Prévue dans un délai de 6 mois à compter de sa publication par la loi du 20 juin 2018, l’ordonnance est parue au Journal officiel du 13 décembre 2018.
L’édifice juridique découlant de l’entrée en application, le 25 mai 2018, du Règlement général sur la protection des données (RGPD), est sur le point d’être achevé (1) : l’ordonnance n°2018-1125 du 12 décembre 2018, prise en application de l’article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, est parue au Journal officiel.
Ce texte était attendu pour rendre de la cohérence au cadre juridique actuel de la protection des données à caractère personnel.
L’ordonnance a pour objet de :
- réécrire l’ensemble de la loi n°78-17 du 6 janvier 1978 afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 » ;
- mettre en cohérence avec ces changements « l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet » (2).
Améliorer le nouveau cadre juridique issu du RGPD
En d’autres termes, comme l’a souligné la Cnil qui s’était prononcée sur le projet d’ordonnance par un avis rendu le 15 novembre 2018, il s’agissait d’améliorer la lisibilité du nouveau cadre juridique composite né de l’entrée en application du RGPD (3).
Cette ordonnance, présentée le 12 décembre en conseil des ministres par le garde des Sceaux, propose ainsi un plan « plus lisible, ordonné et cohérent, distinguant les dispositions communes, qui constituent le socle commun à l’ensemble des traitements de données à caractère personnel (principes, définitions, champs d’application matériel et territorial de la loi, dispositions relatives à la commission nationale de l’informatique et des libertés (CNIL), formalités préalables, voies de recours spécifiques aux traitements de données à caractère personnel, dispositions pénales), les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 (y compris les traitements dans le secteur des communications électroniques et les traitements de données à caractère personnel relatives aux personnes décédées), les traitements relevant de la directive (UE) 2016/680 du même jour, les traitements intéressant la sûreté de l’État et la défense et les dispositions relatives à l’outre-mer ».
L’ordonnance opère par ailleurs une « mise en cohérence avec ces changements de l’ensemble de la législation, codifiée ou non, applicable à la protection des données à caractère personnel » .
Un dernier décret à intervenir
Enfin, l’ordonnance procède à l’adaptation et à l’extension à l’outre-mer de ces dispositions, ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’État.
Le porte-parole du gouvernement a précisé, le 12 décembre 2018, que l’ordonnance « entrera en vigueur en même temps que le décret qui modifiera le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la présente ordonnance et au plus tard le 1er juin 2019 ».
Eric Bonnet
Directeur du département Communication juridique
(1) Un dernier décret reste à intervenir.
(2) Rapport au Président de la République relatif à l’ordonnance n°2018-1125 du 12 décembre 2018 (JORF n°0288 du 13 décembre 2018).
(3) Cnil, « RGPD : quel bilan 6 mois après son entrée en application », 23 novembre 2018.