La loi française en plus du règlement européen

Le RGPD (Règlement général sur la protection des données) est d’application directe dans les États membres de l’Union européenne depuis le 25 mai 2018. Les législateurs de chaque État membre ont toutefois un peu de latitude pour compléter ou moduler un certain nombre de ses dispositions. La France ne s’en est pas privée. Le droit français sur les données personnelles comporte ainsi à la fois des stipulations de droit européen et d’autres de droit national. 

La France s’appuie aujourd’hui sur :

• la loi du 20 juin 2018 relative à la protection des données personnelles. Ce texte vient modifier la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL).
• l’ordonnance du 12 décembre 2018 afin de compléter la mise en conformité de la LIL avec le RGPD.
• le décret du 1er août 2018 pris en application de la LIL du 20 juin 2018… 

Sans revenir sur l’ensemble du dispositif à mettre en place pour respecter le RGPD (lire l'article de Biologie médicale 118 sur le RGPD), voici quelques points à rappeler. 

Des interdictions… et des exceptions

La loi du 20 juin 2018 relative à la protection des données personnelles énonce le principe d’une interdiction sui generis de « traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».

Néanmoins, dans la mesure où la finalité du traitement de ces données l’exige, certains cas, susceptibles de concerner les LBM, ne sont pas soumis à cette interdiction. En particulier :

• les traitements pour lesquels la personne concernée a donné son consentement exprès (sauf dans les cas où la loi prévoit que ladite interdiction ne peut être levée par le consentement de la personne concernée) ;
• les traitements nécessaires à la sauvegarde de la vie humaine mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
• les traitements nécessaires à des fins de médecine préventive, de diagnostic médical, d’administration de soins ou de traitements ou de gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel ;
• les traitements nécessaires à la recherche publique (biomédicale ou autre) et justifiés par l’intérêt public ;
• les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par l’Assurance maladie ainsi que la prise en charge des prestations par les complémentaires.

Consentement, action de groupe indemnitaire et territorialité

• En France, l’âge de la majorité pour accepter un traitement informatisé de ses données de santé est de 15 ans, et non 16 ans comme mentionné du RGPD.
• La législation française instaure la possibilité, pour une association de consommateurs, un syndicat représentatif, ou encore une association vieille de plus de cinq ans dont l’objet statuaire est la protection des données personnelles, d’initier une action dite de groupe indemnitaire. Et ce, sans qu’elle n’ait reçu de mandat pour faire cela, ni qu’elle ne soit forcément partie liée à l’affaire. 

À noter que l’ensemble de ces règles s’appliquent dès lors que la personne impactée réside en France quand bien même le responsable de traitement, lui, n’est pas établi en France.
 
ATTENTION. La période de tolérance de la CNIL semble terminée et le contrôle du respect du RGPD et des règles françaises a commencé, en particulier auprès de ceux qui manipulent des données sensibles. Et les sanctions vont commencer à tomber.