4 août 2018

Objet et portée de l'ensemble du décret du 1er août 2018 portant application de la loi Données personnelles

Public concerné : citoyens, entreprises, administrations, collectivités territoriales, personnes morales de droit privé collaborant au service public de la justice, membres et agents de la CNIL.

Objet : mesures d'application de loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, et mise en conformité du décret n° 2005-1309 du 20 octobre 2005 au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le décret contient les mesures d'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Il modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour le mettre en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Il contient plusieurs mesures d'application de la loi n° 2018-493 du 20 juin 2018
Il définit les conditions dans lesquelles, soit la CNILsoit l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679, agrée les organismes certificateurs aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 et à la loi du 6 janvier 1978.
Il fixe les conditions et limites dans lesquelles le président de la CNIL et le vice-président délégué peuvent déléguer leur signature.
Il précise la composition du comité d'audit du système national des données de santé prévu à l'article 65 de la loi du 6 janvier 1978, ses règles de fonctionnement et les modalités de l'audit. 
Il détermine les conditions dans lesquelles les membres et agents de la commission amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d'emprunt procèdent à leurs constations. 
Il définit la procédure d'urgence contradictoire appliquée par la formation restreinte saisie par le président de la CNIL.
Il détermine les conditions et les garanties selon lesquelles il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 en matière de traitements à des fins de recherche scientifique ou historique ou à des fins statistiques.
Il précise les conditions d'application de l'article 49-3 de loi du 6 janvier 1978, relatif au traitement transfrontalier au sein de l'Union européenne.
Il fixe la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.
Il fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Le décret achève la transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.

Il précise notamment le contenu de l'analyse d'impact effectuée préalablement à la mise en œuvre d'un traitement, le contenu du contrat ou de l'acte juridique liant le sous-traitant à l'égard du responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement.

Il procède aux coordinations nécessaires, notamment dans le code de procédure pénale pour les fichiers de police judiciaire, particulièrement pour le traitement d'antécédents judiciaires, ainsi que dans le code pénal, pour les contraventions d'atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.
Enfin, il prévoit que la CNIL transmet aux responsables de traitement l'ensemble des demandes tendant à la mise en œuvre des droits d'accès indirect, de rectification et d'effacement prévus par le chapitre XIII de la loi du 6 janvier 1978 qui lui ont été adressées avant l'entrée en vigueur du présent décret.

Source : Legifrance, décret n° 2018-687 du 1er août 2018.

3 août 2018

Analyse d'impact, sous-traitant... contenu du décret du 1er août appliquant la loi Données personnelles du 20 juin 2018

Le premier décret n° 2018-687 du 1er août 2018 pris en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles qui modifie la loi Informatique et Libertés est paru ce matin au JO du 3 août.*

Pour en dresser une rapide présentation, outre les mesures concernant la CNIL qui sont à lire dans le billet "Objet et portée de l'ensemble du décret du 1er août 2018 portant application de la loi Données personnelles", le décret traite - en son article 25 ci-après - de l'analyse d'impact "lorsque un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, ainsi que du "contenu du contrat ou de l'acte juridique liant le sous-traitant à l'égard du responsable du traitement et des règles applicables aux responsables conjoints du traitement".

1. En ce qui concerne l'analyse d'impact, celle-ci doit comporter :

- au moins une description générale des opérations de traitement envisagées, 
- une évaluation des risques pour les droits et libertés des personnes concernées, 
- les mesures envisagées pour faire face à ces risques, 
- les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions du chapitre XIII de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

2. Quant au sous-traitant des données personnelles, ce dernier :

- veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions de la section 3 du chapitre XIII de la même loi ;
- selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 70-10 précité et du présent article ;
- respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 précité, au dernier alinéa de l'article 70-10 précité et au présent article.
Cet acte juridique revêt la forme écrite, y compris la forme électronique.

L'article 24 du décret traite quant à lui des transferts de données à caractère personnel vers les états n'appartenant pas a l'union européenne.

Pour avoir plus d'information sur l'ensemble du texte, un coup d'oeil à la notice du décret, parue en même temps que le texte, permet d'embrasser son objet et sa portée (V. Objet et portée de l'emsemble du décret du 1er août 2018 portant application de la loi Données personnelles, Lexgo).

* * * * * * *
Article 25 du décret
"Le titre VIII est ainsi rédigé :

« Titre VIII  « DISPOSITIONS APPLICABLES AUX TRAITEMENTS RELEVANT DU CHAPITRE XIII DE LA LOI DU 6 JANVIER 1978

« Chapitre Ier « Dispositions générales

26 juillet 2018

26 juillet. La loi sur le secret des affaires est validée




Mise à jour du 2 août 2018 : 

Un dossier *complet* est à consulter sur la nouvelle version du site du Conseil Constitutionnel
Décision n° 2018-768 DC du 26 juillet 2018panneau de gauche [conseil-constitutionnel.fr].



13 juillet 2018

RGPD, loi du 20 juin 2018... et puis quoi après ?

Une ordonnance et des décrets imminents 

Le fameux reglement général européen sur la protection des données [RGPD] s'applique à présent de concert avec la nouvelle loi Informatique et libertés, telle qu'issue de la récente loi du 20 juin 2018, la loi de 1978 restant en vigueur en complément du RGPD (1). En tant que reglement européen, celui-ci s'integre dans notre corpus juridique sans qu'il soit besoin de le transposer. Ce chevauchement ne va pas cependant sans appeler de futurs ajustements. Deux sortes de mesures sont attendues de la part du Gouvernement.

1. Une ordonnance "de réécriture complète de la loi Informatique et Libertés" doit intervenir avant la fin de l'année
"Une ordonnance de réécriture complète de la loi Informatique et Libertés est prévue, dans un délai de six mois, notamment afin de résoudre ces difficultés de lisibilité de ce cadre juridique composite" (2).
L'habilitation donnée au Gouvernement à prendre une telle mesure figure à l'article 32 de la loi n° 2018-493 du 20 juin 2018 :
"I. - (...)  le Gouvernement est autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires : 
1° à la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 (...)  et transposent la directive (UE) 2016/680 (...); 
2° pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet".
Le II et le III de l'article 32 précisent quant à eux que la future ordonnance devra être prise, après avis de la Cnil, dans un délai de six mois à compter de la promulgation de la loi du 20 juin, un projet de loi de ratification devant suivre six mois à compter de la publication de ladite ordonnance.
Des mesures plus récentes sont à paraître.


2. Dix-sept décrets d'application de la loi du 20 juin 2018 relative à la protection des données personnelles sont prévus

Parmi ces décrets - dont treize sont envisagés pour juillet 2018, à suivre l'échéancier de mise en application de la loi (3) - la Cnil a déjà entre ses mains un nouveau décret pour avis, lequel devrait achever la mise en conformité du cadre juridique national au droit européen. Un texte devant permettre, aux dires de la Cnil :
"de fixer plus précisément les procédures de traitement par la Cnil des différents dossiers dont elle a la charge et de préciser certaines dispositions de la loi".
S'il reste plutôt rare que les décrets entrent en application à la date mentionnée dans les échéanciers, la parution de ce texte semble cependant bien engagée.

________________

(1) La loi du 21 juin 2018 adapte la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au cadre juridique européen entré en vigueur le 25 mai 2018.
(2) Entrée en vigueur de la nouvelle loi Informatique et Libertés, cnil.fr, 4 juillet 2018 (Source, Maitre Charruyer,‏ @charruyerfrance, 6 juil.). V. aussi à ce sujet Quelques réflexions sur la loi relative à la protection des données personnelles, Carole Couson, Village-justice.com, 13 juil. 2018.
(3) V. Echéancier de la loi du 20 juin 2018, Legifrance.gouv.frExtrait:





10 juillet 2018

S'opposer à la réception de prospection commerciale..., la Cnil met à jour ses modèles de courriers (RGPD)

Rectifier ses données, incomplètes ou inexactes, exercer son droit d'accès, supprimer des informations personnelles d'un site internet, clôturer un compte en ligne ... la Cnil vient de mettre à jour ses modèles de courriers afin de tenir compe de la récente réforme sur les données personnelles.

Pour exemple, la Cnil propose de s'opposer à la réception de prospection commerciale (par mail, sms, courrier) dorénavant de la manière suivante :

27 juin 2018

La protection du secret des affaires devant le Conseil constitutionnel

La proposition de loi LREM relative à la protection du secret des affaires, laquelle fait l'objet d'une procédure accélérée engagée par le Gouvernement le 20 février 2018, est à présent devant le Conseil constitutionnel, saisi par au moins soixante députés ce 26 juin 2018. Le texte avait été adopté définitivement le 21 juin 2018 par le Sénat après commission mixte paritaire.

L'objectif est de transposer la directive 2016/943/UE du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées, entrant en vigueur au 9 juin 2018.

Les opposants s'inquiètent notamment d'une définition large des informations protégées.


27 avril 2018

Présomption de notification régulière d'un pli recommandé malgré la signature par une autre personne que le destinaire

Conseil d'État, 4ème et 1ère chambres réunies, 28/03/2018, 399867

Les actes administratifs sont portés à la connaissance de leurs destinataires et des tiers par des procédés de publicité qui correspondent soit à une publication, soit à une notification (La notification des décisions individuelles, oct. 2015, cdg31.fr).

En matière de notification par l'administration d'un acte par pli recommandé, le Conseil d'Etat a déjà jugé opérant, à l'encontre de la régularité de la notification, le moyen tiré de ce que la tierce personne signataire l'accusé de réception dudit acte n'était pas habilitée à recevoir le pli au nom du destinataire. Par suite, la remise d'un pli recommandé au gardien d'immeuble qui n'avait pas été autorisé par le destinataire à accuser réception d'un tel courrier ne constituait pas une notification régulière.(1)

Il ressort à présent de l'arrêt des 4ème et 1ère chambres réunies du Conseil d'Etat en date du 28 mars 2018 (n° 399867, mentionné dans les tables du recueil Lebon) que :
Lorsque le destinataire d'une décision administrative soutient que l'avis de réception du pli recommandé portant notification de ladite décision à l'adresse qu'il a lui-même indiquée n'a pas été signé par lui, mais par la gardienne de son immeuble, laquelle n'avait pas été autorisée à signer l'accusé de réception, il lui appartient d'établir que la signataire de l'avis n'avait pas qualité pour recevoir le pli en cause.

En l'espèce, le courrier envoyé par le maire de Paris à Mme B. a fait l'objet d'un accusé de réception, signé par le gardien de la résidence. En estimant que Mme B. n'établissait pas que le gardien de cette résidence n'avait pas qualité pour recevoir les plis recommandés qui lui étaient destinés, la cour administrative d'appel s'est livrée à une appréciation souveraine des pièces du dossier exempte de dénaturation. Par suite, la décision du maire de Paris avait été régulièrement notifiée, à la date de signature.

Ceci n'est pas sans rappeler l'arrêt du Conseil d'Etat, CE, Section, 11 juillet 1988, n° 52639, dans lequel la société destinataire n'avait pas établi que la personne qui avait porté sa signature sur l'avis de réception n'avait pas qualité pour recevoir le pli. Dans ces conditions, la notification a été regardée comme régulière et a fait courir le délai de recours contentieux.

_____________
(1) CE 13 novembre 1998, 164143, publié au recueil Lebon : le requérant a été regardé comme établissant que le pli recommandé ne lui avait pas effectivement été notifié préalablement à la mise en recouvrement des impositions litigieuses, car le pli recommandé litigieux avait été remis à la gardienne de son immeuble, laquelle en aurait, sans y être autorisée, signé l'accusé de réception, puis l'aurait retourné au service fiscal).

25 avril 2018

Diffamation publique : le déplacement d'un article dans un nouvel onglet est publication nouvelle faisant courir un nouveau délai de prescription


Article préalablement publié le 25 avril 2018 sur Village-justice.com.

Une publication nouvelle à l'occasion du déplacement d'un texte dans Wikipedia, même sans modification de celui-ci, réactive son contenu au regard de la prescription des infractions de presse
Cass. crim., 10 avr. 2018, n° 17-82.814

Les infractions de presse, sauf exceptions, se prescrivent après trois mois révolus, à compter du jour où ils sont commis, en application de l'article 65 de la loi du 29 juillet 1881, cette courte prescription étant considérée comme un corollaire de la liberté de la presse.

La chambre criminelle de la Cour de cassation a pu préciser qu'en vertu de cet article, "le point de départ de la prescription est le jour de la publication de l’écrit incriminé, par laquelle se consomment les délits que celui-ci peut contenir" (Cass. crim., 2 nov. 2016 n° 15-87.163), le point de départ étant normalement fixé à la date du premier acte de publication (Cass. crim., 30 janv. 2001, n° 00-83.004) (1).

Le cas des éditions successives

La jurisprudence a admis très tôt, en cas d’éditions successives, que la prescription coure du jour de chacune des éditions nouvelles et non pas de la première édition, y compris en cas de réimpression à l’identique (Cass. crim. 16 décembre 1910 ; Cass. crim. 2 mars 1954 ; Cass. crim. 27 avril 1982, n° 80-93.43 ; Cass. crim. 8 janvier 1991, n° 90-80.593). Chaque réédition constitue ainsi une réitération de l’infraction initialement commise (V. Rapport annuel 2014, Courdecassation.fr).

Sur le réseau internet, une publication considérée comme nouvelle est donc de nature à faire courir à nouveau le délai prévu pour la prescription des infractions de presse. Dans une récente affaire de diffamation publique, la chambre criminelle de la Cour de cassation vient préciser ce régime de prescription (Cass. crim., 10 avr. 2018, n° 17-82.814) : l'arrêt fait suite à la publication d'un texte sur I'encyclopédie collaborative Wikipedia qui aurait porté atteinte à l'honneur et à la réputation de la société des Editions Chantegrel, laquelle édite et publie la revue Nexus en France. L'article litigieux était visible pour une grande partie sur Wikipedia, à la page consacrée à Nexus (revue), les propos provenant d'universitaires et de chercheurs, repris et publiés par deux internautes.

Le juge d'instruction, suivi par la cour d'appel, a rendu une ordonnance de non-lieu, au motif que les faits étaient prescrits en application de l'article 65 de la loi du 29 juillet 1881.

Pour considérer comme prescrits les faits poursuivis, l'arrêt de la chambre de l'instruction de la cour d'appel de Paris, énonce notamment qu'après que la publication incriminée a été mise pour la première fois à la disposition des internautes, M. B est intervenu à deux reprises après cette date afin de déplacer le contenu litigieux de I'onglet "historique" vers I'onglet "article". Selon l'arrêt de la cour d'appel, ce seul "déplacement" sans publication d'un contenu nouveau ne pouvait être considéré comme interruptif de prescription dès lors que des contenus maintenus sur le même support internet étaient identiques.

A tort, selon la Cour de cassation (2). Pour comprendre son raisonnement, un petit retour sur sa jurisprudence est nécessaire. La Cour avait déjà jugé dans un arrêt rendu en date du novembre 2016 (Cass. crim., 2 nov. 2016 n° 15-87.163), à propos d'un lien hypertexte renvoyant à un écrit incriminé, que:
"toute reproduction, dans un écrit rendu public, d’un texte déjà publié, est constitutive d’une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription".
Par suite,
" l’insertion, sur internet, par l’auteur d’un écrit, d’un lien hypertexte renvoyant directement audit écrit, précédemment publié, caractérise une telle reproduction".
La même chambre criminelle  a affirmé par ailleurs (Cass.crim., 7 février 2017, n° 15-83.439) que la réactivation d'un site ouvrait à nouveau le délai de prescription. L'arrêt énonçait en effet que :
" une nouvelle mise à disposition du public, d'un contenu précédemment mis en ligne sur un site internet dont le titulaire a volontairement réactivé ledit site sur le réseau internet, après l'avoir désactivé, constitue une telle reproduction" au sens de l'article 65 de la loi du 29 juillet 1881. (3)

Avec ce nouvel arrêt en date du 10 avril 2018,
"une nouvelle mise à disposition du public d'un contenu précédemment mis en ligne sur un site internet dont une personne a volontairement réactivé le contenu initial sur le réseau internet, après qu'il eut été retiré, constitue une telle reproduction".

Bien que la Cour de cassation ne fasse pas une application extensive systématique de la notion de nouvelle publication (4), le seul déplacement du texte dans un nouvel onglet est donc considéré comme une réactivation du contenu et donc constitutif d'une publication nouvelle du texte, faisant courir le délai de prescription trimestrielle édicté par l'article 65 de la loi du 29 juillet 1881.

 
____________________
(1) Mais aussi Cass.crim. 16 octobre 2001, n° 00-85.728 ; Cass. crim. 27 novembre 2001, n° 01-80.134. Pour mémoire, l'amendement de la LCEN fixant le point de départ du délai de prescription des infractions de presse commises sur Internet à compter de la date de cessation de la communication en ligne a été censuré par le Conseil constitutionnel.

(2) "En statuant ainsi, la chambre de I'instruction a méconnu [l'article 65 de ladite loi] susvisé et le principe [...] énoncé" sous le visa dudit article, à savoir :
" il résulte de ce texte que toute reproduction, dans un écrit rendu public, d'un texte déjà publié, est constitutive d'une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription ; qu'une nouvelle mise à disposition du public d'un contenu précédemment mis en ligne sur un site internet dont une personne a volontairement réactivé le contenu initial sur le réseau internet, après qu'il eut été retiré, constitue une telle reproduction de la part de cette personne."
(3) Principe tiré le l'article 65 de la loi du 29 juillet 1881 selon la chambre criminelle de la Cour de cassation :


Cass. crim., 2 nov. 2016
Lien hypertexte

Cass.crim., 7 févr. 2017
Réactivation d'un site desactivé


Cass. crim., 10 avr. 2018
Déplacement d'un texte


"en matière d’infractions à la loi sur la liberté de la presse, le point de départ de la prescription est le jour de la publication de l’écrit incriminé, par laquelle se consomment les délits que celui-ci peut contenir ;
qu’il suit de là que

toute reproduction, dans un écrit rendu public, d’un texte déjà publié, est constitutive d’une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription

que l’insertion, sur internet, par l’auteur d’un écrit, d’un lien hypertexte renvoyant directement audit écrit, précédemment publié, caractérise une telle reproduction."












"toute reproduction, dans un écrit rendu public, d'un texte déjà publié, est constitutive d'une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription

qu'une nouvelle mise à disposition du public, d'un contenu précédemment mis en ligne sur un site internet dont le titulaire a volontairement réactivé ledit site sur le réseau internet, après l'avoir désactivé, constitue une telle reproduction. 
"











"toute reproduction, dans un écrit rendu public, d'un texte déjà publié, est constitutive d'une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription

qu'une nouvelle mise à disposition du public d'un contenu précédemment mis en ligne sur un site internet dont une personne a volontairement réactivé le contenu initial sur le réseau internet, après qu'il eut été retiré, constitue une telle reproduction de la part de cette personne."


(4) La Haute juridiction a pu juger par exemple que les mises à jour successives du site sur lequel est publié un message litigieux ne caractérisent pas un nouvel acte de publication (Cass. crim., 19 septembre 2006, pourvoi n° 05-87.230 ; V. Rapport annuel 2014, Courdecassation.fr).

19 avril 2018

RGPD: le point actualité des trois derniers jours

Le règlement europeen entre en application le 25 mai 2018...

Le 17 avril, la cnil a publié un Guide pratique d'accompagnement des TPE et PME dans la mise en oeuvre du Règlement européen sur la protection des données (RGPD) (V. La CNIL et Bpifrance s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données).

Pour rappel, hier, le 18 avril, la commission des lois du Sénat a examiné en nouvelle lecture le texte de sa rapporteuse sur le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec le règlement et la directive de l’Union européenne. Ce faisant, le texte rétablit les principales dispositions adoptées auparavant par le Sénat et notamment sa volonté de :
rétablir l’autorisation préalable des traitements de données pénales sans trop étendre leur usage, encourager le recours au chiffrement des données personnelles, maintenir le droit à la portabilité des données non personnelles, s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et encadrer plus strictement l’usage des algorithmes par l’administration.
(V. le comm. Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institutions, Senat.fr, 18 avr. 2018)
Le 19 avril 2018 et éventuellement le 20 avril, le Sénat examine en séance publique le projet de loi adopté par l'Assemblée nationale en nouvelle lecture après l'échec de la CMP.


_____________________

      Voir le dossier sur le site du Sénat :

      Voir le dossier sur le site de la Cnil :
_____________________

17 avril 2018

Un point veille Actualité legislative à la mi-avril 2018

En complément de l'onglet Où en est-on (veille législative) qui pointe du doigt certains projets ou propositions de loi phares, voici un petit point photographique des sujets qui alimentent l'actualité législative immédiate.



Projets de loi adoptés                                                                        


Contrats
  • Projet de loi ratifiant l'ordonnance du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.
Le Sénat a adopté le 11 avril 2018 la version définitive de la loi de ratification de l'ordonnance.
La loi de ratification de l'ordonnance sera applicable à tous les actes conclus à compter du 1ᵉʳ octobre 2018. « Les praticiens devront appliquer trois droits des contrats », prévient M. Mekki, 4 avr. 2018, Actuel-direction-juridique.fr.

L'on notera notamment le maintien (mouvementé) de la révision pour imprévision ou au contraire, en plus de l'élargissement de la définition du contrat d'adhésion [aux contrats comprenant « un ensemble de clauses non négociables, déterminées à l’avance par l’une des parties »], la modification du dispositif de sanction des clauses qui créent un déséquilibre significatif dans de tels contrats (V.  Réforme du droit des contrats : adoption définitive du projet de loi ratifiant l’ordonnance n° 2016-131 du 10 février 2016, Fidal-avocats-leblog.com, 17 avr. 2018).
V. aussi La loi portant ratification de l’ordonnance du 10 février 2016, Dalloz Etudiant, 16 avr. 2018.



Renforcement du dialogue social
  • Projet de loi ratifiant cinq ordonnances prises sur le fondement de la loi n° 2017-1340 du 15 septembre 2017 d'habilitation à prendre par ordonnances les mesures pour le renforcement du dialogue social.
Le projet de loi a été adopté avec la loi n° 2018-217 du 29 mars 2018.



En cours                                                                                             


RGPD 
Règlement européen sur la protection des Données Personnelles
  • Projet de loi relatif à la protection des données personnelles.
Le projet de loi relatif à la protection des données personnelles adapte le cadre juridique européen qui entrera en vigueur le 25 mai 2018, c'est-à-dire le mois prochain ...
Après désaccord en commission mixte paritaire, le projet de loi a été adopté en nouvelle lecture, avec modifications, par l’Assemblée nationale le 12 avril 2018.

La nouvelle lecture du projet de loi et discussion en séance publique est prévue le 19 avril 2018 au Sénat (V. RGPD : quel rôle pour les directeurs juridiques ? Actuel-direction-juridique.fr, 17 avr. 2018). Les premiers amendements sont déposés au Sénat (@xberne).



Protection des savoir-faire et des informations commerciales non divulgués
  • Proposition de loi portant transposition de la directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués contre l'obtention, l'utilisation et la divulgation illicites.
Il est à noter qu'il s'agit donc une proposition de loi portée par les députés de la majorité et non un projet de loi présenté par le gouvernement qui a été adoptée par l'Assemblée nationale après engagement de la procédure accélérée. Le dépôt des amendements en séance publique était prévu le 16 avril 2018 pour une séance publique au Sénat le mercredi 18 avril 2018.

Le rapport fait au nom de la commission des lois du sénat vient d'être publié sur le site internet du Sénat le lundi 16 avril 2018, à côté du Rapport d'information fait au nom de la commission des affaires européennes.

(V. Secret des affaires : quels sont les premiers apports de l'Assemblée nationale ?, Actuel-direction-juridique.fr, 17 avr. 2018).



Eau/assainissement et transfert des compétences aux communautés de communes
  • Proposition de loi sur la mise en oeuvre du transfert de compétences Eau et assainissement aux communautés de communes en la matière (fait l'objet d'une procédure accélérée).
Discussion en séance publique le 17 avril 2018 après la première lecture au Sénat.



Proposition de loi relative à l’ouverture à la concurrence du transport ferroviaire
La proposition de loi a été adoptée en première lecture, avec modifications, par le Sénat le 29 mars 2018.



Régulation des objets connectés et le développement de l'internet des objets en Europe
  • Rapport au nom de la commission des affaires européennes, sur la proposition de résolution européenne de Mme Catherine MORIN-DESAILLY, sur la régulation des objets connectés et le développement de l'internet des objets en Europe et texte de la commission.
Dépôt d'un rapport et d'un texte de commission au Sénat. Voir Senat.fr/compte-rendu-commissions/20180409/europ.html.



Lutte contre la fraude
Le projet de loi a été présenté au Conseil des ministres du 28 mars 2018.


Etudes d’impact des projets de loi
La proposition de loi organique a été adoptée en première lecture par le Sénat le 7 mars 2018.



Logement, de l’aménagement et du numérique
  • Projet de loi portant évolution du logement, de l’aménagement et du numérique.
Présenté au Conseil des ministres du 4 avril 2018 (procédure accélérée).




A venir                                                                                              


Réforme constitutionnelle
  • Avant-projet de loi constitutionnelle.
On en parle de plus en plus après que l’Opinion et Contexte ont dévoilé l’avant-projet de loi constitutionnelle. Le texte, "centré [clairement] sur le renforcement des pouvoirs du gouvernement dans la procédure parlementaire", vient d'être transmis au Conseil d’État (V. Réforme constitutionnelle : présentation d’un texte au devenir déjà incertain Dalloz-actualite.fr.).
L'on évoque un dépôt du projet de loi le 9 mai en Conseil des ministres pour un premier examen à l'Assemblée nationale avant la rentrée.



Programmation sur la justice
  • Pré-projet de loi de programmation sur la justice.
Présenté en conseil des ministres, le pré-projet a été rendu public notamment par la presse et le Conseil national des barreaux. (V. Amende forfaitaire délictuelle : l’inégalité devant la loi, 17 avr. 2018,  Dalloz-actualite.fr).



Pour aller plus loin   

Consulter l'activité parlementaire (panorama des Lois, viepublique.fr) : Panorama des Lois


25 janvier 2018

Un guide de la sécurité des données personnelles en 17 fiches (CNIL)

Dans ses efforts pour accompagner les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données (RGPD), la CNIL vient de publier un tout nouveau Guide de la sécurité des données personnelles.

Ce guide rappelle en dix-sept fiches les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
1. Sensibiliser les utilisateurs
2. Authentifier les utilisateurs
3. Gérer les habilitations
4. Tracer les accès et gérer les incidents
5. Sécuriser les postes de travail
6. Sécuriser l'informatique mobile
7. Protéger le réseau informatique interne
8. Sécuriser les serveurs
9. Sécuriser les sites web
10. Sauvegarder et prévoir la continuité d'activité
11. Archiver de manière sécurisée
12. Encadrer la maintenance et la destruction des données
13. Gérer la sous-traitance
14. Sécuriser les echanges avec d'autres organismes
15. Protéger les locaux
16. Chiffrer, garantir l’intégrité ou signer
17. Evaluer le niveau de sécurité des données personnelles de votre organisme.


Check List sur le site de la Cnil.fr

24 novembre 2017

Les projets de loi de la XVe législature ? Pour l'heure, de simples projets de loi ratifiant des ordonnances du gouvernement

Actualité légistique, cinq mois après le coup d'envoi de XVe législature

(Mise à jour 28/11/2017).

La XVe legislature parlementaire commencée le 21 juin 2017 va entrer dans son sixième mois de fonctionnement et l'on peut d'ores et déjà remarquer, en parcourant les projets de loi déposés depuis lors, que ces derniers ont presque unaniment trait aux projets de lois ratifiant des ordonnances prises par le Gouvernement, et, donc, ne donnant pas lieu, sauf exception, à publication de l'avis du Conseil d'Etat ou de l'échéancier des décrets d'application*, et prises sans le filtre des amendements** ou la navette parlementaire.

Le compte est rapidement fait en ce début de législature, au 22 novembre :

21 ordonnances
 pour 8 lois promulguées
 (dont 2 lois de ratification d'ordonnance  et 1 loi d'habilitation à prendre des ordonnances, plus la loi prorogeant l'état d'urgence)


et 17 projets de loi de ratification (ci-après) 





Voilà de quoi illustrer le qualificatif de "régime semi-présidentiel" ou encore celui de "régime parlementaire à tendance présidentialiste" de notre Vème République, dans la mesure où l'ordonnance est un acte pris par le gouvernement dans des matières relevant du domaine de la loi. Ce qui laisse pour l'instant peu de marge à nos députés fraîchement élus.

La constitution n'exige pas que le projet de loi de ratification soit adopté, il n'y a "urgence" que pour le dépôt de ce dernier (Pour l'application dans le temps d'une ordonnance selon qu'elle est ratifiée ou pas, V. Clément François à propos de la réforme du droit des contrats, 26 juin 2016, iej.univ-paris1.fr).

L’article 38, alinéa 2, de la Constitution prévoit que les ordonnances « entrent en vigueur dès leur publication mais deviennent caduques si le projet de loi de ratification n’est pas déposé devant le Parlement avant la date fixée par la loi d’habilitation ».




 En substance, une ordonnance non ratifiée est de nature règlementaire et, de ce fait, seul le juge administratif peut en contrôler la conventionalité ou la constitutionalité. 
La ratification donnant à l'ordonnance valeur légale, elle pourra faire l'objet d'une question prioritaire de constitutionnalité.



* V. le très explicite article d'Emmanuel Barthe, Les ordonnances, des lois mal documentées. Plus de transparence sur les ordonnances ne ferait pas de mal, 28 nov. 2017, Precisement.org.

** hormis les amendements visant un projet de la loi de ratification, lesquels sont, somme toute, limités. En effet, l'on conçoit peu qu'une loi de ratification, aménageable par le Parlement, réforme le fond alors que l'ordonnance est déjà entrée en vigueur. C'est bien le débat actuel s'agissant de la réforme du contrat. Le Parlement réformera-t-il, ne réformera-t-il pas ? (V. Bruno Dondero, la réforme de la réforme du droit des contrats, 12 oct. 2017, Brunodondero.com).




Suivre les Dossiers  législatifs : 

Legifrance.gouv.fr - PJL ratification Contrats / - Assemblee-nationale.fr - ratification ordonnance

Legifrance.gouv.fr- PJL ratification Dialogue social


Contrats : après une première lecture au Sénat, le projet de loi ratification de l'ordonnance du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est programmé le 29 novembre en commission à l'Assemblée. Puis discussion en séance publique le 11 décembre 2017.

Travail : la loi de ratification des cinq ordonnances doit être votée solennellement en première lecture à l’Assemblée nationale, le 28 novembre 2017, avant d'être transmise au Sénat (début de l’année prochaine).


11 juillet 2017

Accèder sans mot de passe à des informations personnelles sur un réseau informatique professionnel n'exclut pas leur appropriation frauduleuse

"Le libre accès à des informations personnelles sur un réseau informatique d'une entreprise n'est pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction" (Cass. crim., 28 juin 2017, n° 16-81.113, FS-P+B).

La chambre criminelle de la Cour de cassation valide ainsi l'arrêt de la cour d'appel de Rennes, lequel avait déclaré le prévenu coupable de vol et condamné au paiement d'une amende de 1 500 euros avec sursis, pour avoir reproduit des courriers professionnels, alors même qu'ils ne lui étaient pas destinés et qu'il avait le droit de les ouvrir et d'en prendre connaissance.

Pour sa défense, le prévenu avançait qu'il avait accès aux fichiers collectifs à partir du serveur par le biais du système informatique du cabinet d'avocats dans lequel il officiait et qu'il pouvait librement télécharger des documents sans avoir à entrer un quelconque code personnel à son associée. Il avait d'ailleurs pris soin de faire établir a posteriori un constat d'huissier pour donner une apparence de régularité à ses agissements, ce qui ne pouvait faire disparaître l'infraction.

En l'espèce, après avoir remis les courriers en cause au bâtonnier de l'ordre à l'appui d'une dénonciation de sa consoeur, le demandeur n'a pu s'exonérer en arguant que sa conduite était dictée par l'exercice des droits de sa défense devant une instance disciplinaire ou une juridiction (V. Lamy social, Administration de la preuve ; V. également La soustraction par le salarié de documents appartenant à l’employeur : exception des droits de la défense et fait justificatif, Village-justice, 3 nov. 2015).

L'on connaissait le vol de fichiers informatiques via le maintien frauduleux dans un système de traitement automatisé de données (Affaire Bluetouff : la Cour de cassation consacre le vol de fichiers informatiques, Nextinpact.com, 22 mai 2015), la chambre criminelle entérine ici le vol de fichiers par reproduction en dépit d'un libre accès aux données.


CC0 Public Domain ---


Extrait