L’ordonnance n° 2018-1125 prise en application de l’article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n°78-17 du
6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel est entrée en vigueur le 12 décembre 2018, soit un peu moins de six mois après la promulgation de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prise en application du RGPD.
Cette ordonnance procède à une réécriture de la loi Informatique et Libertés, dont l’exhaustivité du titre illustre à la fois son origine normative et l’importance de la réforme opérée. Visant à améliorer l’articulation globale de la législation applicable, elle se situe dans le prolongement de la loi du 20 juin 2018, laquelle a pris en considération dans notre droit interne deux textes d’importance :
-
Le Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, mieux connu sous son acronyme RGPD,
-
et la directive UE 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
Jusqu’à l’entrée en vigueur de l’ordonnance n° 2018-1125, la loi du 20 juin 2018 relative à la protection des données personnelles devait être lue sous le prisme de ces deux textes européens. Jusqu’à l’entrée en vigueur de l’ordonnance n° 2018-1125, la loi du 20 juin 2018 relative à la protection des données personnelles se devait d’être lue sous le prisme de ces deux textes européens, comme le souligne la délibération n°2018-349 de la CNIL du 15 novembre 2018. L’Autorité nationale de contrôle pointait les limites de l’application légale en insistant sur les inconventionnalités potentielles du fait de l'imprécision de la loi française et en soulignant la complexité de sa lisibilité au travers "la pratique du renvoi en chaîne", à savoir des dispositions renvoyant elles-mêmes à d’autres dispositions pour certaines externes à la loi Informatique et Libertés.
Prenant en compte ces critiques constructives, l’ordonnance n° 2018-1125 réécrit la loi Informatique et Libertés éclaircissant et harmonisant ainsi les différents apports opérés depuis la consécration du droit à la protection des données à caractère personnel par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données jusqu'à la loi n° 2016-1321 du 7 octobre 2018 pour une République numérique (Loi Lemaire).
----------------------------------------------------
Jonathan Keller, ingénieur de recherche en droit à Télécom ParisTech, membre de la Chaire Valeurs et Politiques des Informations Personnelles et de la Chaire C3S (Connected Cars & Cyber Security)
----------------------------------------------------