Les décrets
La loi du 20 juin 2018 relative à la protection des données personnelles laisse à un certain nombre de décrets ultérieurs le soin de venir préciser ou compléter certaines de ses dispositions, sur des sujets aussi variés que les pouvoirs de l’organisation de la CNIL, l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou les traitements autorisés à déroger au droit à la communication d’une violation de données.
Cette page se propose de référencer les décrets pertinent pour l’exercice des missions du DPO.
Le décret du 1er août 2018
Décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
Premier et principal décret pris après l’adoption de la loi du 20 juin 2018, ce décret apporte plusieurs compléments cruciaux à celle-ci :
- la composition du Comité d’audit du système national de données de santé est établie, et la procédure d’audit encadrée. A l’instar des inspecteurs de la CNIL, « « les auditeurs peuvent demander communication de tous documents, quel qu’en soit le support, et en prendre copie ».
- la possibilité de contrôle en ligne sous une identité d’emprunt par les inspecteurs de la CNIL est délimitée : « ils dressent un procès-verbal des opérations en ligne réalisées, des modalités de consultation et d’utilisation des sites internet, des réponses obtenues et de leurs constatations. Y sont annexées les pages pertinentes du site au regard des constatations effectuées. Ce procès-verbal est adressé au responsable du traitement ou au sous-traitant. ».
- Le délai de mise en conformité après une mise en demeure peut maintenant atteindre six mois renouvelables, au lieu des trois mois renouvelables actuels. En revanche, dans le cadre de la procédure d’urgence, le délai pendant lequel le responsable de traitement peut transmettre à la formation restreinte ses observations est réduit de quinze à huit jours.
- Les délais de réponse de la CNIL sont précisés : six mois maximum pour les codes de conduite et pour la transmission des règles d’entreprise contraignantes au Comité Européen et deux mois renouvelables pour les clauses contractuelles. Le silence vaudra rejet.
Décret n° 2018-932 du 29 octobre 2018 modifiant les dispositions du code de la défense relatives à la sécurité des traitements de données à caractère personnel comportant la mention de la qualité de militaire
Ce décret limite la possibilités de traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées
Décret sur les données génétiques ou biométriques pour authentification
Le décret autorisant les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes est toujours à paraître.