Entrée en vigueur le 1 juin 2019
Modifié par : Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1
I.-Le responsable de traitement notifie à la Commission nationale de l'informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.
II.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du même règlement lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
La dérogation prévue au présent article n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.
A noter : la notion d'équipe de soins est définie à l'article L. 1110-12 du code de la santé publique. Cas concrets : Étude menée par un laboratoire pharmaceutique sur le psoriasis auprès de plusieurs spécialistes dermatologues exerçant à titre libéral. Étude menée sur les effets indésirables d'un médicament auprès de plusieurs centres investigateurs (hôpital et cabinet libéral). Étude portant sur le taux de couverture vaccinale de la grippe nécessitant des données issues de dossiers médicaux, […] avant le début du traitement des données les concernant, être individuellement informées conformément à l'article 58 de la loi n°78-17 modifiée. […]
Lire la suite…L'article 14 reprend l'article 15 bis de cette loi relatif à la coopération entre la CNIL et la Commission d'accès aux documents administratifs. L'article 15 est la reprise de l'article 16 de cette loi relatif à l'exercice des attributions de la commission par le bureau. L'article 16 reprend l'article 17 de cette loi relatif à la formation restreinte, […]
Lire la suite…[…] — la loi n° 78-17 du 6 janvier 1978 ; […] En troisième lieu, d'une part, en vertu des dispositions du a) et du e) du paragraphe 1 de l'article 58 du A, la CNIL peut, au titre de ses pouvoirs d'enquête, « ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions » et « obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions ». […]
[…] La commission comprend qu'en vertu de l'article 58 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, l'existence ou non d'un droit d'opposition des personnes à la diffusion de données à caractère personnel les concernant dépend du point de savoir si cette publication en ligne constitue ou non une obligation légale pour le responsable du traitement.
[…] En application des articles 58, 83 et 102 de la loi n° 78-17 du 6 janvier 1978 modifiée et de l'article 33 du RGPD, un responsable de traitement peut être dans l'obligation de notifier une violation de données à caractère personnel à la CNIL, voire aux personnes concernées en cas de risque élevé pour ces dernières. Ainsi, une violation de données à caractère personnel pourrait également être de nature à caractériser un " incident ayant un impact important sur la fourniture de[s] services [d'une entité]", au sens de la directive NIS 2 et du projet de loi.
Dans ce 3ème cas, une communication publique est alors réalisée, en application de l'article 34.3 c) du RGPD. Enfin, l'article 58.II de la Loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés prévoit une exemption de communication aux personnes concernées. […] Ces traitements sont listés par l'article 85 du décret 2019-336 du 29 mai 2019 pris pour l'application de la loi « Informatique et Libertés ». […] Les fournisseurs au public de services de communications électroniques doivent en revanche notifier leur violation de données à la CNIL sans délai, en application de l'article 83 de la loi dite « Informatique et Libertés ». […]
Lire la suite…