La loi Informatique et libertés (LIL 3) : la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles est parue au Journal Officiel.
Néanmoins les modifications apportées par ce projet de loi devront être codifiées, par voie d’ordonnance dans la loi du 6 janvier 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.
Cette loi prévoit dans son article 1 l’organisation et le fonctionnement de la CNIL créée à l’origine par la loi de 1978. La Commission Nationale Informatique et Libertés est l’autorité de contrôle nationale au sens et pour l’application du RGPD N° 2016/679.
Elle pourra ainsi prendre les mesures d’accompagnement suivantes :
- l’adoption de lignes directrices, de recommandations, de référentiels, de codes de bonne conduite, et de règlements types.
- la certification des personnes (et donc la certification du DPO), des produits et des systèmes de données ou des procédures ;
- l’établissement des listes de traitement nécessitant la réalisation d’une analyse d’impact préalable.
Le projet de loi supprime l’obligation actuelle de déclaration préalable des traitements des données auprès de la CNIL.
Seuls deux types de traitements demeurent soumis à une autorisation préalable :
- les traitements concernant les données génétiques et biométriques lorsqu’ils sont mis en oeuvre par l’Etat agissant dans l’exercice de ses prérogatives de puissance publique devront faire l’objet d’une autorisation préalable par décret en Conseil d’État, pris après avis motivé et publié de la CNIL ;
- certains traitements portant sur des données de santé non-conformes aux référentiels ou aux règlements types édictés par la CNIL devront être préalablement autorisés par cette dernière.
Les traitements portant sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) feront l’objet de mesures spécifiques.
Un décret en Conseil d’État, pris après avis motivé et publié de la CNIL, déterminera les catégories de responsables de traitement et les finalités de traitements comportant le NIR pouvant être mis en oeuvre par des personnes publiques ou privées.
Laisser un commentaire