Articles & Actualités

Juridique

Quelle concordance entre la loi Informatique et Libertés et le RGPD ?

26/02/2019

Fabrice Naftalski, Louise Fauvel

Le Règlement Général sur la Protection des Données ou RGPD#1 est entré en vigueur le 25 mai 2018 dans tous les Etats Membres de l'Union Européenne.

En France, la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 régit la protection des données personnelles.

Afin de mettre en conformité le droit national avec le cadre juridique européen, la loi n° 2018-493 du 20 juin 2018 a modifié la loi Informatique et Libertés, notamment pour faire usage de certaines marges de manœuvre ouvertes aux Etats Membres par le RGPD dans le délai prescrit par celui-ci.

Cette loi donnait également un délai de six mois au Gouvernement pour prendre une Ordonnance de réécriture de l'ensemble de la loi Informatique et libertés du 6 janvier 1978#2.

C'est chose faite avec l'Ordonnance n° 2018-1125 du 12 décembre 2018. L'Ordonnance réécrit l'ensemble de la loi Informatique et Libertés en 128 articles, répartis sur 5 titres. Elle a notamment pour objectifs :
- D'améliorer la lisibilité de la loi Informatique et Libertés, en réalisant les adaptations nécessaires à la simplification et à la cohérence des dispositions nationales avec le RGPD (ex. l'Ordonnance ne duplique pas les dispositions du RGPD et procède notamment par renvoi) ;
- De mettre en cohérence l'ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu'elles soient codifiées ou non. Le texte apporte des modifications sémantiques conformes au droit européen et remplace par exemple les termes « données personnelles » ou « informations nominatives » par celui de « données à caractère personnel » ;
- D'appliquer les règles de manière homogène sur l'ensemble du territoire français#3. Ainsi, l'Ordonnance prévoit que la loi Informatique et Libertés s'applique en outre-mer et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises#4.

Néanmoins l'objectif de lisibilité ne semble pas complètement atteint. En effet, la nouvelle rédaction de la loi Informatique et Libertés manque encore de clarté et sa combinaison avec les dispositions du RGPD s'avère être complexe. Ainsi, par exemple, certaines dispositions de la loi renvoient simplement à celles du règlement (ex. l'article 43 de la loi Informatique et Libertés qui renvoie au Chapitre II RGPD), alors que d'autres reprennent les dispositions du RGPD avec parfois quelques petits ajustements (ex. l'article 5 de la loi Informatique et Libertés qui reprend l'article 6.1 RGPD). Un autre exemple est celui de l'article 44 de la loi Informatique et Libertés qui prévoit des exceptions permettant le traitement de catégories particulières de données (ex. données de santé, opinions politiques, convictions religieuses ou philosophiques, origine raciale ou ethnique, etc.) qui viennent s'ajouter aux exceptions déjà prévues à l'article 9 RGPD, mais sont très similaires à ces dernières. Ces dispositions sont par ailleurs complétées par les articles 66 et suivants spécifiques aux traitements de données à caractère personnel dans le domaine de la santé.

Compte tenu de ces éléments, nous avons souhaité proposer un outil facilitant la lecture combinée des textes applicables en matière de protection des données personnelles en France. Nous avons donc créé un tableau de concordance entre les dispositions de la loi Informatique et Libertés telle que réécrite et celles du RGPD, que vous trouverez ci-dessous.

Il convient de préciser, par ailleurs, que les dispositions de l'Ordonnance n'entreront en vigueur qu'en même temps que le nouveau décret d'application#5 de la loi Informatique et Libertés, au plus tard en juin 2019.

Tableau de concordance RGPD – Loi Informatique et Libertés

Principes RGPD Loi informatique et libertés#6

Objet et objectifs

Article 1

Article 1

Champ d'application matériel

Article 2

Articles 2 et 42
Champ d'application territorial Article 3

Article 3

Articles 125 à 128 sur l'Outre-mer

Définitions Article 4 Articles 2
Principes relatifs au traitement des données à caractère personnel Article 5

Article 4

Nb : l'article 43 renvoi de manière générale aux dispositions du chapitre 2 (articles 5 à 11) RGPD

Licéité du traitement Article 6 Article 5
Conditions applicables au consentement Article 7 Article 5
Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information Article 8 Article 45
Traitement portant sur des catégories particulières de données à caractère personnel Article 9

Articles 6, 8-I-2°(c) et 44

Articles 31 à 36 sur les traitements mis en œuvre pour le compte de l'Etat

Articles 64 à 77 sur les traitements de données à caractère personnel dans le domaine de la santé

Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions Article 10

Article 46

Article 31 et 33 à 36 sur les traitements mis en œuvre pour le compte de l'Etat

Traitement ne nécessitant pas l'identification Article 11 Pas de disposition particulière dans la loi
Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée Article 12 Article 48
Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Article 13 Article 48
Informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée Article 14

Article 48

Article 79 sur les traitements à des fins archivistiques, de recherche scientifique ou historique

Droit d'accès de la personne concernée Article 15 Article 49
Droit de rectification Article 16 Article 50
Droit à l'effacement ("droit à l'oubli") Article 17 Article 51
Droit à la limitation du traitement Article 18 Article 53
Obligation de notification concernant la rectification, l'effacement de données ou limitation du traitement Article 19 Article 54
Droit à la portabilité des données Article 20 Article 55
Droit d'opposition Article 21 Article 56
Décision individuelle automatisée, y compris le profilage Article 22 Article 47
Limitations Article 23

Articles 48, 52 et 56

Articles 116 à 120 sur les traitements intéressant la sûreté de l'Etat et la défense

Responsabilité du responsable du traitement Article 24 Article 57
Protection des données dès la conception et protection des données par défaut Article 25 Pas de disposition particulière dans la loi
Responsables conjoints du traitement Article 26 Article 59
Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union Article 27 Pas de disposition particulière dans la loi
Sous-traitant Article 28 Article 60
Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant Article 29 Article 61
Registre des activités de traitement Article 30 Article 57
Coopération avec l'autorité de contrôle Article 31 Pas de disposition particulière dans la loi
Sécurité du traitement Article 32 Article 4.6
Notification à l'autorité de contrôle d'une violation de données à caractère personnel Article 33 Article 58
Communication à la personne concernée d'une violation de données à caractère personnel Article 34 Article 58
Analyse d'impact relative à la protection des données Article 35 Article 62
Consultation préalable Article 36

Article 63

Articles 6, 31 à 36 sur les traitements d'intérêt public et mis en œuvre pour le compte de l'Etat

Désignation du délégué à la protection des données Article 37 Article 57
Fonction du délégué à la protection des données Article 38 Article 57
Missions du délégué à la protection des données Article 39 Article 57
Codes de conduite Article 40 Article 8-I-2°(b)
Suivi des codes de conduite Article 41 Articles 21-I-4° et 23
Certification Article 42 Articles 8-I-2° (h), 8-I-2°(i)
Organismes de certification Article 43 Articles 8-I-2° (h), 8-I-2°(i), 21-I-4° et 23
Principe général applicable aux transferts Article 44 Pas de disposition particulière dans la loi
Transferts fondés sur une décision d'adéquation Article 45 Article 39
Transferts moyennant des garanties appropriées Article 46 Article 39
Règles d'entreprise contraignantes Article 47 Pas de disposition particulière dans la loi
Transferts ou divulgations non autorisés par le droit de l'Union Article 48 Pas de disposition particulière dans la loi
Dérogations pour des situations particulières Article 49 Pas de disposition particulière dans la loi
Coopération internationale dans le domaine de la protection des données à caractère personnel Article 50 Article 29
Autorité de contrôle Article 51 Article 8
Indépendance Article 52 Article 8
Conditions générales applicables aux membres de l'autorité de contrôle Article 53 Article 9 ET 10
Règles relatives à l'établissement de l'autorité de contrôle Article 54 Articles 9 à 18
Compétence Article 55 Article 8
Compétence de l'autorité de contrôle chef de file Article 56 Articles 27 et 28
Missions Article 57 Article 8
Pouvoirs Article 58 Articles 19 à 22
Rapport d'activité Article 59 Article 8
Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées Article 60 Articles 24, 27 et 28
Assistance mutuelle Article 61 Articles 24 et 26
Opérations conjointes des autorités de contrôle Article 62 Articles 24 et 25
Mécanisme de contrôle de la cohérence Article 63 Article 24
Avis du comité Article 64 Article 24
Règlement des litiges par le comité Article 65 Article 24
Procédure d'urgence Article 66 Articles 21 et 24
Echange d'informations Article 67 Article 24
Comité européen de la protection des données Article 68 Pas de disposition particulière dans la loi
Indépendance Article 69 Pas de disposition particulière dans la loi
Missions du comité Article 70 Pas de disposition particulière dans la loi
Rapports Article 71 Pas de disposition particulière dans la loi
Procédure Article 72 Pas de disposition particulière dans la loi
Président

Article 73

Pas de disposition particulière dans la loi
Missions du président Article 74 Pas de disposition particulière dans la loi
Secrétariat Article 75 Pas de disposition particulière dans la loi
Confidentialité Article 76 Pas de disposition particulière dans la loi
Droit d'introduire une réclamation auprès d'une autorité de contrôle Article 77 Article 8
Droit à un recours juridictionnel effectif contre une autorité de contrôle Article 78 Article 19
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant Article 79 Articles 8 et 39
Représentation des personnes concernées Article 80 Articles 37 et 38
Suspension d'une action Article 81 Pas de disposition particulière dans la loi
Droit à réparation et responsabilité Article 82 Pas de disposition particulière dans la loi
Conditions générales pour l'imposition d'amendes administratives Article 83 Article 20
Sanctions Article 84 Articles 20 à 22
Traitement et liberté d'expression et d'information Article 85 Article 80
Traitement et accès du public aux documents officiels Article 86 Article 7
Traitement du numéro d'identification national Article 87 Article 30
Traitement de données dans le cadre des relations de travail Article 88 Pas de disposition particulière dans la loi
Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public Article 89 Article 78
Obligations de secret Article 90 Article 19
Règles existantes des églises et associations religieuses en matière de protection des données Article 91

[1] Règlement (UE) 2016/679 du 27 avril 2016

[2] Article 32 de la loi n° 2018-493 du 20 juin 2018

[3] Sur les difficultés posées par l'application de la loi du 20 juin 2018 dans les Départements et Régions d'Outre-mer (DROM) et Collectivités d'Outre-mer (COM), cf. notre article « L'application des règles de protection des données personnelles aux DROM/COM, Sophie Revol – Louise Fauvel, 21 septembre 2018, (https://etaxlawservices.ey-avocats.com/actualite/Juridique-/l-application-des-regles-de-protection-des-donnees-personnelles-aux-drom/com)

[4] Article 125 de la loi Informatique et Libertés dans sa rédaction issue de l'Ordonnance

[5] Un premier décret n° 2018-687 du 1er août 2018 est venu modifier le décret d'application de la loi Informatique et Libertés existant n°2005-1309 du 20 octobre 2005.

[6] Dans sa rédaction issue de l'Ordonnance de réécriture. Le Chapitre IV du Titre II de la loi Informatique et Libertés a pour objet la transposition de la Directive ePrivacy et son Titre III la transposition de la Directive 2016/680.

Les expertises qui pourraient vous intéresser

LES eSERVICES QUI POURRAIENT VOUS INTÉRESSER