Entré en vigueur le 1er juin 2019, le décret n°2019-536 du 29 mai 2019 est pris en application de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi Informatique et Libertés), telle que modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018.

Ce décret s’inscrit dans le travail d’adaptation du droit français au nouveau cadre européen tel que prévu par le règlement général sur la protection des données (RGPD) du 27 avril 2016.

Rappelons que l’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes :

  • Loi du 20 juin 2018 apportant modifications de la loi « LIL »,
  • Décret d’application du 1er août 2018 ;
  • Ordonnance du 12 décembre 2018 portant réécriture et mise en cohérence de la loi « LIL » ;
  • Décret d’application du 29 mai 2019, entré en vigueur le 1er juin 2019.

Qu’apporte ce nouveau décret à la loi du 6 janvier 1978 ? Mathias Avocats vous en dit plus à ce sujet.

Un cadre français harmonisé

Ce décret du 29 mai 2019 marque l’achèvement du processus d’adaptation du droit national au règlement général sur la protection des données (RGPD).

Comment ?

Ce nouveau décret abroge le décret n°2005-1309 du 20 octobre 2005 modifié en dernier lieu en août 2018 et procède dans un objectif d’accessibilité et de clarté, à la réorganisation des dispositions réglementaires applicables.

Dans un communiqué paru le 3 juin, la Cnil s’est exprimée sur cette réorganisation en indiquant que :

« La loi et son décret d’application, profondément remaniés, permettent dorénavant aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel. »

Ce décret procède également aux dernières adaptations du droit à la réglementation européenne (RGPD). Seules quelques modifications notamment sollicitées par la Cnil elle-même à l’occasion de sa consultation sur le projet de décret le 9 mai 2019, sont à noter.

Des modifications notables sur la procédure devant la formation restreinte

Parmi ces modifications figurent notamment la reformulation de certaines règles procédurales et d’habilitation des agents des services de la Cnil dans le cadre du contrôle de la mise en œuvre des traitements.

Il est à noter que des précisions ont été apportées en matière de mesures correctrices, sanctions et astreintes, plus particulièrement concernant la décision d’injonction de mise en conformité prononcée par la formation restreinte lorsque celle-ci est assortie d’une astreinte (article 44).

Ces précisions concernent notamment :

  • Le délai accordé au responsable du traitement ou au sous-traitant pour que ceux-ci attestent de leur conformité à l’injonction prononcée :

« Le responsable de traitement ou le sous-traitant transmet à la formation restreinte, au plus tard à la date fixée dans la décision de cette dernière, les éléments attestant qu’il s’est conformé à l’injonction prononcée à son encontre. »

  • Le délai accordé au responsable du traitement ou le sous-traitant afin qu’il transmette à la formation restreinte ses observations écrites :

« Le responsable du traitement ou le sous-traitant dispose d’un délai de quinze jours à compter de la date de notification des motifs de la liquidation et de son montant pour transmettre à la formation restreinte ses observations écrites. Ce délai est mentionné lors de la notification. Celle-ci a lieu par tout moyen. »

  • Les conséquences d’une inexécution totale ou partielle ou d’exécution tardive de la transmission demandée :

« En cas d’inexécution totale ou partielle ou d’exécution tardive, la formation restreinte procède à la liquidation de l’astreinte qu’elle avait prononcée. Le montant de l’astreinte est liquidé en tenant compte des éléments transmis, le cas échéant, par le responsable de traitement ou le sous-traitant, de son comportement et des difficultés d’exécution qu’il a rencontrées, notamment s’il est établi que l’inexécution ou le retard dans l’exécution provient, en tout ou partie, d’une cause étrangère aux capacités de mise en conformité. »

A ce titre, il est également précisé que la décision prononçant la liquidation de l’astreinte est précédée d’une procédure écrite durant laquelle la formation restreinte de la Cnil informe le responsable du traitement ou le sous-traitant des motifs de la liquidation envisagée et de son montant.

  • Enfin, il est possible pour le rapporteur désigné dans le cadre de la procédure d’intervenir de nouveau sous demande du président de la formation restreinte estimant que les éléments d’explication fournis par le responsable de traitement ou le sous-traitant nécessitent des vérifications complémentaires.

L’adaptation du cadre français à la suite de l’entrée en application du règlement général sur la protection des données (RGPD) est finalisée avec ce nouveau décret, la jurisprudence nous éclairera sur son application.