Conformément à ce que prévoyait l’article 32 de la loi n°2018-493 du 20 juin 2018, le Gouvernement est venu, par voie d’ordonnance, achever la mise en conformité du droit français avec les nouvelles exigences européennes en matière de données personnelles. Il s’agissait de parfaire la transposition du règlement 2016/679 du 27 avril 2016 relatif à la protection des données personnelle (RGPD) ainsi que celle de la directive 2016/680 du 27 avril 2016, dite « police-justice » et de rendre applicable aux pays et territoires d’outre-mer ces nouvelles dispositions, mais aussi d’améliorer la lisibilité et la cohérence des régimes applicables.

C’est ce à quoi s’essaie l’ordonnance n°2018-1125 du 12 décembre 2018, en 128 articles.
Tout d’abord, l’ordonnance restructure la loi Informatique et Libertés en cinq parties :

• les dispositions communes à tous les traitements ;
• les dispositions relatives aux traitements relevant du RGPD ;
• les dispositions relatives aux traitements des données des personnes physiques à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuite en la matière ou en matière d’exécution de sanctions pénales soumis à la directive 2016/680 ;
• les dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense ;
• les dispositions relatives à l’Outre-mer.

Si l’ensemble gagne en clarté et si la plupart des dispositions ont été correctement complétées, la loi de 1978 reste encore opaque sur certains aspects. En effet, dans son avis du 15 décembre 2018, la Commission nationale de l’informatique et des libertés (CNIL) souligne le manque de lisibilité du notamment :

• à de nombreux renvois, parfois en chaîne, à des textes parfois extérieurs à la loi ; ou encore
• à différents niveaux d’exception enchâssés les uns dans les autres.

Elle considère que, s’agissant d’un texte relatif à la protection de droits fondamentaux des citoyens et imposant des obligations à des opérateurs très divers, il est primordial d’assurer sa lisibilité. Les dispositions visées touchent principalement au régime propre aux données de santé, aux traitements à des fins archivistiques dans l’intérêt public et aux traitements relatifs à l’encadrement du numéro d’inscription des personnes au répertoire des numéros d’inscription (NIR).

De plus, la CNIL déplore l’absence d’article relatif au régime applicable à la vidéoprotection ou à la vidéosurveillance.

Il convient néanmoins de souligner que ce texte améliore l’articulation générale de la législation applicable en matière de protection des données à caractère personnel avec les autres règles de droit, en modifiant ou en ajoutant de nombreuses dispositions extérieures à la loi. A titre d’exemple, des articles ont été intégrés au Code pénal en matière d’atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.

En définitive, si les modifications apportées par l’ordonnance sont globalement satisfaisantes, une révision plus profonde de la loi Informatique et Libertés aurait pu permettre une meilleure clarification et une plus grande cohérence, deux éléments essentiels pour garantir une véritable accessibilité de la protection des données aux particuliers ainsi qu’aux petites et moyennes entreprises.

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles

Eléonore Favero, avocat, droit de la propriété intellectuelle, droit de l’informatique, des communications électroniques et protection des données personnelles