Contrôle de l'application de la loi relative à la protection des données personnelles

Ce contrôle consiste à recenser très régulièrement les lois votées mais qui ne peuvent être mises en application faute de textes d'application effectivement pris par le Gouvernement

Etat d'application de la loi

Les mesures réglementaires prévues par cette loi sont partiellement prises par le Gouvernement.

Dernière modification effectuée le 11 avril 2020.
Le contrôle de l'application des lois est effectué régulièrement mais selon des périodicités variables.
La publication de chaque mesure réglementaire d'application relève de la compétence du Gouvernement, pour plus d'information : www.legifrance.gouv.fr

Remarques : rapport au parlement n° 66 (2019-2020)- Art. 67 – Rapport relatif à la mise en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Mesures réglementaires prises par le Gouvernement

  • Article 1 Division 4°, e) - (Article 11, 2°, f bis) de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions d'agrément d'organismes certificateurs par l'organisme national d'accréditation
    Après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
  • Article 1 Division 5° - (article 11 4° a) de la loi n° 78-17 du 6/01/1978)
    Objet : Modalités de consultation et de publication des avis donnés sur des projets de lois, de décrets, ou - à l’initiative des assemblées parlementaires - sur des propositions de lois
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      Art. 6 (art. 6-1 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

      Ce décret en Conseil d'Etat n'est pas prévu par la loi.
  • Article 3 Division 2° - (Article 15 de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions et limites dans lesquelles le président de la commission et le vice président délégué peuvent déléguer leur signature
    Après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      Art. 4 (article 4-1 du décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

  • Article 5 Division 4° - (Article 44, III de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions dans lesquelles les membres et agents amenés à réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt procèdent à leurs constations
    Après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      Art. 20 (article 65-1 du décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 6 Division 3° - (Article 49-3 de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions d'application de l'article 49-3 (CNIL agissant comme autorité de contrôle chef de file s'agissant d'un traitement transfrontalier au sein de l'UE)
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art. 21 (art. 81-1 à 81-9 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 7 Division I, 2° - (I de l'article 46 de la loi n°78-17 du 6/01/1978)
    Objet : Procédure d'urgence contradictoire appliquée par la formation restreinte saisie par le président de la CNIL
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art. 21 (art. 79 et 80 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 11 Division I - (Article 22 de la loi n° 78-17 du 6/01/1978)
    Objet : Catégories de responsables de traitement et finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques
    Après avis motivé et publié de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2019-341 du 19/04/2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire
  • Article 11 Division I - (Article 22 de la loi n° 78-17 du 6/01/1978)
    Objet : Fréquence de renouvellement de l'opération cryptographique substituant un code statistique non signifiant pour certains types de traitements collectant un numéro d’inscription au répertoire national d’identification
    pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2016-1930 du 28/12/2016 portant simplification des formalités préalables relatives à des traitements à finalité statistique ou de recherche
  • Article 13 Division 2° - (Article 9 de la loi n° 78-17 du 6/01/1978)
    Objet : Liste des catégories de personnes morales de droit privé collaborant au service public de la justice pouvant, dans la mesure strictement nécessaire à leur mission, contrôler le traitement de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes
    après avis motivé et publié de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art. 26 (art. 41 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 14 Division I Alinéa 3° - (Article 36 de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions et garanties selon lesquelles il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27/04/2016, hors les cas de traitements à des fins archivistiques dans l'intérêt public (traitements aux fins de recherche scientifique ou historique ou à des fins statistiques)
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art. 23 (Art. 100-1 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 16 Division I - (Article 61 de la loi n° 78-17 du 6/01/1978)
    Objet : Conditions de saisine de l'Institut national des données de santé par la CNIL ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art.17 (art. 24 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 16 Division I - (Article 64 de la loi n° 78-17 du 6/01/1978)
    Objet : Composition et fonctionnement du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé
    après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art.17, 1° à 14° (art. 25 à 32 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

  • Article 16 Division I - (Article 65 de la loi n° 78-17 du 6/01/1978)
    Objet : Composition et fonctionnement du comité d'audit du système national des données de santé
    pris après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art.17 (art. 32-1 à 32-6 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 16 Division II, 5° - (Article L. 6113-7 du code de la santé publique)
    Objet : Conditions de désignation du praticien responsable de l'information médicale, et en particulier conditions dans lesquelles des personnes placées sous l'autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l'article L. 6145-16 peuvent contribuer au traitement de données
    • décret en Conseil d'Etat n° 2018-1254 du 26/12/2018 relatif aux départements d'information médicale
  • Article 18 Division I - (Article L. 4123-9-1 du code de la défense)
    Objet : Conditions d'application de l'article L4123-9-1 du code de la défense relatif au traitement des données sur lesquelles figure la mention de la qualité de militaire des personnes concernées
    • décret en Conseil d'Etat n° 2018-932 du 29/10/2018 modifiant les dispositions du code de la défense relatives à la sécurité des traitements de données à caractère personnel comportant la mention de la qualité de militaire
      Entre en vigueur le 1er avril 2019
  • Article 24 - (Article 40 de la loi n° 78-17 du 6/01/1978)
    Objet : Liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27/04/2016
    pris après avis de la Commission nationale de l'informatique et des libertés
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      Art. 27 (art. 91-2-1 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 30 - (Article 70-10 de la loi n° 78-17 du 6/01/1978)
    Objet : Contenu du contrat ou de l'acte juridique entre le sous-traitant et le responsable du traitement dans le cadre d'une sous-traitance du traitement de données à caractère personnel
    • décret en Conseil d'Etat n° 2018-687 du 01/08/2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
      art. 25 (art. 110-2 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)
  • Article 32
    Objet : Dans les conditions prévues à l'article 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier à III de la présente loi et au présent titre, le Gouvernement est autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires :
    1° A la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
    2° Pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;
    3° A l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l’État.
    • décret en Conseil d'Etat n° 2019-536 du 29/05/2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
      Ce décret en Conseil d'Etat n'est pas prévu par la loi.

Mesures réglementaires prévues par la loi et non encore prises par le Gouvernement

  • Article 16 Division I - (Article 55 de la loi n° 78-17 du 6/01/1978)
    Objet : Liste des traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites et soumis aux seules dispositions de la section 3 du chapitre IV du RGPD
    arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés
    • arrêté en attente de publication
  • Article 37 - (Article 70-15 de la loi n° 78-17 du 6/01/1978)
    Objet : Date d'entrée en vigueur de l'obligation de journalisation - traitements relevant de la directive "police/justice" (article 70-15 de la loi n° 78-17 du 6/01/1978)
    • décret en attente de publication
  • Article 37 - (Article 70-15 de la loi n° 78-17 du 6/01/1978)
    Objet : Liste des traitements concernés par les reports de date d'entrée en vigueur de l'obligation de journalisation - traitements relevant de la directive "police/justice" (article 70-15 de la loi n° 78-17 du 6/01/1978)
    - soit parce qu'une telle obligation exigerait des efforts disproportionnés ;
    - soit parce qu'il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.
    • voie réglementaire en attente de publication

Mesures non réglementaires (rapports, ordonnances et lois)

  • Article 32
    Objet : Dans les conditions prévues à l'article 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier à III de la présente loi et au présent titre, le Gouvernement est autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires :
    1° A la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
    2° Pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;
    3° A l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l’État.
    • ordonnance n° 2018-1125 du 12/12/2018 publiée au JO du 13/12/2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel
      Entrée en vigueur de l'ordonnance concomitante à l'entrée en vigueur du décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.