L’ordonnance n°2018-1125 du 12 décembre 2018 a été publiée le 13 décembre 2018. Elle parachève le processus législatif de réécriture et de simplification de la loi informatique et Libertés, initié après la mise en application du Règlement général sur la protection des données (RGPD) et la transposition de la directive « police-justice » applicable à la sphère pénale.
L’adaptation du cadre juridique français permet d’assurer pleinement la conformité du droit national par rapport au cadre européen. Après l’entrée en application du RGPD le 25 mai 2018, la loi informatique et Libertés avait déjà subi des modifications (loi n°2018-493), l’objectif étant de mettre en conformité le droit français.
L’ordonnance permet d’apporter une cohérence inhérente à la bonne compréhension du cadre juridique global relatif à la protection des données personnelles. A la lecture de l’ordonnance, trois objectifs majeurs ont été atteints :
- Une meilleure lisibilité de la loi française
- Une homogénéité par rapport au cadre européen
- Une clarification de certains régimes juridiques
Pour les TPE et petites collectivités :
Le législateur semble s’être néanmoins concentré sur la forme plutôt que sur le fond : les obligations ou régimes spécifiques pour les petites entreprises ou les petites collectivités n’ont pas été expressément indiquées, comme l’avait demandée la CNIL dans son avis du 30 novembre 2017. La loi demeure générale et il appartiendra au juge d’interpréter l’applicabilité de certaines dispositions dans des cas très concrets.
L’encadrement du traitement du numéro de sécurité sociale :
Des décrets en Conseil d’Etat doivent voir le jour prochainement. On attend impatiemment celui qui détermine les responsables de traitements autorisés à traiter le numéro de sécurité sociale et les finalités au vu desquelles ce dernier peut être traité (cf. art. 30 ordonnance).
Le renforcement des droits et libertés des individus :
Globalement, on assiste à un renforcement considérable des droits et libertés des individus. L’ordonnance entérine l’interdiction d’utilisation de l’intérêt légitime pour traiter des données de mineurs et prévoit que la CNIL peut obliger une entreprise à informer, à ses frais et individuellement, chaque personne victime d’une violation de données.
L’information contenue sur les sites internet ou dans les formulaires doit être accessible notamment au mineur adolescent, et fait peser sur les entreprises une obligation juridique de facilitation d’accès à l’information afin de préserver la liberté de choix des individus.
La clarification de la « mort numérique » :
L’ordonnance clarifie également le régime juridique des données personnelles des personnes décédées (cf. art. 84 et s. ordonnance) et prévoit des obligations spécifiques pour les opérateurs de communications électroniques (cf. art. 83 ordonnance). L’ordonnance illustre par cette disposition son avancement et son anticipation par rapports aux avancées technologiques futures.
Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps qu’un nouveau décret d’application.
