Loi informatique et libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)


La loi n° 2018-493 du 20 juin 2018 met en conformité la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après "Loi Informatique et Libertés") avec le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (ci-après "RGPD").

 

> L’Institut National de la Consommation a réalisé un décryptage de la loi sous forme de tableau synthétique.

 

Définitivement adopté par l’Assemblée Nationale le 14 mai dernier, le texte a ensuite été validé par le Conseil constitutionnel (décision n°2018-765 DC du 12 juin 2018) et publié le 12 juin 2018 .

 

La loi reprend en grande partie les dispositions du RGPD

Le choix a été effectué de maintenir la loi Informatique et Libertés en la modifiant pour qu’elle puisse être conforme aux dispositions du RGPD.

 

La loi n° 2018-493 du 20 juin 2018 reprend en grande partie les dispositions du RGPD. Certains articles du RGPD renvoient toutefois aux législations nationales ; la loi vient donc apporter des précisions et des éléments complémentaires aux règles européennes. A titre d’exemple, le législateur français a fixé à 15 ans, l’âge minimal de consentement du mineur aux traitements de ses données personnelles.

 

En outre, sur certains points, le RGPD laisse une marge de manœuvre aux législations nationales afin que ces dernières puissent clarifier certains points au regard de leurs spécificités nationales (exemple : dispositions relatives aux pouvoirs de la CNIL).

 

Comprenant 37 articles, la loi s’articule autour de quatre titres :

 

  • dispositions communes d’adaptation au RGPD et à la Directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice"),
  • marges de manœuvre permises par le RGPD,
  • dispositions portant transposition de la Directive "Police Justice",
  • dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales.

La loi sera refondue par voie d’ordonnance

Comme évoqué, la loi ne reprend toutefois pas l’ensemble des dispositions du RGPD. Ainsi, certaines dispositions du règlement européen ne figurent pas dans la loi (exemple : obligations des sous-traitants, concept de « Privacy by design » ou d’intégration de la protection de la vie privée dès la conception du produit ou du service, etc.).

La loi n’est pas définitive et sera amenée à évoluer ; l’article 32 prévoit en effet la révision par ordonnance du Gouvernement de la "Loi Informatique et Libertés", dans les 6 mois à compter de la promulgation de la loi n°2018-493 du 20 juin 2018.

 

La loi est entrée en vigueur le 25 mai 2018

La loi entre en vigueur le 25 mai 2018 (date d’entrée en vigueur du RGPD). Elle est ainsi rétroactive pour la plupart des dispositions, à l’exception de certains articles. Le législateur a précisé que certains articles de la loi nécessitaient des décrets d’application pour assurer leur pleine applicabilité. Le décret n°2018-687 du 1er août 2018 a ainsi été pris pour l’application de la Loi Informatique et Libertés. D’autres mesures d’application sont à venir.

 

 

Samia M’HAMDI,
Juriste à l’Institut national de la consommation

Haut de page