Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
L’entrée en vigueur du Règlement Général sur la Protection des Données le 24 mai 2018 n’était que la ligne de départ du processus de refonte des textes français en la matière, laquelle vient de s’achever avec le Décret 2019-536 du 29 mai 2019 (1), ce qui n’a toutefois pas empêché les entreprises de commencer à adapter leurs traitements de données personnelles dans l’intervalle depuis un an déjà (2).
1. Entrée en vigueur le 1er juin 2019 du Décret 2019-536
Après la Loi 2018-493 du 20 juin 2018 et l’Ordonnance 2018-1125 du 12 décembre 2018, qui ont respectivement adapté puis « ordonné » la Loi informatique et libertés du 6 janvier 1978 (voir précédent article du mois de décembre 2018), manquait encore le décret leur permettant d’entrer en vigueur, et qui était prévu pour le 1er juin 2019 au plus tard ; c’est donc chose faite, tout juste en temps utile avec le Décret 2019-536 publié le 30 mai 2019, « pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
Fondamentalement, ce dernier texte permet surtout à l’ensemble normatif de recevoir désormais application, ainsi que le mentionne sa notice introductive selon laquelle « le décret tire les conséquences de forme et de fond de la loi n°78-17 du 6 janvier 1978 dans sa version résultant de l’ordonnance n°2018-1125 du 12 décembre 2018. Il harmonise l’état du droit, adapte certaines règles de procédures devant la CNIL. Il précise les droits des personnes concernées. Il abroge le décret n°2005-1309 du 20 octobre 2005 ».
En amont, la CNIL s’était prononcée sur le projet de ce décret selon avis du 9 mai 2019, estimant certes les objectifs de mise en cohérence et de clarification atteints, mais émettant plusieurs observations en vue d’améliorer encore plus efficacement la sécurité juridique des usagers, d’une part, et d’encadrer certaines procédures de contrôle, de mise en demeure et de sanction, d’autre part ; dans un communiqué publié en aval le 3 juin 2019, la CNIL a estimé que nombre de ses observations avaient dûment été prises en compte par le Gouvernement dans le décret finalement publié.
Si les droits et obligations en matière de protection des données personnelles doivent donc désormais être clairement appréhendés par chacun depuis l’entrée en vigueur de ce dernier décret, en pratique les organismes traitant de telles données ont dû commencer à s’adapter de manière effective dans l’intervalle du fait notamment du caractère immédiatement applicable du Règlement européen dès le 24 mai 2018.
2. Application du RGPD : premier anniversaire le 24 mai 2019
L’importante campagne de communication qui a entouré l’entrée en vigueur du RGPD le 24 mai 2018, et parallèlement les scandales à répétition qui ont concerné des utilisations non consenties de données par certains réseaux sociaux, ont entraîné une forte prise de conscience des enjeux en la matière de part et d’autre.
Ainsi, du côté des usagers, une attention plus scrupuleuse et une demande de protection plus effective a fait augmenter de 30 %, entre mai 2018 et mai 2019, les plaintes adressées à la CNIL (plus de 11 900 en France, et 144 376 au niveau européen).
L’intérêt pour les professionnels d’intégrer ainsi les nouveaux dispositifs RGPD n’est donc plus purement et simplement normatif mais devient en outre un véritable outil de communication, afin de répondre positivement aux attentes des usagers en termes de respect de leurs données personnelles ; à titre d’exemple, plus de 53 000 organismes sont actuellement recensés par la CNIL comme ayant d’ores et déjà désigné un Délégué à la Protection des Données.
Cependant, des progrès restent encore à faire en faveur des organismes traitant des données personnelles ; si la CNIL leur vient certes en aide en multipliant des notes « pratiques » et autres modèles accessibles sur son site Internet, certaines délibérations annoncées se font encore attendre, telle que la publication de la liste des traitements pour lesquels une « analyse d’impact » n’est pas requise, conformément à ce que prévoit l’article 35.5 du RGPD.
Après une première année de mise en place normative, et une action pour l’instant plus pédagogique que répressive de la CNIL, cette dernière prévient néanmoins, notamment aux termes d’un récent communiqué du 23 mai 2019, qu’elle vérifiera désormais « pleinement le respect des nouvelles exigences » dans l’instruction des plaintes et dans ses contrôles… Mieux vaut donc être prêt, d’autant plus que la CNIL complète ce dernier communiqué en précisant qu’à défaut « elle en tirera au besoin toutes les conséquences, y compris en termes de sanction », lesquelles sont essentiellement financières.