RGPD : les premières mesures d'application sont fixées par décret

Actualités - Droit des affaires

RGPD : les premières mesures d'application sont fixées par décret

Septembre 2018

La loi 2018-493 du 20 juin 2018 a modifié la loi 78-17 dite « informatique et libertés » pour l’adapter au règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD). La mise en conformité du droit français aux règles européennes se poursuit avec le décret 2018-687 du 1^er aout 2018.

Délégué à la protection des données. – Pour mémoire, le correspondant informatique et libertés (CIL) a été supprimé (loi 2018-493 du 20 juin 2018, art. 11, JO du 21). En lieu et place, un délégué à la protection des données (DPD) doit être désigné dans certains cas, mais la CNIL recommande d’en désigner un même quand cela n’est pas obligatoire (voir Dictionnaire Social, « Délégué à la protection des données »).

Le DPD veille au respect des obligations prévues par le RGPD et la loi informatique et libertés (décret 2005-1309, art. 42 modifié).

Le responsable du traitement (ex. : l’employeur) communique sans délai et par voie électronique les coordonnées de son DPD à la CNIL. Il procède de la même façon en cas de modification de celles-ci (décret 2005-1309, art. 43 modifié).

Plusieurs responsables de traitement peuvent désigner un seul DPD. Il s’agit d’un délégué « mutualisé » (décret 2005-1309, art. 43 modifié ; délib. CNIL 2018-284 du 21 juin 2018, JO du 3).

Modalités d’exercice des droits d’accès, de rectification, d’effacement, etc.. – Pour rappel, la personne dont les données personnelles sont traitées dispose de droits d’accès, de rectification, d’effacement, etc. auprès du responsable du traitement.

Les modalités d’exercice de ces droits sont aujourd’hui précisées. En particulier, la personne concernée doit justifier de son identité, étant précisé qu’elle peut le faire par tout moyen (décret 2005-1309, art. 92 modifié).

S’agissant du droit d’opposition, il est désormais imposé que la personne concernée soit mise en mesure d'exprimer son choix à tout moment et, en tout état de cause, avant la validation définitive de ses réponses (décret 2005-1309, art. 92 modifié).

Saisine de la CNIL. - Le décret modifie les modalités de fonctionnement de la CNIL (décret 2005-1309, art. 3, 4, 4-1, 6, 6-1, modifiés). Certaines nouveautés sont susceptibles d’intéresser les employeurs, leurs DRH ainsi que les DPD.

Ainsi, la CNIL reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci (loi 78-17, art. 11). Désormais, elle fournit un formulaire de réclamation pouvant être rempli par voie électronique. Il est aussi précisé que le silence gardé pendant 3 mois par la CNIL sur une réclamation vaut décision de rejet (décret 2005-1309, art. 6-2 nouveau).

Gratuité des missions de la CNIL. - L'accomplissement des missions de la CNIL est gratuit, notamment pour le DPD. Toutefois, lorsqu'une demande est manifestement infondée ou excessive en raison notamment de son caractère répétitif, la CNIL peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. En cas de contestation, c’est à la CNIL de prouver le caractère manifestement infondé ou excessif de la demande (décret 2005-1309, art. 6-3 nouveau).

Liste de certains traitements publiés au JO. - La CNIL publiera des listes de certains traitements au JO, et notamment ceux pour lesquels une analyse d'impact relative à la protection des données est requise (voir Dictionnaire Social, « Analyse d’impact des données ») (décret 2005-1309, art. 6-4 nouveau).

Certificat de conformité au RGPD. - La CNIL peut certifier des personnes, des produits, des systèmes de données ou des procédures pour reconnaître leur conformité au RGPD (loi 78-17, art. 11). Il est désormais indiqué que la CNIL se prononce dans un délai de 4 mois à compter de la réception d'une demande complète de certification. Ce délai peut être prolongé de 2 mois supplémentaires sur décision de son président. Lorsque la CNIL ne s'est pas prononcée dans ces délais, la demande est réputée rejetée (décret 2005-1309, art. 6-8 nouveau). En outre, les certifications sont délivrées au maximum pour 3 ans (décret 2005-1309, art. 6-8 nouveau).

S’adresser à la CNIL par voie électronique. - Le responsable du traitement ou son représentant adresse ses déclarations, consultations et demandes à la CNIL par voie électronique (décret 2005-1309, art. 8 et 11 modifiés).

Contrôles de la CNIL. - Les modalités de contrôle de la CNIL font l’objet d’ajustements, par exemple en cas de contrôle sur place ou de contrôle en ligne (décret 2005-1309, art. 62 modifié et 35-1 nouveau).

Mise en demeure. - En cas de mise en demeure d’un responsable de traitement par la CNIL, le délai au terme duquel il est tenu d'avoir fait cesser le ou les manquements constatés passe de 3 à 6 mois (décret 2005-1309, art. 73 modifié).

Sanctions prononcées par la CNIL. - La procédure de prise de sanction par la CNIL à l’encontre d’un responsable de traitement est également aménagée (décret 2018-687, art. 21). À ce titre, signalons notamment que, lorsqu'une sanction est susceptible d'être prononcée, le président de la CNIL en informe désormais le responsable de traitement (décret 2005-1309, art. 74 modifié).

Décret 2018-687 du 1er août 2018, JO du 3