Posts Récents

Affichage du flux gestion

Archives

RGPD promulgation de la loi modifiant la loi informatique et liberté

Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Gestion: Proposé par Max Bertin actualisé le 22 juin 2018

La promulgation, par le président de la république, 4 semaines après l'entrée en application, le 25 mai 2018, du RGPD et l'adoption définitive du projet de loi N° 110, le 14 mai 2018 par l'assemblée Nationale, marque la fin du parcours législatif de la transposition en droit français du Règlement Général de Protection des Données, le règlement (UE) 2016/679.

La loi est publiée au journal officiel du 21 juin 2018, sous l'appellation "LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles" qui modifie la loi dite "informatique et liberté", loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés puisque le Gouvernement a choisi de ne pas abroger la loi de 78 mais de l’adapter une énième fois.

Le conseil constitutionnel, saisi par des sénateurs, le 16 mai 2018 a rendu la Décision n° 2018-765 DC du 12 juin 2018 validant la quasi-totalité de la loi relative à la protection des données personnelles.

Comme prévu par cette loi, les titres Ier à III et les articles 34 et 35 sont entrés en vigueur le 25 mai 2018, à l'exception de l'article 70-15, concernant la tenue d'un registre des activités de traitement se rapportant aux données sensibles, de la loi n° 78-17 du 6 janvier 1978 précitée entre en vigueur à une date fixée par décret, et au plus tard :

  • Le 6 mai 2023 lorsqu'une telle obligation exigerait des efforts disproportionnés ;
  • Le 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé. La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l'entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire.

La seconde phrase du 2° de l'article 10 de la loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction résultant de l'article 21 de la présente loi, entre en vigueur le 1er juillet 2020. (Concerne des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration) et particulièrement pour des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme.

L'article 22 entre en vigueur à compter de la rentrée de l'année scolaire 2018 - 2019 concerne les formalités préalables à la mise en œuvre des traitements

Toutefois, la loi n° 78-17 du 6 janvier 1978 modifiée par la loi N°2018-496 ne s'applique pas en Nouvelle-Calédonie, en Polynésie française, dans les Terres australes et antarctiques françaises et à Wallis-et-Futuna, qui sont régis par le principe de spécialité législative, la loi du 6 janvier 1978 (art 72 de la loi) continuera à s'appliquer dans sa rédaction résultant de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Commentaires sur l'utilisation d'algorithmes dans le cadre de décisions administratives publiques. Extrait de la décision du conseil constitutionnel du 12 juin 2018.

70 - Le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311-3-1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.

71 - le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.

Liens vers les textes cités dans l'article Print Friendly and PDF - fleche retour au debut
.