Les principales dispositions du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Le décret du 29 mai 2019 a pour objectifs principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application.

Le décret n° 2019-536, publié le 30 mai 2019, constitue la dernière étape de la mise en conformité du droit national avec le règlement général sur la protection des données (RGPD) et la directive « police-justice », applicable aux fichiers de la sphère pénale. Le cadre juridique national relatif à la protection des données est dorénavant stabilisé.

L’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes :

• modifications de la loi « Informatique et libertés », par la loi du 20 juin 2018, puis de son décret d’application, par décret du 1er août 2018 ;

• réécriture et mise en cohérence de cette loi, par l’ordonnance du 12 décembre 2018 ;

• élaboration d’un nouveau décret d’application de la loi, daté du 29 mai 2019 et entré en vigueur le 1er juin.

La Cnil s’est prononcée sur l’ensemble de ces dispositions, dans la perspective constante d’assurer un haut niveau de protection des données en France dans le respect des normes européennes.

Elle a néanmoins émis plusieurs observations en vue d’améliorer la sécurité juridique assurée par le texte aux personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD. Elle a également souhaité préciser l’encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction.

À noter. L’entrée en vigueur du règlement général sur la protection des données le 25 mai 2018 n’était que la ligne de départ du processus de refonte des textes français en la matière, laquelle vient de s’achever avec le décret 2019-536 du 29 mai 2019 ce qui n’a toutefois pas empêché les entreprises de commencer à adapter leurs traitements de données personnelles dans l’intervalle depuis un an déjà.

Pour le gouvernement, la loi et son décret d’application, profondément remaniés, doivent permettre aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel.

Composé de six titres, le décret n° 2019-536 procède, d’une part, dans un objectif d’accessibilité et d’intelligibilité du droit, à la réorganisation des dispositions réglementaires applicables afin de tenir compte de la nouvelle architecture de la loi informatique et libertés et, d’autre part, aux dernières adaptations du droit au RGPD et la directive du 27 avril 2016.

Le titre premier (70 articles) comprend des dispositions communes relatives à la Commission nationale de l’informatique et des libertés. Précisant sa composition et son fonctionnement, il traite également des modalités d’exercice de ses missions de contrôle dans la mise en œuvre des traitements, notamment en matière de coordination avec les autorités régulatrices des États membres de l’Union européenne pour lequel elle peut être amenée à être désignée « chef de file » au sens de l’article 56 du RGPD. Il traite par ailleurs, à travers ses articles 61 à 70, des formalités préalables à la mise en œuvre des traitements.

Le titre II comporte 57 articles applicables aux traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD. Il comporte des dispositions relatives aux codes de conduites, règles d’entreprises contraignantes et certifications, aux traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, aux droits des personnes, aux obligations incombant au responsable du traitement et au sous-traitant, en particulier dans le domaine de la santé, ainsi qu’aux droits et obligations propres aux traitements dans le secteur des communications électroniques.

Les 10 articles du titre III s’appliquent aux traitements mis en œuvre par les autorités compétentes, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales ou de menaces à la sécurité publique, complétant ainsi la transposition de la directive précitée du 27 avril 2016.

Le titre IV, avec 11 articles, comporte les dispositions relatives aux traitements intéressant la sûreté de l’État et la défense.

Enfin, le titre V procède à l’adaptation Outre-mer de ces dispositions réglementaires.

Le contrôle sur place de la Cnil

Le décret précise que lorsque la Cnil demande, pour l’exercice de ses missions, communication de documents dont doit disposer le responsable du traitement ou le sous-traitant en application du règlement (UE) 2016/679 du 27 avril 2016 ou de la loi 6 janvier 1978, elle peut exiger que l’organisme concerné joigne une traduction en français des documents rédigés dans une autre langue.

Par ailleurs, lorsque la commission effectue un contrôle sur place, elle doit informer, au plus tard lors de son arrivée sur place, le responsable des lieux ou son représentant de l’objet des vérifications qu’elle compte entreprendre, de l’identité et de la qualité des personnes chargées du contrôle ainsi que, le cas échéant, de son droit d’opposition à la visite.

Lorsque le responsable du traitement ou le sous-traitant n’est pas présent sur les lieux du contrôle, ces informations doivent être portées à sa connaissance dans les quinze jours suivant le contrôle.

Dans le cadre de leurs vérifications, les personnes chargées du contrôle doivent présenter en réponse à toute demande leur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles.

En outre, l’ordonnance autorisant la visite sur place doit comporter l’adresse des lieux à visiter, le nom et la qualité du ou des agents habilités à procéder aux opérations de visite et de contrôle, et le cas échéant le nom et la qualité du ou des agents ou membres des autorités de contrôle des États membres habilités à procéder aux mêmes opérations, ainsi que les heures auxquelles ils sont autorisés à se présenter.

L’ordonnance, exécutoire au seul vu de la minute, doit être notifiée sur place, au moment de la visite, au responsable des lieux ou à son représentant qui doit en recevoir copie intégrale contre récépissé ou émargement au procès-verbal de visite.

L’acte de notification doit comporter la mention des voies et délais de recours contre l’ordonnance ayant autorisé la visite et contre le déroulement des opérations de vérification. Il doit mentionner également que le juge ayant autorisé la visite peut être saisi d’une demande de suspension ou d’arrêt de cette visite.

En l’absence du responsable des lieux ou de son représentant, l’ordonnance doit être notifiée, après la visite, par lettre recommandée avec demande d’avis de réception. À défaut de réception de la lettre recommandée, il sera procédé à la signification de l’ordonnance par acte d’huissier de justice.

À noter. Le juge des libertés et de la détention peut, s’il l’estime utile, se rendre dans les locaux pendant l’intervention. À tout moment, il peut décider la suspension ou l’arrêt de la visite. La saisine du juge des libertés et de la détention aux fins de suspension ou d’arrêt des opérations de visite et de vérification n’a pas d’effet suspensif.

Par ailleurs, l’ordonnance autorisant la visite peut faire l’objet d’un appel devant le premier président de la cour d’appel. Cet appel doit être formé par déclaration remise ou adressée par lettre recommandée avec demande d’avis de réception au greffe de la cour d’appel dans un délai de quinze jours à compter de la notification de l’ordonnance.

Cet appel n’est pas suspensif. Le greffe du tribunal de grande instance doit transmettre sans délai le dossier de l’affaire au greffe de la cour d’appel où les parties peuvent le consulter. L’ordonnance du premier président de la cour d’appel est susceptible d’un pourvoi en cassation.

Le premier président de la cour d’appel connaît aussi des recours contre le déroulement des opérations de visite autorisées par le juge des libertés et de la détention sur le fondement du II de l’article 19 de la loi du 6 janvier 1978. Ce recours n’est pas suspensif.

Par ailleurs, les missions de contrôle sur place doivent faire l’objet d’un procès-verbal. Le PV doit énoncer la nature, le jour, l’heure et le lieu des vérifications ou des contrôles effectués. Il doit indiquer également l’objet de la mission, les membres de celle-ci présents, les personnes rencontrées, et le cas échéant, leurs déclarations, les demandes formulées par les membres de la mission ainsi que les éventuelles difficultés rencontrées.

Rappel. Les missions de contrôle sur place doivent faire l’objet d’un procès-verbal.

Lorsque la visite n’a pu se dérouler, le procès-verbal doit mentionner les motifs qui ont empêché ou entravé son déroulement, ainsi que, le cas échéant, les motifs de l’opposition du responsable des lieux ou de son représentant.

Le procès-verbal doit être signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou par son représentant. En cas de refus ou d’absence de signature, mention doit en être portée au procès-verbal. Celui-ci doit être notifié au responsable des lieux et au responsable des traitements et, le cas échéant, à son sous-traitant par lettre recommandée avec demande d’avis de réception.

Rappel. La convocation doit rappeler à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.

Quoi qu’il en soit, le cas échéant, une mise en demeure doit préciser le ou les manquements aux obligations incombant au responsable du traitement ou au sous-traitant.

La mise en demeure, décidée par le président de la Cnil, doit fixer le délai au terme duquel le responsable du traitement ou le sous-traitant est tenu d’avoir fait cesser le ou les manquements constatés.

Ce délai ne peut, sauf urgence, être inférieur à dix jours. Il ne peut excéder six mois. Il court à compter du jour de la réception par le responsable du traitement de la mise en demeure.

Lorsque la complexité de l’affaire le justifie, ce délai peut être renouvelé une fois dans la même limite.

Par ailleurs, lorsqu’une sanction est susceptible d’être prononcée, le président de la Cnil doit désigner un rapporteur et en informer le responsable de traitement ou le sous-traitant mis en cause.

À noter. Une décision de sanction doit être notifiée à la personne concernée par tout moyen permettant d’attester la date de sa notification.

Le responsable du traitement ou le sous-traitant peut être entendu si le rapporteur l’estime utile. L’audition doit donner lieu à l’établissement d’un procès-verbal. En cas de refus de signer, il doit en être fait mention par le rapporteur.

À noter. Le responsable du traitement ou le sous-traitant dispose d’un délai d’un mois pour transmettre au rapporteur et à la formation restreinte ses observations écrites.

Le responsable du traitement ou le sous-traitant doit être informé de la date de la séance de la formation restreinte au cours de laquelle est inscrite l’affaire le concernant et de la faculté qui lui est offerte d’y être entendu, lui-même ou son représentant, par tout moyen permettant d’attester la date de sa notification. Cette information doit lui parvenir au moins un mois avant la date de la séance au cours de laquelle l’affaire est examinée.

Quoi qu’il en soit, lorsque la formation restreinte décide d’assortir d’une astreinte sa décision d’injonction de mise en conformité, elle peut le faire par la même décision.

Par la suite, le responsable de traitement ou le sous-traitant doit transmettre à la formation restreinte, au plus tard à la date fixée dans la décision de cette dernière, les éléments attestant qu’il s’est conformé à l’injonction prononcée à son encontre.

En cas d’inexécution totale ou partielle ou d’exécution tardive, la formation restreinte procédera à la liquidation de l’astreinte qu’elle avait prononcée. Le montant de l’astreinte sera liquidé en tenant compte des éléments transmis, le cas échéant, par le responsable de traitement ou le sous-traitant, de son comportement et des difficultés d’exécution qu’il a rencontrées, notamment s’il est établi que l’inexécution ou le retard dans l’exécution provient, en tout ou partie, d’une cause étrangère aux capacités de mise en conformité.

À noter. Le responsable du traitement ou le sous-traitant dispose d’un délai de quinze jours à compter de la date de notification des motifs de la liquidation et de son montant pour transmettre à la formation restreinte ses observations écrites.

Lorsque le président de la formation restreinte estime que les éléments d’explication fournis par le responsable de traitement ou le sous-traitant nécessitent des vérifications complémentaires, il peut demander au rapporteur d’intervenir à nouveau.

Les formalités préalables à la mise en œuvre des traitements

Par ailleurs, le décret prévoit qu’en vue de faciliter l’accomplissement des formalités préalables à la mise en œuvre des traitements de données à caractère personnel, la Cnil doit définir des modèles de déclaration, de demande d’avis, de consultation et de demande d’autorisation et fixer la liste des annexes qui, le cas échéant, doivent être jointes.

Les déclarations, demandes d’avis, consultations et demandes d’autorisation doivent être présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l’autorité publique dont il relève doit être mentionnée.

À noter. Les déclarations, consultations et demandes doivent être adressées à la Cnil par voie électronique.

Par ailleurs, l’ordonnance précise que la délibération portant avis, autorisation ou refus d’autorisation de la commission doit être notifiée par lettre remise contre signature ou par voie électronique dans un délai de huit jours, au responsable du traitement qui a présenté la demande.

Les traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD (règlement UE 2016 du 27 avril 2016)

Le règlement général sur la protection des données (RGPD) garantit la protection du citoyen qui confie ses données à une autorité administrative, telle qu’une collectivité. Les services de la Cnil se réfèrent à l’article 32 du RGPD. Cet article requiert de déterminer des mesures proportionnées aux risques que le traitement fait peser sur les personnes et leurs droits.

Le Référentiel général de sécurité (RGS) définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique.

Seul le point de vue diffère légèrement puisque les risques dont il est question pour le RGS sont ceux encourus par l’organisme et non ceux que l’organisme fait encourir aux personnes concernées du fait de la création de téléservices.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de régulation.

Droits de la personne concernée

Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 48, 49, 50, 51, 53, 54, 55 et 56 de la loi du 6 janvier 1978, elle doit justifier de son identité par tout moyen.

À noter. Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l’exige, la photocopie d’un titre d’identité portant la signature du titulaire.

Obligations incombant au responsable du traitement et au sous-traitant

L’ordonnance précise qu’un délégué à la protection des données doit être désigné par le responsable du traitement ou par le sous-traitant dans les cas prévus par l’article 37 du règlement (UE) 2016/679 du 27 avril 2016.

En outre, la communication à la Cnil par le responsable du traitement ou le sous-traitant des coordonnées du délégué à la protection des données prévues au 7 de l’article 37 du règlement (UE) 2016/679 du 27 avril 2016 doit comporter les mentions suivantes :

1° Les noms, prénoms et coordonnées professionnelles du responsable du traitement ou du sous-traitant ou, le cas échéant, ceux de son représentant, ainsi que ceux du délégué à la protection des données.

Pour les personnes morales responsables du traitement et les sous-traitants, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;

2° Lorsque le délégué à la protection des données est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de délégué.

À noter. La dénomination et les coordonnées professionnelles de l’organisme ainsi que les moyens de contacter le délégué à la protection des données doivent faire l’objet d’une diffusion dans un format ouvert et aisément réutilisable par la Commission nationale de l’informatique et des libertés.

Les responsables du traitement ou les sous-traitants peuvent désigner un seul délégué à la protection des données qui exerce sa mission pour le compte de plusieurs d’entre eux.