Articles & Actualités
Juridique
Quelle concordance entre la loi Informatique et Libertés et le RGPD ?
Fabrice Naftalski, Louise Fauvel
Le Règlement Général sur la Protection des Données ou RGPD#1 est entré en vigueur le 25 mai 2018 dans tous les Etats Membres de l'Union Européenne.
En France, la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 régit la protection des données personnelles.
Afin de mettre en conformité le droit national avec le cadre juridique européen, la loi n° 2018-493 du 20 juin 2018 a modifié la loi Informatique et Libertés, notamment pour faire usage de certaines marges de manœuvre ouvertes aux Etats Membres par le RGPD dans le délai prescrit par celui-ci.
Cette loi donnait également un délai de six mois au Gouvernement pour prendre une Ordonnance de réécriture de l'ensemble de la loi Informatique et libertés du 6 janvier 1978#2.
C'est chose faite avec l'Ordonnance n° 2018-1125 du 12 décembre 2018. L'Ordonnance réécrit l'ensemble de la loi Informatique et Libertés en 128 articles, répartis sur 5 titres. Elle a notamment pour objectifs :
- D'améliorer la lisibilité de la loi Informatique et Libertés, en réalisant les adaptations nécessaires à la simplification et à la cohérence des dispositions nationales avec le RGPD (ex. l'Ordonnance ne duplique pas les dispositions du RGPD et procède notamment par renvoi) ;
- De mettre en cohérence l'ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu'elles soient codifiées ou non. Le texte apporte des modifications sémantiques conformes au droit européen et remplace par exemple les termes « données personnelles » ou « informations nominatives » par celui de « données à caractère personnel » ;
- D'appliquer les règles de manière homogène sur l'ensemble du territoire français#3. Ainsi, l'Ordonnance prévoit que la loi Informatique et Libertés s'applique en outre-mer et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises#4.
Néanmoins l'objectif de lisibilité ne semble pas complètement atteint. En effet, la nouvelle rédaction de la loi Informatique et Libertés manque encore de clarté et sa combinaison avec les dispositions du RGPD s'avère être complexe. Ainsi, par exemple, certaines dispositions de la loi renvoient simplement à celles du règlement (ex. l'article 43 de la loi Informatique et Libertés qui renvoie au Chapitre II RGPD), alors que d'autres reprennent les dispositions du RGPD avec parfois quelques petits ajustements (ex. l'article 5 de la loi Informatique et Libertés qui reprend l'article 6.1 RGPD). Un autre exemple est celui de l'article 44 de la loi Informatique et Libertés qui prévoit des exceptions permettant le traitement de catégories particulières de données (ex. données de santé, opinions politiques, convictions religieuses ou philosophiques, origine raciale ou ethnique, etc.) qui viennent s'ajouter aux exceptions déjà prévues à l'article 9 RGPD, mais sont très similaires à ces dernières. Ces dispositions sont par ailleurs complétées par les articles 66 et suivants spécifiques aux traitements de données à caractère personnel dans le domaine de la santé.
Compte tenu de ces éléments, nous avons souhaité proposer un outil facilitant la lecture combinée des textes applicables en matière de protection des données personnelles en France. Nous avons donc créé un tableau de concordance entre les dispositions de la loi Informatique et Libertés telle que réécrite et celles du RGPD, que vous trouverez ci-dessous.
Il convient de préciser, par ailleurs, que les dispositions de l'Ordonnance n'entreront en vigueur qu'en même temps que le nouveau décret d'application#5 de la loi Informatique et Libertés, au plus tard en juin 2019.
Tableau de concordance RGPD – Loi Informatique et Libertés
| Principes | RGPD | Loi informatique et libertés#6 |
| Objet et objectifs |
Article 1 | Article 1 |
| Champ d'application matériel | Article 2 |
Articles 2 et 42 |
| Champ d'application territorial | Article 3 | Article 3 Articles 125 à 128 sur l'Outre-mer |
| Définitions | Article 4 | Articles 2 |
| Principes relatifs au traitement des données à caractère personnel | Article 5 | Article 4 Nb : l'article 43 renvoi de manière générale aux dispositions du chapitre 2 (articles 5 à 11) RGPD |
| Licéité du traitement | Article 6 | Article 5 |
| Conditions applicables au consentement | Article 7 | Article 5 |
| Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information | Article 8 | Article 45 |
| Traitement portant sur des catégories particulières de données à caractère personnel | Article 9 | Articles 6, 8-I-2°(c) et 44 Articles 31 à 36 sur les traitements mis en œuvre pour le compte de l'Etat Articles 64 à 77 sur les traitements de données à caractère personnel dans le domaine de la santé |
| Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions | Article 10 | Article 46 Article 31 et 33 à 36 sur les traitements mis en œuvre pour le compte de l'Etat |
| Traitement ne nécessitant pas l'identification | Article 11 | Pas de disposition particulière dans la loi |
| Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée | Article 12 | Article 48 |
| Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée | Article 13 | Article 48 |
| Informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée | Article 14 | Article 48 Article 79 sur les traitements à des fins archivistiques, de recherche scientifique ou historique |
| Droit d'accès de la personne concernée | Article 15 | Article 49 |
| Droit de rectification | Article 16 | Article 50 |
| Droit à l'effacement ("droit à l'oubli") | Article 17 | Article 51 |
| Droit à la limitation du traitement | Article 18 | Article 53 |
| Obligation de notification concernant la rectification, l'effacement de données ou limitation du traitement | Article 19 | Article 54 |
| Droit à la portabilité des données | Article 20 | Article 55 |
| Droit d'opposition | Article 21 | Article 56 |
| Décision individuelle automatisée, y compris le profilage | Article 22 | Article 47 |
| Limitations | Article 23 | Articles 48, 52 et 56 Articles 116 à 120 sur les traitements intéressant la sûreté de l'Etat et la défense |
| Responsabilité du responsable du traitement | Article 24 | Article 57 |
| Protection des données dès la conception et protection des données par défaut | Article 25 | Pas de disposition particulière dans la loi |
| Responsables conjoints du traitement | Article 26 | Article 59 |
| Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union | Article 27 | Pas de disposition particulière dans la loi |
| Sous-traitant | Article 28 | Article 60 |
| Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant | Article 29 | Article 61 |
| Registre des activités de traitement | Article 30 | Article 57 |
| Coopération avec l'autorité de contrôle | Article 31 | Pas de disposition particulière dans la loi |
| Sécurité du traitement | Article 32 | Article 4.6 |
| Notification à l'autorité de contrôle d'une violation de données à caractère personnel | Article 33 | Article 58 |
| Communication à la personne concernée d'une violation de données à caractère personnel | Article 34 | Article 58 |
| Analyse d'impact relative à la protection des données | Article 35 | Article 62 |
| Consultation préalable | Article 36 | Article 63 Articles 6, 31 à 36 sur les traitements d'intérêt public et mis en œuvre pour le compte de l'Etat |
| Désignation du délégué à la protection des données | Article 37 | Article 57 |
| Fonction du délégué à la protection des données | Article 38 | Article 57 |
| Missions du délégué à la protection des données | Article 39 | Article 57 |
| Codes de conduite | Article 40 | Article 8-I-2°(b) |
| Suivi des codes de conduite | Article 41 | Articles 21-I-4° et 23 |
| Certification | Article 42 | Articles 8-I-2° (h), 8-I-2°(i) |
| Organismes de certification | Article 43 | Articles 8-I-2° (h), 8-I-2°(i), 21-I-4° et 23 |
| Principe général applicable aux transferts | Article 44 | Pas de disposition particulière dans la loi |
| Transferts fondés sur une décision d'adéquation | Article 45 | Article 39 |
| Transferts moyennant des garanties appropriées | Article 46 | Article 39 |
| Règles d'entreprise contraignantes | Article 47 | Pas de disposition particulière dans la loi |
| Transferts ou divulgations non autorisés par le droit de l'Union | Article 48 | Pas de disposition particulière dans la loi |
| Dérogations pour des situations particulières | Article 49 | Pas de disposition particulière dans la loi |
| Coopération internationale dans le domaine de la protection des données à caractère personnel | Article 50 | Article 29 |
| Autorité de contrôle | Article 51 | Article 8 |
| Indépendance | Article 52 | Article 8 |
| Conditions générales applicables aux membres de l'autorité de contrôle | Article 53 | Article 9 ET 10 |
| Règles relatives à l'établissement de l'autorité de contrôle | Article 54 | Articles 9 à 18 |
| Compétence | Article 55 | Article 8 |
| Compétence de l'autorité de contrôle chef de file | Article 56 | Articles 27 et 28 |
| Missions | Article 57 | Article 8 |
| Pouvoirs | Article 58 | Articles 19 à 22 |
| Rapport d'activité | Article 59 | Article 8 |
| Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées | Article 60 | Articles 24, 27 et 28 |
| Assistance mutuelle | Article 61 | Articles 24 et 26 |
| Opérations conjointes des autorités de contrôle | Article 62 | Articles 24 et 25 |
| Mécanisme de contrôle de la cohérence | Article 63 | Article 24 |
| Avis du comité | Article 64 | Article 24 |
| Règlement des litiges par le comité | Article 65 | Article 24 |
| Procédure d'urgence | Article 66 | Articles 21 et 24 |
| Echange d'informations | Article 67 | Article 24 |
| Comité européen de la protection des données | Article 68 | Pas de disposition particulière dans la loi |
| Indépendance | Article 69 | Pas de disposition particulière dans la loi |
| Missions du comité | Article 70 | Pas de disposition particulière dans la loi |
| Rapports | Article 71 | Pas de disposition particulière dans la loi |
| Procédure | Article 72 | Pas de disposition particulière dans la loi |
| Président | Article 73 |
Pas de disposition particulière dans la loi |
| Missions du président | Article 74 | Pas de disposition particulière dans la loi |
| Secrétariat | Article 75 | Pas de disposition particulière dans la loi |
| Confidentialité | Article 76 | Pas de disposition particulière dans la loi |
| Droit d'introduire une réclamation auprès d'une autorité de contrôle | Article 77 | Article 8 |
| Droit à un recours juridictionnel effectif contre une autorité de contrôle | Article 78 | Article 19 |
| Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant | Article 79 | Articles 8 et 39 |
| Représentation des personnes concernées | Article 80 | Articles 37 et 38 |
| Suspension d'une action | Article 81 | Pas de disposition particulière dans la loi |
| Droit à réparation et responsabilité | Article 82 | Pas de disposition particulière dans la loi |
| Conditions générales pour l'imposition d'amendes administratives | Article 83 | Article 20 |
| Sanctions | Article 84 | Articles 20 à 22 |
| Traitement et liberté d'expression et d'information | Article 85 | Article 80 |
| Traitement et accès du public aux documents officiels | Article 86 | Article 7 |
| Traitement du numéro d'identification national | Article 87 | Article 30 |
| Traitement de données dans le cadre des relations de travail | Article 88 | Pas de disposition particulière dans la loi |
| Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public | Article 89 | Article 78 |
| Obligations de secret | Article 90 | Article 19 |
| Règles existantes des églises et associations religieuses en matière de protection des données | Article 91 |
[1] Règlement (UE) 2016/679 du 27 avril 2016
[2] Article 32 de la loi n° 2018-493 du 20 juin 2018
[3] Sur les difficultés posées par l'application de la loi du 20 juin 2018 dans les Départements et Régions d'Outre-mer (DROM) et Collectivités d'Outre-mer (COM), cf. notre article « L'application des règles de protection des données personnelles aux DROM/COM, Sophie Revol – Louise Fauvel, 21 septembre 2018, (https://etaxlawservices.ey-avocats.com/actualite/Juridique-/l-application-des-regles-de-protection-des-donnees-personnelles-aux-drom/com)
[4] Article 125 de la loi Informatique et Libertés dans sa rédaction issue de l'Ordonnance
[5] Un premier décret n° 2018-687 du 1er août 2018 est venu modifier le décret d'application de la loi Informatique et Libertés existant n°2005-1309 du 20 octobre 2005.
[6] Dans sa rédaction issue de l'Ordonnance de réécriture. Le Chapitre IV du Titre II de la loi Informatique et Libertés a pour objet la transposition de la Directive ePrivacy et son Titre III la transposition de la Directive 2016/680.