LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (1)
Sur la loi
| Entrée en vigueur : | 22 juin 2018 |
|---|---|
| Dernière modification : | 1 juin 2019 |
| Codes visés : | Code de la consommation, Code de la défense. et 5 autres |
| Directive transposée : |
Commentaires • +500
Décisions • 149
—
[…] Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée par la loi n° 2018-493 du 20 juin 2018. Vu les articles L.34-1 et R.10-13 du code des postes et des communications électroniques. Vu l'article A 43-9 du code de procédure pénale.
Infirmation partielle —
[…] Par conclusions notifiées le 7 juin 2022 auxquelles il est fait expressément référence pour l'énoncé du détail de l'argumentation, la société Fresco Data demande à la cour au visa des articles 1154 et suivants, 1219 et suivants, 1162 et suivants du code civil, 138, 10 et 232 et 564 du code de procédure civile, ainsi que des dispositions du Règlement UE 2016/679 du 27 avril 2016 et la loi 78-17 Informatique et Liberté du 4 janvier 1978 modifié, de
Infirmation partielle —
[…] Selon le paragraphe I du premier de ces textes, dans sa rédaction issue de la loi n° 2018-493 du 20 juin 2018, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, […] Nul ne peut être privé de sa propriété que pour cause d'utilité publique et dans les conditions prévues par la loi et les principes généraux du droit international. Les dispositions précédentes ne portent pas atteinte au droit que possèdent les États de mettre en vigueur les lois qu'ils jugent nécessaires pour réglementer l'usage des biens conformément à l'intérêt général ou pour assurer le paiement des impôts ou d'autres contributions ou des amendes. […]
Documents parlementaires • +500
Versions du texte
L'Assemblée nationale et le Sénat ont délibéré,
L'Assemblée nationale a adopté,
Vu la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018 ;
Le Président de la République promulgue la loi dont la teneur suit :
L'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
1° Au début du premier alinéa, est ajoutée la mention : « I.-» ;
2° Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité » ;
3° Le 1° est complété par les mots : « et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;
4° Le 2° est ainsi modifié :
a) Le premier alinéa est complété par les mots : « et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France » ;
b) Au a, les mots : « autorise les traitements mentionnés à l'article 25, » et, à la fin, les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;
c) Après le même a, il est inséré un a bis ainsi rédigé :
« a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »
d) Le b est ainsi rédigé :
« b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ; »
e) Après le f, il est inséré un f bis ainsi rédigé :
« f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ; »
f) Au g, après le mot : « certification », sont insérés les mots : «, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;
g) A la fin du h, les mots : « d'accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41,42 et 70-22 » ;
h) Sont ajoutés des i et j ainsi rédigés :
« i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ;
« j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ; »
5° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée :
« Elle peut également être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. » ;
6° Après le même 4°, il est inséré un 5° ainsi rédigé :
« 5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;
7° Au début du vingt-sixième alinéa, est ajoutée la mention : « II.-» ;
8° L'avant-dernier alinéa est supprimé.
Le I de l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au 6°, le mot : « ou » est remplacé par le mot : « et » ;
2° Au 7°, après le mot : « numérique », sont insérés les mots : « et des questions touchant aux libertés individuelles ».
L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« L'ordre du jour de la commission réunie en formation plénière est rendu public. » ;
2° Sont ajoutés trois alinéas ainsi rédigés :
«-au 4 de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;
«-aux a et h du 3 de l'article 58 du même règlement.
« Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature. »
- MMB
- CHEZ VOUS SERVICES
- Tribunal administratif de Rennes, 2 septembre 2022, n° 2204052
- CAA de BORDEAUX, 1ère chambre, 23 mai 2024, 21BX03714, Inédit au recueil Lebon
- Cour d'appel d'Aix-en-Provence, Chambre 4 8a, 3 avril 2025, n° 24/02802
- BT FRANCE
- SOCIETE DE DEVELOPPEMENT DE LA PUERICULTURE SODEP
- Tribunal Judiciaire de Valence, Ch3 divorces contentieux, 27 septembre 2024, n° 22/03450
- Entreprises CLARENSAC (30870)
- Tribunal administratif de Cergy-Pontoise, 25 octobre 2024, n° 2207820
- Tribunal administratif de Melun, 7 août 2023, n° 2307937
- BATIGERE EN ILE DE FRANCE (LEVALLOIS-PERRET, 582000105)
- Tribunal Judiciaire de Marseille, 4e chambre cab b, 4 novembre 2024, n° 24/00407
- Tribunal administratif de Montreuil, 11ème chambre, 26 décembre 2024, n° 2307418
- CPR CONSULTING (RODEZ, 895396091)
- Cour d'appel de Paris, Pôle 5 - chambre 1, 26 février 2019, n° 17/02487
- Cour d'appel de Pau, Chambre sociale, 26 septembre 2024, n° 22/01747
- CNIL, Décision du 30 octobre 2024, n° DR-2024-268
- Tribunal Judiciaire de Lille, Jcp, 18 avril 2024, n° 23/07311
- CIAMT (PARIS 8, 847844164)
- HAYLEEN GROUP (PARIS 16, 879741320)
- BRIANE (MONTVAL-SUR-LOIR, 837647551)
- AWAKEN CONSEIL (SCEAUX, 809415466)
- CAISSE PRIMAIRE ASSUR MALADIE VAL D'OISE (CERGY, 323391367)
- Cour d'appel de Douai, Sociale d salle 2, 17 février 2023, n° 21/00261
- Tribunal administratif de Strasbourg, 21 octobre 2024, n° 2407748
- Tribunal administratif de Paris, 4 mars 2025, n° 2428853
- INPI, 5 septembre 2022, NL 21-0209
- GLOBAL CONTENTIEUX (TASSIN-LA-DEMI-LUNE, 811919349)
- PARENTEO SERVICES CHARENTE (FOUQUEBRUNE, 502408701)