Blog

Août 13

Publication du décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi Informatique et Libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Ce décret, contenant plusieurs mesures d’application de la loi Informatique et libertés dans sa rédaction issue de la loi du 20 juin 2018, modifie le décret n° 2005-1309 du 20 octobre 2005 pour le mettre en conformité avec le RGPD.

Ce décret :

a.      Définit les conditions dans lesquelles, soit la Commission nationale de l’informatique et des libertés (Cnil), soit l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du règlement (UE) 2016/679, agrée les organismes certificateurs aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 et à la loi du 6 janvier 1978 ;

b.      Fixe les conditions et limites dans lesquelles le président de la Cnil et le vice-président délégué peuvent déléguer leur signature. Il précise la composition du Comité d’audit du système national des données de santé prévu à l’article 65 de la loi du 6 janvier 1978, ses règles de fonctionnement et les modalités de l’audit. Il détermine les conditions dans lesquelles les membres et agents de la commission amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d’emprunt procèdent à leurs constations. Il définit la procédure d’urgence contradictoire appliquée par la formation restreinte saisie par le président de la Cnil ;

c.      Détermine les conditions et les garanties selon lesquelles il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 en matière de traitements à des fins de recherche scientifique ou historique ou à des fins statistiques ;

d.      Précise les conditions d’application de l’article 49-3 de loi du 6 janvier 1978, relatif au traitement transfrontalier au sein de l’Union européenne ;

e.      Fixe la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Il fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement (UE) 2016/679 lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique ;

f.       Achève la transposition de la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données ;

g.      Précise notamment le contenu de l’analyse d’impact effectuée préalablement à la mise en œuvre d’un traitement, le contenu du contrat ou de l’acte juridique liant le sous-traitant à l’égard du responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement ;

h.      Procède aux coordinations nécessaires, notamment dans le code de procédure pénale pour les fichiers de police judiciaire, particulièrement pour le traitement d’antécédents judiciaires, ainsi que dans le code pénal, pour les contraventions d’atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ;

i.       Prévoit que la Cnil transmet aux responsables de traitement l’ensemble des demandes tendant à la mise en œuvre des droits d’accès indirect, de rectification et d’effacement prévus par le chapitre XIII de la loi du 6 janvier 1978 qui lui ont été adressées avant l’entrée en vigueur du présent décret, le 4 août 2018.

Source : Legifrance

Texte : https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=67E68359FAF9A57C58ECC2B137030FCC.tplgfr41s_2?cidTexte=JORFTEXT000037277401&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000037277271

 

Mélodie DRISSI pour ATurquoise

 

Août 13

Publication du décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi Informatique et Libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Ce décret, contenant plusieurs mesures d’application de la loi Informatique et libertés dans sa rédaction issue de la loi du 20 juin 2018, modifie le décret n° 2005-1309 du 20 octobre 2005 pour le mettre en conformité avec le RGPD.

Ce décret :

a.      Définit les conditions dans lesquelles, soit la Commission nationale de l’informatique et des libertés (Cnil), soit l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du règlement (UE) 2016/679, agrée les organismes certificateurs aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 et à la loi du 6 janvier 1978 ;

b.      Fixe les conditions et limites dans lesquelles le président de la Cnil et le vice-président délégué peuvent déléguer leur signature. Il précise la composition du Comité d’audit du système national des données de santé prévu à l’article 65 de la loi du 6 janvier 1978, ses règles de fonctionnement et les modalités de l’audit. Il détermine les conditions dans lesquelles les membres et agents de la commission amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d’emprunt procèdent à leurs constations. Il définit la procédure d’urgence contradictoire appliquée par la formation restreinte saisie par le président de la Cnil ;

c.      Détermine les conditions et les garanties selon lesquelles il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 en matière de traitements à des fins de recherche scientifique ou historique ou à des fins statistiques ;

d.      Précise les conditions d’application de l’article 49-3 de loi du 6 janvier 1978, relatif au traitement transfrontalier au sein de l’Union européenne ;

e.      Fixe la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Il fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement (UE) 2016/679 lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique ;

f.       Achève la transposition de la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données ;

g.      Précise notamment le contenu de l’analyse d’impact effectuée préalablement à la mise en œuvre d’un traitement, le contenu du contrat ou de l’acte juridique liant le sous-traitant à l’égard du responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement ;

h.      Procède aux coordinations nécessaires, notamment dans le code de procédure pénale pour les fichiers de police judiciaire, particulièrement pour le traitement d’antécédents judiciaires, ainsi que dans le code pénal, pour les contraventions d’atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ;

i.       Prévoit que la Cnil transmet aux responsables de traitement l’ensemble des demandes tendant à la mise en œuvre des droits d’accès indirect, de rectification et d’effacement prévus par le chapitre XIII de la loi du 6 janvier 1978 qui lui ont été adressées avant l’entrée en vigueur du présent décret, le 4 août 2018.

Source : Legifrance

Texte : https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=67E68359FAF9A57C58ECC2B137030FCC.tplgfr41s_2?cidTexte=JORFTEXT000037277401&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000037277271

 

Mélodie DRISSI pour ATurquoise