertés est renvoyée à une ordonnance ultérieure de « recodification » (art. 32)10.

L’objet de la présente étude sera de présenter les principaux apports de la loi Cnil 3.

I – Le champ d’application des règles françaises adaptant ou complétant le RGPD

Bien que d’application directe, le RGPD compte plus d’une cinquantaine de « marges de manœuvre »11 qui viennent autoriser les États membres à préciser certaines dispositions ou à prévoir plus de garanties que ce que prévoit le droit de l’UE.

La loi Cnil 3 vient déterminer les modalités d’application territoriale en cas de divergence des législations nationales liées à ces marges de manœuvre. Elle précise que les règles nationales s’appliqueront « dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France » (art. 10). Cependant, lorsque seront concernés des traitements de données personnelles réalisés à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire mettant en cause le droit à la liberté d’expression et d’information, le droit applicable sera celui dont relève le responsable du traitement lorsqu’il est établi au sein de l’UE.

II – Les dispositions relatives au traitement des données sensibles

La loi n° 78-17 du 6 janvier 1978 fait bénéficier les données sensibles d’un régime de protection particulier. L’article 8 de la loi Cnil 3 modifie la rédaction de l’article 8 de la loi fondatrice de 1978 de façon à assurer sa compatibilité avec l’article 9 du RGPD et l’article 10 de la directive n° 2016/680/UE. Il maintient le principe d’interdiction de tout traitement de données dites « sensibles » tout en élargissant leur champ aux « données génétiques et biométriques aux fins d’identifier une personne physique de manière unique », ainsi qu’aux données « concernant l’orientation sexuelle d’une personne physique ».

Il vient aussi compléter la liste des exceptions au principe d’interdiction des traitements de données sensibles. Il prévoit l’introduction d’une dérogation pour les traitements mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires aux contrôles de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires. Il ajoute aussi une dérogation pour les traitements mis en œuvre par l’État qui sont autorisés et justifiés par l’intérêt public.

L’article 13 de la loi Cnil 3 élargit la liste des personnes habilitées à procéder, à des fins autres que la prévention et la répression d’infractions pénales, au traitement de données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes. Les traitements de ces données sensibles pourront être mis en œuvre par trois nouvelles catégories d’acteurs : les personnes morales de droit privé collaborant au service public de la justice ; certaines personnes aux fins de préparation, de suivi et d’exécution d’une action en justice ; et les réutilisateurs des informations publiques figurant dans les décisions de justice.

L’article 13 permet la réutilisation des données sensibles dans le cadre de la mise à disposition du public à titre gratuit (open data) des décisions de justice prévue par la loi du 7 octobre 2016 pour une République numérique, à la condition que cette réutilisation n’ait ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. Le texte législatif vient ici reprendre l’une des recommandations figurant dans le rapport sur l’open data des décisions de justice qui a été remis à la ministre de la Justice, Nicole Belloubet, le 9 janvier 2018.

Enfin, l’article 16 vient regrouper au sein du chapitre IX de la loi du 6 janvier 1978 l’ensemble des dispositions relatives au traitement des données de santé. Il ne modifie pas le régime de protection de ces données « qui constituent toujours des données sensibles au sens de l’article 8 de la loi Informatique et libertés »12.

III – La simplification des formalités préalables à la mise en œuvre des traitements de données personnelles

La plupart des formalités préalables à la mise en œuvre des traitements de données à caractère personnel sont supprimées (art. 11). En effet, le texte législatif supprime tant les régimes de déclaration préalable que les régimes d’autorisation qui figurent aux articles 22 à 25 de la loi du 6 janvier 1978. Ce faisant, il vient tirer les conséquences de la nouvelle logique de « responsabilisation » des acteurs posée par le RGPD. Le législateur a cependant souhaité conserver certaines formalités préalables pour les traitements des données les plus sensibles.

Le régime de déclaration préalable prévu aux articles 22 à 24 de la loi Informatique et libertés disparaît. Il reviendra au responsable de traitement d’effectuer une analyse d’impact afin de mesurer le risque en matière de protection des données et, en cas de risque élevé, de consulter la Cnil.

Le texte supprime également le régime d’autorisation par la Cnil, ou par décret en Conseil d’État ou arrêté pris après avis de celle-ci, pour les traitements de données mis en œuvre par ou pour le compte de l’État, d’un établissement public ou d’une personne morale de droit privé gérant un service public.

En revanche, le régime d’autorisation préalable est maintenu pour les traitements mis en œuvre pour le compte de l’État et portant sur des données biométriques ou génétiques. Le régime d’autorisation préalable subsiste également pour les traitements mis en œuvre pour le compte de personnes publiques ou privées portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).

IV – Le renforcement des compétences de la Cnil

Le rôle de la Cnil en matière de protection des données personnelles est réaffirmé en tant qu’« autorité de contrôle nationale au sens et pour l’application du [RGPD]».

L’article 1er de la loi Cnil 3, qui vient compléter l’article 11 de la loi du 6 janvier 1978, attribue de nouveaux pouvoirs à la Cnil. Il vient remplacer son rôle de contrôle administratif préalable par un rôle d’accompagnement de la conformité (compliance)13 tout au long du cycle de vie des données personnelles. Il privilégie le recours aux outils de « droit souple ».

La Cnil obtient effectivement le pouvoir d’adopter des lignes directrices, recommandations ou référentiels qui sont destinés à accompagner les responsables de traitement et sous-traitants dans la mise en œuvre des nouvelles obligations qui leur sont faites. Elle sera chargée d’encourager l’élaboration de codes de conduite définissant ces obligations. Elle établira des règlements-types assurant la sécurité des systèmes de traitement de données à caractère personnel et régissant les traitements de données biométriques, génétiques et de santé.

Elle pourra certifier des personnes, des produits, des systèmes de données ou des procédures de manière à reconnaître leur conformité au RGPD et à la loi du 6 janvier 1978. Elle pourra agréer des organismes certificateurs sur la base de l’accréditation délivrée par le Comité français d’accréditation (COFRAC).

La Cnil aura également la faculté d’établir une liste de traitements de données susceptibles de créer un risque élevé pour les droits et les libertés des personnes concernées, traitements qui devront faire l’objet d’une consultation préalable de la Cnil.

D’autre part, le régulateur français des données personnelles pourra être consulté par les présidents des deux chambres ainsi que par les commissions permanentes des assemblées et les présidents de groupes parlementaires sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données (art. 1). L’Assemblée nationale a vu dans cette disposition, qui avait été supprimée par le Sénat en première lecture, le moyen de renforcer l’expertise du Parlement en matière de protection des données personnelles.

Par ailleurs, l’article 5 de la loi Cnil 3, qui modifie l’article 44 de la loi du 6 janvier 1978, vient préciser certaines modalités d’exercice des pouvoirs de contrôle dont dispose la Cnil. Il précise la nature des locaux dans lesquels les agents de la Cnil peuvent procéder à des contrôles sur place, en étendant cette possibilité à l’ensemble des locaux qui ne sont pas affectés au domicile privé.

Le texte indique que les agents de la Cnil peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles.

Seul le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et, sous certaines conditions, le secret médical, pourront être opposables aux agents de la Cnil.

L’article 5 prévoit également la possibilité pour ces derniers d’utiliser une identité d’emprunt lors des contrôles en ligne. « À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction ».

Il est précisé que la Cnil ne sera pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle et cela conformément à l’article 55 du RGPD.

Enfin, l’article 7 de la loi renforce les pouvoirs de sanction de la Cnil. Cette dernière aura la faculté d’infliger des amendes administratives qui pourront aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné. Le texte permet à la Cnil d’assortir d’une astreinte l’injonction à un responsable de traitement de se mettre en conformité avec la loi ou le RGPD ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits. Cette astreinte ne pourra pas excéder 100 000 € par jour. Elle ne concernera pas les traitements mis en œuvre par l’État.

Le texte législatif n’a pas repris les dispositions introduites par le Sénat qui visaient à prévoir une exemption d’amendes administratives et d’astreintes pour les collectivités territoriales et leurs groupements, et à destiner le produit de ces sanctions pécuniaires au financement de l’assistance apportée par l’État aux responsables de traitement et à leurs sous-traitants afin que ceux-ci se conforment aux obligations en vigueur en matière de protection des données14. Il a également écarté la création, souhaitée par les sénateurs, d’une dotation communale et intercommunale pour la protection des données personnelles, afin d’aider les plus petites collectivités locales à se mettre en conformité avec le RGPD.

Le désaccord entre les deux assemblées sur ces dispositions visant à faciliter l’application des règles relatives à la protection des données personnelles par les collectivités locales est l’une des causes de l’échec de la commission mixte paritaire du 6 avril 2018. Mais la loi vient toutefois répondre aux préoccupations du Sénat en facilitant la mutualisation des services numériques entre collectivités territoriales, lesquelles pourront se doter d’un délégué à la protection des données (DPO)15 commun (art. 31). Elle prévoit aussi, comme le réclamaient les sénateurs, que la Cnil pourra apporter « une information adaptée » aux collectivités locales et qu’elle devra tenir compte de la particularité de ces dernières en ce qui concerne les outils de « droit souple » qu’elle mettra en place (art. 1er).

V – La possibilité pour l’Administration de recourir à des décisions individuelles automatisées

Le texte ouvre plus largement la possibilité pour l’Administration de recourir à des décisions automatisées prises sur le fondement d’un algorithme, dans le seul champ des décisions administratives individuelles, à la condition d’offrir en contrepartie d’importantes garanties en matière d’information des personnes, de maîtrise des traitements, de droit au recours et de données traitées (art. 21).

Lors des débats parlementaires, l’Assemblée nationale s’est opposée au Sénat qui a cherché à encadrer plus strictement le recours aux algorithmes dans le cadre de décisions administratives.

On rappellera que la loi pour une République numérique de 2016 a créé un droit d’accès aux règles définissant les traitements algorithmiques utilisés par les administrations publiques et aux principales caractéristiques de leur mise en œuvre, lorsque ces traitements débouchent sur des décisions individuelles.

VI – La majorité numérique à 15 ans

La loi a fixé à 15 ans et non pas à 16 ans comme le souhaitait le Sénat, l’âge à partir duquel un mineur peut consentir seul au traitement de ses données dans le cadre d’une « offre directe de services de la société de l’information » (art. 20). Si l’article 8 du RGPD fixe, lui, à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données, il autorise les États membres à abaisser ce seuil jusqu’à un plancher de 13 ans.

Selon la députée Paula Forteza, rapporteure du texte de loi, l’âge de 15 ans, qui est calqué sur l’âge de la majorité sexuelle, est « l’âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet ».

Cette question sensible de la majorité numérique, qui a divisé les deux assemblées parlementaires, ne fait pas l’objet d’un consensus en Europe. Il existe en réalité différentes situations : l’Irlande, la République tchèque et le Royaume-Uni s’orienteraient vers l’âge de 13 ans, l’Espagne vers celui de 14 ans, la Croatie et la Grèce vers celui de 15 ans, l’Allemagne et le Luxembourg ayant maintenu l’âge initial de 16 ans16.

Par ailleurs, le traitement des données d’un mineur âgé de moins de 15 ans ne sera licite que si le consentement est donné par ce dernier et le ou les titulaires de l’autorité parentale.

Enfin, le responsable de traitement devra faire preuve de pédagogie en rédigeant « en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne ».

VII – Les dispositions concernant les voies de recours

Le législateur a souhaité renforcer les capacités d’action des citoyens face aux atteintes à la protection de leurs données personnelles. C’est la raison pour laquelle il a tenu à introduire la possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fins de réparation d’un dommage causé par un manquement aux dispositions de la loi du 6 janvier 1978, par un responsable de traitement de données ou un sous-traitant (art. 25). Cette action de groupe s’exercera dans le cadre de la procédure individuelle de réparation définie par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, laquelle a instauré une action de groupe en matière de protection des données à caractère personnel.

Afin d’empêcher la « multiplication des recours abusifs », le Sénat aurait voulu soumettre à un agrément délivré par l’autorité administrative la faculté pour une association d’exercer une action de groupe en matière de données personnelles. Mais l’Assemblée nationale a écarté cette mesure qui, selon elle, était de nature à limiter la portée de l’extension de l’action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux subis. Elle n’a pas non plus jugé opportun de différer de deux années l’entrée en vigueur du dispositif, comme le proposaient également les sénateurs pour laisser le temps aux responsables de traitement de s’adapter aux nouvelles obligations issues du RGPD.

Par ailleurs, le législateur vient créer un nouvel article 43 quater dans la loi du 6 janvier 1978 pour prévoir qu’une personne concernée pourra mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la Cnil, un recours juridictionnel contre la Cnil ou contre un responsable de traitement ou un sous-traitant (art. 26).

Les associations et organisations qui pourront exercer cette action sont : les associations régulièrement déclarées depuis 5 ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ; les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement affecte des consommateurs ; et les organisations syndicales de salariés ou de fonctionnaires représentatives, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

D’autre part, afin de tenir compte de l’arrêt Schrems17 de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015, l’article 27 introduit une nouvelle voie de recours pour la Cnil lorsque celle-ci souhaite contester la validité d’une décision prise par la Commission européenne relative au transfert de données personnelles vers un pays tiers. Saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la Cnil pourra, dans le cas où elle juge fondés les griefs avancés, demander au Conseil d’État d’ordonner la suspension du transfert de données en cause, le cas échéant sous astreinte, et assortir ses conclusions d’une demande de question préjudicielle à la CJUE « en vue d’apprécier la validité de la décision d’adéquation de la Commission prise sur le fondement de l’article 45 du [RGPD] ainsi que de tous les actes pris par [celle-ci] relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement ».

Enfin, la Cnil pourra présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD.

VIII – Les dispositions portant transposition de la directive n° 2016/680/UE

La loi Cnil 3 procède à une transposition fidèle de la directive n° 2016/680/UE. Son article 29 lève l’exclusion du droit d’information de la personne dans le cas des traitements qui ont pour objet l’exécution de condamnations pénales ou de mesures de sûreté et pour ceux ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales. Il supprime le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements ayant pour but de prévenir, rechercher ou constater des infractions.

Par ailleurs, l’article 30 de la loi vient regrouper, dans un chapitre unique18, l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale prévues par la directive n° 2016/680/UE.

En conclusion, il apparaît que la loi Cnil 3 est de nature à permettre l’application effective du RGPD et de la directive n° 2016/680/UE qui représentent un progrès essentiel pour la protection des données personnelles. Il s’agit d’un texte majeur car la protection des données, qui est consacrée comme un droit fondamental dans la Charte des droits fondamentaux de l’UE, est à n’en pas douter un « enjeu de démocratie ». Ce texte législatif d’apparence technique témoigne de l’existence d’un véritable modèle européen en matière de protection des données personnelles. Ce dernier vient à la fois renforcer les droits des personnes sur leurs données, les obligations des responsables des traitements de ces données ainsi que les pouvoirs des autorités de protection des données personnelles.

Notes de bas de pages

  • 1.
    Elle a été définitivement adoptée par l’Assemblée nationale, le 14 mai 2018. Le Conseil constitutionnel a été saisi le 16 mai 2018.
  • 2.
    Règl. (UE) PE et Cons. UE, 27 avr. 2016, n° 2016/679 du relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE.
  • 3.
    Dir. PE et Cons. UE, 27 avr. 2016, n° 2016/680/UE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données et abrogeant la décision-cadre n° 2008/977/JAI du Conseil.
  • 4.
    L’article 4 du RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne vivante identifiée ou identifiable ». Il précise qu’une « personne physique identifiable » est une personne physique pouvant être identifiée, directement ou indirectement, notamment par le biais d’un identifiant (nom, numéro d’identification, données de localisation, identifiant en ligne), ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. La loi n° 78-17 du 6 janvier 1978 constitue en France le texte fondateur en matière de protection de données à caractère personnel. Constitue une donnée de ce type au sens de l’article 2 de cette loi, « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Qualifiées initialement par le législateur français d’« informations nominatives », les informations identifiant ou permettant d’identifier une personne ont été ensuite qualifiées de données à caractère personnel. V. Eynard J., Les données personnelles. Quelle définition pour un régime de protection efficace ?, 2013, Michalon.
  • 5.
    Rapp. d’information (n° 577), portant observations sur le projet de loi (n° 490) déposé par la commission des affaires européennes de l’Assemblée nationale, p. 5.
  • 6.
    V. Le Monde 25 avr. 2018.
  • 7.
    L’affaire Cambridge Analytica a montré l’importance de la protection des données personnelles. Le 17 mars 2018, le New York Times et le London’s Observer ont révélé que la firme britannique Cambridge Analytica était parvenue à se procurer, en 2014, les données de millions d’utilisateurs de Facebook sans leur consentement.
  • 8.
    Communiqué de presse du conseil des ministres, 13 déc. 2017.
  • 9.
    L. n° 2016-1321, 7 oct. 2016 : JO n° 235, 8 oct. 2016 ; Zarka J.-C., « La loi pour une République numérique », LPA 26 oct. 2016, n° 121e8, p. 7.
  • 10.
    Cette ordonnance sera adoptée après avis de la Cnil dans un délai de 6 mois à compter de la promulgation de la loi Cnil 3.
  • 11.
    La députée (LREM) Paula Forteza, rapporteure du projet de loi, a indiqué que le législateur a choisi de ne pas utiliser toutes les marges de manœuvre « afin d’aller vers une homogénéisation au niveau européen » (v. « RGPD : la révolution de la protection de la data est en marche », LeParisien.fr. 26 avr. 2018).
  • 12.
    V. Commission AN des affaires sociales, avis n° 579 sur le projet de loi, p. 38.
  • 13.
    Rapp. Sénat, n° 441 sur le projet de loi, 18 avr. 2018, p. 21.
  • 14.
    La commission des lois de l’Assemblée nationale a estimé que ce fléchage du produit des amendes et astreintes prononcées par la Cnil était contraire à la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances.
  • 15.
    L’article 37, alinéa 3, du RGPD a prévu cette possibilité de mutualiser le DPO, lequel est au cœur du RGPD. Le DPO est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Contrairement au souhait des sénateurs, la loi n’impose pas à la Cnil d’établir une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de DPO dans les administrations publiques.
  • 16.
    V. 2e séance AN, 7 févr. 2018 : JO, 8 févr. 2018.
  • 17.
    Cet arrêt a invalidé la décision n° 2000/520/CE du 26 juillet 2000 de la Commission européenne ; décision par laquelle cette dernière avait estimé que le Safe Harbor, « ensemble de principes de protection des données personnelles publié par le Département du Commerce américain », assurait un niveau de protection adéquat pour les transferts de données personnelles en provenance de l’UE vers les États-Unis (CJUE, 6 oct. 2015, n° C-362/14, Maximillian Schrems c/ Data Protection Commissioner). Le Safe Harbor a été remplacé par le Privacy Shield, entré en vigueur le 1er août 2016, qui encadre désormais le transfert de données personnelles entre l’UE et les États-Unis.
  • 18.
    Ce nouveau chapitre XIII de la loi du 6 janvier 1978 est composé de 27 articles (art. 70-1 à 70-27).
LPA 08 Juin. 2018, n° 136q1, p.6

Référence : LPA 08 Juin. 2018, n° 136q1, p.6

Référence : AJU58607

icone presse-papiers
Plan
X