Le Règlement Général de l’Union Européenne relatif à la Protection des Données personnelles (RGPD) n’impose pas, en principe, l’adoption de dispositions juridiques nationales pour son application.
En effet, l’article 288, alinéa 2 du Traité sur le fonctionnement de l’Union Européenne précise que “le règlement a une portée générale : il est obligatoire dans tous ses éléments et il est directement applicable à tout Etat membre”. Mais, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée pour s’adapter au RGPD.
A la suite de cette réforme, une ordonnance a été prise le 12 décembre 2018 tout comme l’édition de décrets dont le dernier est le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi relative à l’informatique, aux fichiers et aux libertés. La Commission Nationale de l’Informatique et des Libertés (CNIL) estime que la loi informatique et libertés et son décret d’application, profondément modifiés, permettent dorénavant aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel.
Les dispositions du décret du 29 mai 2019, entré en vigueur depuis le 1er juin 2019, concernent la CNIL et ses pouvoirs, les formalités préalables à la mise en œuvre des traitements des données à caractère personnel, les délégués à la protection des données et les transferts des données en dehors de l’UE. Le décret prévoit également des dispositions particulières aux articles 26 et 42 de la loi informatique et libertés.
Cet article 26 concerne la coopération entre la CNIL et les autorités de contrôle des autres Etats membres de l’UE dans le cadre des traitements des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à libre circulation de ces données. L’article 42 délimite les domaines d’application du Titre II de la loi informatique et libertés qui concerne les traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD.
D’autres dispositions du décret sont relatives aux obligations incombant aux responsables de traitements et aux sous-traitants et aux droits des personnes. De même, le décret encadre les traitements relatifs au chapitre XIII de la loi informatique et libertés. Ce chapitre porte sur les dispositions applicables aux traitements relevant de la directive
Enfin, le décret précise les modalités de son application dans les collectivités territoriales d’outre-mer.