Loi du 20 juin 2018 relative à la protection des données personnelles
Temps de lecture 6 minutes
Où en est-on ?
-
Étape 1 validée
13 décembre 2017
Conseil des ministres
-
Étape 2 validée
13 décembre 2017
Dépôt au parlement
-
Étape 3 validée
14 mai 2018
Examen et adoption
Adoption définitive
-
Étape 4 validée
12 juin 2018
Conseil Constitutionnel
-
Étape 5 validée
20 juin 2018
Promulgation
La loi a été promulguée le
Elle a été publiée au Journal officiel du
L'essentiel de la loi
La loi adapte la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au cadre juridique européen entré en vigueur le 25 mai 2018.
Le texte définit le champ des missions de la Commission nationale de l'informatique et des libertés (CNIL), conformément au Règlement général sur la protection des données (RGPD). La CNIL devient l'autorité nationale de contrôle pour l'application du RGPD. Celle-ci prend en charge la publication de référentiels, de codes de bonne conduite et de règlements types sur les nouvelles obligations des opérateurs. Elle peut certifier des organismes et des services. Elle peut être consultée par le Parlement sur les questions de données personnelles.
Pour les acteurs économiques, le texte remplace le système de contrôle a priori, basé sur les régimes de déclaration et d'autorisation préalables, par un système de contrôle a posteriori, fondé sur l'appréciation par le responsable de traitement des risques en matière de protection des données. En contrepartie, les pouvoirs de la Commission nationale de l'informatique et des libertés (CNIL) sont renforcés, et les sanctions encourues pourront atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial consolidé.
Les formalités préalables sont maintenues pour les données les plus sensibles, telles que les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, les données génétiques, les données utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques ou les données de santé.
La loi renforce les droits des personnes en créant un droit à l'information de la personne concernée par les données personnelles traitées en matière pénale et l'exercice direct des droit d'accès, de rectification et d'effacement des données. Le traitement de données personnelles relatives à la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale est interdit. Il est également interdit de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne.
Pour les mineurs de moins de quinze ans, le consentement des titulaires de l'autorité parentale sera nécessaire pour le traitement des données personnelles sur les réseaux sociaux. C'est à partir de l'âge de quinze ans qu'un mineur pourra s'inscrire sur des réseaux sociaux sans autorisation parentale (le texte initial prévoyait seize ans).
En complément
Légifrance
Loi du 20 juin 2018 relative à la protection des données personnelles (nouvel onglet)Conseil constitutionnel
Décision n° 2018-765 DC du 12 juin 2018 - Loi relative à la protection des données à caractère personnel (nouvel onglet)Assemblée nationale
Dossier législatif sur le projet de loi relatif à la protection des données personnelles (nouvel onglet)Collection des discours publics
Communiqué du Conseil des ministres du 13 décembre 2017 (nouvel onglet)