Les dispositions de cette loi précisent et complètent un certain nombre de dispositions du Règlement général sur la protection des données (RGPD). En tant qu’entreprise française, vous devez donc vous conformer à la fois au cadre législatif européen (RGPD) ainsi qu’aux exigences nationales françaises (loi informatique et libertés).
La loi :
- précise les traitements sensibles nécessitant des formalités préalables auprès de la Cnil (régime de déclaration et d’autorisation) : Loi 78-17 art.22, 23, 24, 25 et 27
- précise la typologie des données sensibles pouvant faire l’objet de dérogation à l’interdiction de leur traitement : Loi 78-17 art 8
- précise les garanties nécessaires pour la validité de traitements portant sur des données de santé : Loi 78-17 chap. IX
- abaisse de 16 à 15 l’âge fixé par le RGPD à partir duquel un mineur peut consentir seul au traitement de ses données personnelles : Loi 78-17 art 7-1
- instaure la liberté de choix pour les utilisateurs sur leurs terminaux : Loi 78-17 art 28
- précise que la notification de l’entreprise à la personne concernée d’une divulgation ou d’un accès non autorisé à ses données n’est pas possible lorsque cette communication est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique : Loi 78-17 art 40
- encadre les voies de recours : action de groupe, mandat d’association, recours en cas de transferts internationaux de données : Loi 78-17 art 43
La loi informatique et libertés a été réécrite par une ordonnance publiée au JO du 13 décembre 2018.
L’objectif de cette ordonnance est principalement d’intégrer les nouveaux droits et obligations du RGPD (Règlement Général de Protection des données, règlement UE 2016/679 du 27 avril 2016, JOUE 4 mai 2016).
Ils sont désormais mentionnés aux articles 42 à 86 de la loi informatique et libertés.
Citons notamment :
- le nouveau droit à la portabilité qui se trouve à l’article 55 ;
- l’obligation, pour certaines entreprises, de désigner un délégué à la protection des données (DPO), à l’article 57 ;
- l’obligation, dans certains cas, de tenir un registre des activités de traitement, à l’article 57 ;
- l’obligation de procéder à une analyse d’impact des données, sous certaines conditions, aux articles 62 et 63.