Le décret 2019-536 du 29 mai 2019 contient de nombreuses mesures relatives notamment à la CNIL, en particulier aux contrôles sur place, et aux droits des personnes concernées, comme le droit d’accès. Il indique également comment l’employeur informe la CNIL de la désignation d’un délégué à la protection des données (DPD ou DPO). Il est entré en vigueur le 1er juin 2019.
Décret d’application de la loi informatique et libertés
Depuis le 1er juin 2019, la loi « informatique et libertés » et son décret d’application sont à jour du RGPD (décret, art. 159). Attention toutefois : il faut distinguer la mise en conformité de la loi « informatique et libertés » et de ses mesures d’application avec le RGPD, effective au 1er juin 2019, de l’obligation de respecter le RGPD applicable depuis le 25 mai 2018 (RGPD, art. 99). En effet, le RGPD s’impose en France depuis le 25 mai 2018 dans la mesure où il s’agit d’un texte européen d’effet direct.
Désignation d’un délégué à la protection des données
Pour rappel, le responsable du traitement de données personnelles (ex. : l’employeur) doit désigner un délégué à la protection des données (DPD ou DPO pour « Data Protection Officer ») dans certains cas (ex. : l’activité principale de l’entreprise l’amène à réaliser un suivi régulier et systématique de personnes à grande échelle) (loi 78-17 du 6 janvier 1978, art. 57 ; règlt UE 2016/679 du 27 avril 2016, art. 37). La CNIL recommande d’en désigner un même quand cela n’est pas obligatoire. Il est le « successeur naturel » du correspondant informatique et libertés (« Devenir délégué à la protection des données », www.cnil.fr).
Le décret du 29 mai précise que le DPD veille au respect des obligations prévues par le RGPD et la loi « informatiques et libertés » (décret, art. 82).
En outre, le RGPD impose que le responsable du traitement publie les coordonnées du DPD et les communique à l’autorité de contrôle, à savoir la CNIL en France (règlt UE 2016/679 du 27 avril 2016, art. 37). Le décret indique que cette communication à la CNIL doit comporter les mentions suivantes (décret, art. 83) :
- les nom, prénom et coordonnées professionnelles du responsable du traitement ou du sous-traitant ou, le cas échéant, ceux de son représentant, ainsi que ceux du délégué à la protection des données. Pour les personnes morales responsables du traitement et les sous-traitants, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
- lorsque le DPD est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de délégué.
Ces informations, ainsi que leurs modifications, doivent être communiquées sans délai à la CNIL par voie électronique. Par ailleurs, la dénomination et les coordonnées professionnelles de l’entreprise ainsi que les moyens de contacter le DPD font l’objet d’une diffusion dans un format ouvert et aisément réutilisable par la CNIL.
Enfin, le décret du 29 mai rappelle que le DPD peut être mutualisé, c’est-à-dire désigné pour plusieurs entreprises sous certaines conditions (décret, art. 84).
Autres mesures d’application
Le décret du 29 mai 2019 contient de nombreuses autres mesures, en particulier des mesures relatives à la CNIL :
- sa composition et son fonctionnement (décret, art. 1 à 15) ;
- les contrôles que celle-ci peut décider, comme les contrôles sur place (décret, art. 16 à 47).
Le décret précise aussi, entre autres prescriptions, les modalités d’exercice des droits (droit à l’information, d’accès, de rectification, d’opposition, à la portabilité, etc.) des personnes dont des données personnelles sont traitées (ex. : les salariés) (décret, art. 77 à 80).