La publication le 30 mai dernier du décret d’application de la nouvelle loi Informatique et Libertés constitue la dernière touche du chantier de mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD). Ce travail d’harmonisation aura donc duré un an, à quelques jours près. Enfin, si on veut être tatillon, le dernier épisode de la saison 3 n’est pas totalement clos puisqu’il faut encore attendre la ratification de l’ordonnance par le Parlement. Ce qui devrait être une formalité.
La lecture de ce décret d’application peut donner le tournis. “Sur les 160 articles, beaucoup d’entre eux concernent le fonctionnement de la Cnil et la procédure, observe Thierry Dor, avocat au Barreau de Paris et partner au cabinet Gide Loyrette Nouel. Ils ne visent pas directement le responsable de traitement ou le sous-traitant. La grande technicité du texte tend à privilégier les grandes entreprises qui disposent de compétences juridiques pour l’analyser. Les PME et les particuliers sont plus démunis.”
Pour le juriste, le décret apporte toutefois un certain nombre de précisions. L’article 12 donne la possibilité à la Cnil d’obliger à ce que les documents dont doit disposer le responsable de traitement (registre, documentation en matière de violation de données, analyse d’impact si requise) soient traduits en français. De son côté, l’article 77 confirme la possibilité et encadre l’exercice des droits (d’accès, de rectification…) par un mandataire. C’est-à-dire la possibilité de se faire représenter par un tiers.
En revanche, au regard des observations apportées par la Cnil dans son avis rendu le 9 mai, il manque, selon Thierry Dor, deux éléments intéressants qui n’ont pas été retenus. Le premier porte sur les demandes de droit d’accès jugées “imprécises”. Pour cerner la nature de sa demande, le responsable de traitement est en droit de demander des informations complémentaires à la personne qui l’interroge. “La Cnil trouvait le terme “imprécises”…imprécis et demandait qu’il soit retiré redoutant que le responsable de traitement en profite pour botter en touche. Le mot est resté dans le décret.”
En ce qui concerne le régime général de la violation de données issu du RGPD, la Cnil demandait des précisions sur les modalités de la notification à l’autorité de contrôle qu’elle n’a pas obtenues. “Bizarrement, le décret ne prévoit de précisions procédurales que pour la notification d’une violation de données dans le secteur des communications électroniques”, déplore Thierry Dor.