Un an après l’entrée en vigueur du RGPD, la France vient de publier un décret venant compléter l’arsenal juridique applicable à la gestion des données personnelles.
Ce décret abroge celui du 20 octobre 2005 et porte notamment sur la CNIL (Composition, fonctionnement, contrôle, audition, sanction, coopération avec les autres autorités européennes). Il précise en particulier qu’en cas de mise en demeure, le délai pour corriger le manquement ne peut être inférieur à 10 jours ni supérieur à 6 mois et que toute décision de sanction peut être immédiatement publiée, même si elle n’est pas définitive et fait l’objet d’un recours devant le juge administratif
Des éléments sont également apportés sur les modalités applicables aux formalités préalables à la mise en œuvre des traitements (déclarations, consultations ou autorisations) ainsi que sur les codes de conduite ou certifications qui peuvent être délivrées.
Sur l’exercice des droits (droit d’accès, de rectification, d’effacement, etc.), la CNIL confirme que la personne concernée doit justifier de son identité par tout moyen. Lorsque le responsable de traitement a des doutes raisonnables sur l’identité, il peut solliciter la copie d’un titre d’identité portant signature du titulaire.
Une section est également consacrée aux traitements de données personnelles dans le domaine de la santé et en particulier sur les demandes d’autorisation en cas de traitement ayant pour finalité la recherche, les études et les évaluations dans le domaine de la santé.
Après l’adaptation de la loi Informatique et Libertés du 6 janvier 2018 par la loi du 20 juin 2018, l’ordonnance du 12 décembre 2018 et le décret du 1er août 2018, le décret n°2019-536 du 29 mai 2019 achève l’adaptation de la réglementation française. Il est entré en vigueur le 1er juin 2019.
Emmanuelle Behr
Avocate associée