Le droit français enfin adapté au RGPD

Plus d’un an après la mise en application du règlement général sur la protection des données personnelles, le droit français a été adapté.

Un décret publié le 30 mai 2019 au Journal officiel a parachevé l’édifice normatif. « Tout comme l’ordonnance du 12 décembre 2018, le décret du 29 mai 2019 a pour objets principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application ».

Le décret, très long, prévoit diverses mesures parfois très administratives (sur la convocation des membres de la CNIL par exemple, les règles de délibération, les délais procéduraux, l’habilitation des agents, etc.). D’autres concernent les contrôles sur place, dont le procureur de la République sera informé 24 heures avant, ou les contrôles en ligne où les agents de la CNIL peuvent opérer sous identité d’emprunt.

Le texte comprend également des règles relatives aux missions de la commission, lorsque celle-ci agit en tant qu’autorité chef de file. Une situation qui ne concernera pas les géants du Net, qui ont plutôt choisi le climat irlandais pour gérer leurs affaires européennes.

Le texte intéresse aussi les entreprises et autres responsables de traitement puisqu’il traite de la question des codes de conduites et certifications ou encore de celles des délégués à la protection des données personnelles, tous programmés par le règlement européen. Remarquons également cette série de règles relatives aux violations de données en matière de communications électroniques, prévues par les articles 117 et suivants du décret.

Dans son avis, accompagnant le texte, la CNIL « a néanmoins émis plusieurs observations en vue d’améliorer la sécurité juridique assurée par le texte aux personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD ».

De plus, indique l’autorité, « elle a également souhaité préciser l’encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction ». La commission assure que « de nombreuses observations de la CNIL ont été prises en compte par le Gouvernement dans le décret publié ». Celles qui n’auront pas été suivies d’effet seront sans nul doute exploitables lors des futurs contentieux.