• Partager

Quelle concordance entre la loi Informatique et Libertés et le RGPD ?

Le Règlement Général sur la Protection des Données ou RGPD1 est entré en vigueur le 25 mai 2018 dans tous les Etats membres de l’Union européenne. En France, la loi dite « Informatique et Libertés » de 1978 régit la protection des données personnelles2. Afin de mettre en conformité le droit national avec le cadre juridique européen, la loi n° 2018-493 du 20 juin 2018 a modifié la loi Informatique et Libertés, notamment pour faire usage de certaines marges de manœuvre ouvertes aux Etats membres par le RGPD dans le délai prescrit par celui-ci. Cette loi donnait également un délai de six mois au Gouvernement pour prendre une Ordonnancede réécriture de l’ensemble de la loi Informatique et libertés du 6 janvier 19783. C’est chose faite avec l’Ordonnance n°2018-1125 du 12 décembre 2018.

L’Ordonnance réécrit l’ensemble de la loi Informatique et Libertés en 128 articles, répartis sur 5 titres. Elle a notamment pour objectifs :

  • D’améliorer la lisibilité de la loi Informatique et Libertés, en réalisant les adaptations nécessaires à la simplification et à la cohérence des dispositions nationales avec le RGPD (ex. l’Ordonnance ne duplique pas les dispositions du RGPD et procède notamment par renvoi) ;
  • De mettre en cohérence l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu’elles soient codifiées ou non. Le texte apporte des modifications sémantiques conformes au droit européen et remplace par exemple les termes « données personnelles » ou « informations nominatives » par celui de « données à caractère personnel » ;
  • D’appliquer les règles de manière homogène sur l’ensemble du territoire français4. Ainsi, l’Ordonnance prévoit que la loi Informatique et Libertés s’applique en outre-mer et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises5.

Néanmoins l’objectif de lisibilité ne semble pas complètement atteint. En effet, la nouvelle rédaction de la loi Informatique et Libertés manque encore de clarté et sa combinaison avec les dispositions du RGPD s’avère être complexe.

Ainsi, par exemple, certaines dispositions de la loi renvoient simplement à celles du règlement (ex. l’article 43 de la loi Informatique et Libertés qui renvoie au Chapitre II RGPD), alors que d’autres reprennent les dispositions du RGPD avec parfois quelques petits ajustements (ex. l’article 5 de la loi Informatique et Libertés qui reprend l’article 6.1 RGPD). Un autre exemple est celui de l’article 44 de la loi Informatique et Libertés qui prévoit des exceptions permettant le traitement de catégories particulières de données (ex. données de santé, opinions politiques, convictions religieuses ou philosophiques, origine raciale ou ethnique, etc.) qui viennent s’ajouter aux exceptions déjà prévues à l’article 9 RGPD, mais sont très similaires à ces dernières. Ces dispositions sont par ailleurs complétées par les articles 66 et suivants spécifiques aux traitements de données à caractère personnel dans le domaine de la santé.

Compte tenu de ces éléments, nous avons souhaité proposer un outil facilitant la lecture combinée des textes applicables en matière de protection des données personnelles en France.

Nous avons donc créé un tableau de concordance entre les dispositions de la loi Informatique et Libertés telle que réécrite et celles du RGPD, que vous trouverez ci-dessous.

Il convient de préciser, par ailleurs, que les dispositions de l’Ordonnance n’entreront en vigueur qu’en même temps que le nouveau décret d’application6 de la loi Informatique et Libertés, au plus tard en juin 2019.

Tableau de concordance RGPD – Loi Informatique et Libertés

Principes

RGPD

Loi Informatique et Libertés7

Objet et objectifs

Article 1

Article 1

Champ d’application matériel

Article 2

Articles 2 et 42

Champ d’application territorial

Article 3

Article 3
Articles 125 à 128 sur l’Outre-mer

Définitions

Article 4

Article 2

Principes relatifs au traitement des données à caractère personnel

Article 5

Article 4
Nb : l’article 43 renvoi de manière générale aux dispositions du chapitre 2 (articles 5 à 11) RGPD

Licéité du traitement

Article 6

Article 5

Conditions applicables au consentement

Article 7

Article 5

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information

Article 8

Article 45

Traitement portant sur des catégories particulières de données à caractère personnel

Article 9

Articles 6, 8-I-2°(c) et 44
Articles 31 à 36 sur les traitements mis en œuvre pour le compte de l’Etat
Articles 64 à 77 sur les traitements de données à caractère personnel dans le domaine de la santé

Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Article 10

Article 46
Article 31 et 33 à 36 sur les traitements mis en œuvre pour le compte de l’Etat

Traitement ne nécessitant pas l’identification

Article 11

Pas de disposition particulière dans la loi

Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Article 12

Article 48

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 13

Article 48

Informations à fournir lorsque les données n’ont pas été collectées auprès de la personne concernée

Article 14

Article 48
Article 79 sur les traitements à des fins archivistiques, de recherche scientifique ou historique

Droit d’accès de la personne concernée

Article 15

Article 49

Droit de rectification

Article 16

Article 50

Droit à l’effacement ("droit à l’oubli")

Article 17

Article 51

Droit à la limitation du traitement

Article 18

Article 53

Obligation de notification concernant la rectification, l’effacement de données ou limitation du traitement

Article 19

Article 54

Droit à la portabilité des données

Article 20

Article 55

Droit d’opposition

Article 21

Article 56

Décision individuelle automatisée, y compris le profilage

Article 22

Article 47

Limitations

Article 23

Articles 48, 52 et 56
Articles 116 à 120 sur les traitements intéressant la sûreté de l’Etat et la défense

Responsabilité du responsable du traitement

Article 24

Article 57

Protection des données dès la conception et protection des données par défaut

Article 25

Pas de disposition particulière dans la loi

Responsables conjoints du traitement

Article 26

Article 59

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union

Article 27

Pas de disposition particulière dans la loi

Sous-traitant

Article 28

Article 60

Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Article 29

Article 61

Registre des activités de traitement

Article 30

Article 57

Coopération avec l’autorité de contrôle

Article 31

Pas de disposition particulière dans la loi

Sécurité du traitement

Article 32

Article 4.6

Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 33

Article 58

Communication à la personne concernée d’une violation de données à caractère personnel

Article 34

Article 58

Analyse d’impact relative à la protection des données

Article 35

Article 62

Consultation préalable

Article 36

Article 63
Articles 6, 31 à 36 sur les traitements d’intérêt public et mis en œuvre pour le compte de l’Etat

Désignation du délégué à la protection des données

Article 37

Article 57

Fonction du délégué à la protection des données

Article 38

Article 57

Missions du délégué à la protection des données

Article 39

Article 57

Codes de conduite

Article 40

Article 8-I-2°(b)

Suivi des codes de conduite

Article 41

Articles 21-I-4° et 23

Certification

Article 42

Articles 8-I-2° (h), 8-I-2°(i)

Organismes de certification

Article 43

Articles 8-I-2° (h), 8-I-2°(i), 21-I-4° et 23 

Principe général applicable aux transferts

Article 44

Pas de disposition particulière dans la loi

Transferts fondés sur une décision d’adéquation

Article 45

Article 39

Transferts moyennant des garanties appropriées

Article 46

Article 39

Règles d’entreprise contraignantes

Article 47

Pas de disposition particulière dans la loi

Transferts ou divulgations non autorisés par le droit de l’Union

Article 48

Pas de disposition particulière dans la loi

Dérogations pour des situations particulières

Article 49

Pas de disposition particulière dans la loi

Coopération internationale dans le domaine de la protection des données à caractère personnel

Article 50

Article 29

Autorité de contrôle

Article 51

Article 8

Indépendance

Article 52

Article 8

Conditions générales applicables aux membres de l’autorité de contrôle

Article 53

Articles 9 et 10

Règles relatives à l’établissement de l’autorité de contrôle

Article 54

Articles 9 à 18

Compétence

Article 55

Article 8

Compétence de l’autorité de contrôle chef de file

Article 56

Articles 27 et 28

Missions

Article 57

Article 8

Pouvoirs

Article 58

Articles 19 à 22

Rapport d’activité

Article 59

Article 8

Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées

Article 60

Articles 24, 27 et 28

Assistance mutuelle

Article 61

Articles 24 et 26

Opérations conjointes des autorités de contrôle

Article 62

Articles 24 et 25

Mécanisme de contrôle de la cohérence

Article 63

Article 24

Avis du comité

Article 64

Article 24

Règlement des litiges par le comité

Article 65

Article 24

Procédure d’urgence

Article 66

Articles 21 et 24

Echange d’informations

Article 67

Article 24

Comité européen de la protection des données

Article 68

Pas de disposition particulière dans la loi

Indépendance

Article 69

Pas de disposition particulière dans la loi

Missions du comité

Article 70

Pas de disposition particulière dans la loi

Rapports

Article 71

Pas de disposition particulière dans la loi

Procédure

Article 72

Pas de disposition particulière dans la loi

Président

Article 73

Pas de disposition particulière dans la loi

Missions du président

Article 74

Pas de disposition particulière dans la loi

Secrétariat

Article 75

Pas de disposition particulière dans la loi

Confidentialité

Article 76

Pas de disposition particulière dans la loi

Droit d’introduire une réclamation auprès d’une autorité de contrôle

Article 77

Article 8

Droit à un recours juridictionnel effectif contre une autorité de contrôle

Article 78

Article 19

Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Article 79

Articles 8 et 39

Représentation des personnes concernées

Article 80

Articles 37 et 38

Suspension d’une action

Article 81

Pas de disposition particulière dans la loi

Droit à réparation et responsabilité

Article 82

Pas de disposition particulière dans la loi

Conditions générales pour l’imposition d’amendes administratives

Article 83

Article 20

Sanctions

Article 84

Articles 20 à 22

Traitement et liberté d’expression et d’information

Article 85

Article 80

Traitement et accès du public aux documents officiels

Article 86

Article 7

Traitement du numéro d’identification national

Article 87

Article 30

Traitement de données dans le cadre des relations de travail

Article 88

Pas de disposition particulière dans la loi

Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public

Article 89

Article 78

Obligations de secret

Article 90

Article 19

Règles existantes des églises et associations religieuses en matière de protection des données

Article 91

 


1 Règlement (UE) 2016/679 du 27 avril 2016

2 Loi n° 78-17 du 6 janvier 1978

3 Article 32 de la loi n° 2018-493 du 20 juin 2018

4 Sur les difficultés posées par l’application de la loi du 20 juin 2018 dans les Départements et Régions d'Outre-mer (DROM) et Collectivités d'Outre-mer (COM), cf. notre article « L’application des règles de protection des données personnelles aux DROM/COM, Sophie Revol – Louise Fauvel, 21 septembre 2018, (https://etaxlawservices.ey-avocats.com/actualite/Juridique-/l-application-des-regles-de-protection-des-donnees-personnelles-aux-drom/com)

5 Article 125 de la loi Informatique et Libertés dans sa rédaction issue de l’Ordonnance

6 Un premier décret n° 2018-687 du 1er août 2018 est venu modifier le décret d’application de la loi Informatique et Libertés existant (décret n° 2005-1309 du 20 octobre 2005).

7 Dans sa rédaction issue de l’Ordonnance de réécriture. Le Chapitre IV du Titre II de la loi Informatique et Libertés a pour objet la transposition de la Directive ePrivacy et son Titre III la transposition de la Directive 2016/680.

Retourner au sommaire | Imprimer cet articleImprimer l'ensemble de nos articles