Ce texte modifie en profondeur la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la «loi informatique et libertés») afin de l’adapter au règlement européen sur la protection des données personnelles (règlement (UE) n° 2016/679) dit «RGPD» qui entrera en vigueur le 25 mai 2018. Bien qu’il ait vocation à fournir un cadre unifié de la protection des données à caractère personnel sur l’ensemble du territoire de l’Union européenne, le RGPD a laissé une certaine marge de manœuvre aux Etats membres, en effectuant près d’une cinquantaine de renvois au droit national.

L’adoption définitive du projet de loi constitue donc une première étape majeure dans la refonte du cadre législatif et réglementaire applicable à la protection des données personnelles dont les principaux apports sont présentés dans cet article.

1. L’application de la loi nationale en cas de divergence entre le droit français et les droits des Etats membres

Le nouvel article 5‑1 de la loi informatique et libertés dispose qu’en cas de contrariété entre la loi d’adaptation du RGPD d’un Etat membre et la loi française, cette dernière s’appliquera si la personne concernée réside en France.

Cette disposition s’appliquera notamment aux responsables de traitement qui ne sont pas établis en France, lesquels devront respecter les spécificités de la loi française dès lors qu’ils traiteront les données d’une personne résidant en France. Dans son avis sur le projet de loi, la CNIL avait relevé, à juste titre, les difficultés opérationnelles qui pourraient naître avec les pays ayant retenu des critères différents.