Que va changer l’ordonnance pour la loi « Informatique et Libertés » ?

Écrit par le , Modifié le

Modification de la loi « Informatique et Libertés »

Logo Legifrance

A la suite de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), la loi « Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) a été modifiée par la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018.

Néanmoins, la loi « Informatique et Libertés » ainsi consolidée pose des difficultés de lecture.

En effet, certaines de ses dispositions ne sont en réalité plus applicables et sont remplacées par les dispositions du RGPD (par exemple : conditions de licéité des traitements, droit à l’information, etc.). Sur certains points, la loi n’est pas complète car elle ne mentionne pas les nouveaux droits et obligations prévues par le règlement et par ailleurs, son application dans les territoires d’outre-mer n’est pas systématique ou uniforme.

Pour toutes ces raisons, un travail de réécriture de la loi « Informatique et Libertés » par voie d’ordonnance a été prévu et mené à son terme.

Une lecture simplifiée grâce à l’ordonnance

L’ordonnance de réécriture (ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel) est parue au Journal Officiel n°0288 du 13 décembre 2018 !

Ce texte propose un plan clarifié :

  • Chapitre 1 :  dispositions portant modification de la loi « Informatique et Libertés »
    • Titre Ier « Dispositions communes » portant sur
      • Les principes et définitions
      • La Cnil
      • Les dispositions particulières relatives au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (notre célèbre numéro de sécurité sociale)
      • Les formalités préalables à la mise en œuvre des traitements (oui, il en reste quelques-unes)
      • Les voies de recours spécifiques aux traitements de données à caractère personnel
      • Les dispositions pénales
    • Titre II « Traitements relevant du régime de protection des données à caractère personnel prévu par le règlement »
      • Les dispositions générales
      • Les droits de la personne concernée
      • Les obligations du responsable du traitement et du sous-traitant
      • Les droits et obligations propres aux traitements dans le secteur des communications électroniques
      • Les dispositions régissant les traitements de données à caractère personne relatives aux personnes décédées
    • Le Titre III est dédié aux traitements relevant de la directive « Police Justice »
    • Le titre IV s’intéresse aux dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense
    • Le titre V aux dispositions relatives à l’outre-mer
  • Chapitre 2 : Autres dispositions concernant la législation relative à la protection des données à caractère personnel (Code du commerce, code de la consommation, etc)

Un rappel des grands principes

L’ordonnance rappelle que l’informatique doit être au service de chaque citoyen et qu’elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle souligne la nécessité de la coopération internationale dans ce domaine.

Elle précise que les personnes disposent de droits pour décider et contrôler les usages qui sont faits des données à caractère personnel les concernant dans le cadre du RGPD.

Une extension des dispositions à l’outre-mer

Le titre V de l’ordonnance permet l’adaptation et l’extension des dispositions de la loi « Informatique et Libertés » à l’ensemble des territoires d’outre-mer.

Entrée en vigueur

Les dispositions de la présente ordonnance entrent en vigueur en même temps que le décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi « Informatique et Libertés », dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article