Panorama du droit sur les données personnelles

Le cadre légal

Le règlement général sur la protection des données

Le RGPD, ou Règlement UE 2016/679 est un dispositif européen qui a pour but d'unifier la protection des données pour les personnes physiques en responsabilisant les auteurs de ces traitements.
C'est depuis son entrée en vigueur (et après moult rappels, négociations et tapes sur les doigts effectués par la CNIL) que fleurissent les popups qui essaient de vous convaincre d'accepter les cookies, les newsletters et démarchages en tous genres, qui jusque là vous étaient imposés sans que vous ayez votre mot à dire.
S'il fallait résumer en une phrase le principal changement résultant de ce règlement, c'est qu'il n'est plus possible de considérer que le simple fait de poursuivre la navigation sur un site vaut consentement à un traitement de vos données. Le consentement doit désormais être libre, éclairé, et explicite, et c'est là tout le nœud du problème.

La directive "Police-Justice"

La directive "Police-Justice", ou directive 2016/680 du 27 avril 2016 compose, avec le RGPD, le paquet européen de protection des données à caractère personnel. Si le premier a un champ d'application très large qui va concerner aussi bien les organismes privés que publics, cette directive, quant à elle, ne concerne que les traitements de données effectués en matière pénale (prévention, détection, enquête, poursuite et exécution des sanctions). Allez dire à un tribunal "j'exerce mon droit d'opposition et vous demande de supprimer les données que vous avez sur moi" et vous verrez qu'il va bien se marrer (les tribunaux sont des bâtiments dotés d'un grand sens de l'humour).

La loi Informatique et Libertés

La LIL, ou Loi n° 78-17 du 6 janvier 1978 est le cadre national français. Ne vous fiez pas à cette date car, si en 1978 elle a institué la création de la commission nationale informatique et libertés (CNIL), elle a depuis été remaniée de très nombreuses fois pour intégrer les nouveaux dispositifs votés par le Parlement, transposer les directives européennes comme la directive Police-Justice, ainsi que pour déterminer quelles marges de manœuvre nationales autorisées par le RGPD seraient mises en œuvre en France. En ce qui concerne les traitements relatifs à "la sûreté de l’État" ou à "la défense nationale", l'Union Européenne ne pouvant intervenir sur le domaine réservé des États qui la composent, il s'agit de la seule norme de ce cadre légal qui peut les définir.

Informatiques ou juridiques, pas les mêmes codes !

Les autres dispositions

Elles comprennent les décisions, avis et lignes directrices du Comité européen pour la protection des données (le "CEPD" qui est grossièrement la CNIL Européenne qui chapeaute les différents organismes nationaux), les décrets d'application (les précisions techniques sur comment c'est qu'on fait concrètement pour être en conformité) et, essentiellement, de la jurisprudence (c'est-à-dire les décisions de justice venant éclairer l'interprétation du droit par les juges). Et là... ça devient pointu, précis, technique et, pour l'instant, mieux vaut en rester là. En droit, c'est généralement la jurisprudence qui déchaîne les passions (oui, les juristes sont des gens étranges et passionnés), et il en sera certainement question dans de futurs sujets d'actualité.