Guides & Ressources pratiques
Contrôle URSSAF et erreur du comptable : recours et démarches pour l'entreprise
Loi Informatique et Libertés : résumé pratique et articulation RGPD
Points clés de l'article
- La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978) reste le socle national de la protection des données en France, même après l'entrée en application du RGPD.
- Elle a créé la CNIL, autorité de contrôle dotée de pouvoirs de sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
- Le RGPD fixe le cadre européen ; la loi du 6 janvier 1978 exerce les marges de manœuvre laissées aux États membres (données de santé, NIR, mineurs, recherche).
- L'entreprise doit combiner les exigences du RGPD et les dispositions nationales spécifiques pour sécuriser ses traitements de données personnelles.
- Plusieurs ajustements législatifs sont attendus d'ici 2026, notamment sur les transferts internationaux et l'intelligence artificielle.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Définition de la loi Informatique et Libertés du 6 janvier 1978
Histoire et création de la CNIL en 1978
Articulation avec le RGPD : ce qui reste, ce qui change
Obligations pour l'entreprise : registre, base légale, sécurité
Droits des personnes et procédures CNIL : sanctions et recours
Marges de manœuvre nationales et points d'attention 2026
Définition de la loi Informatique et Libertés du 6 janvier 1978
La loi Informatique et Libertés, officiellement loi n° 78-17 du 6 janvier 1978, constitue le premier texte législatif français encadrant le traitement automatisé de données à caractère personnel. Adoptée en réaction au projet gouvernemental SAFARI, qui visait à interconnecter les fichiers administratifs via le numéro de sécurité sociale, elle pose 3 principes fondateurs : finalité déterminée du traitement, proportionnalité de la collecte et respect des droits informatique des personnes concernées.
Concrètement, cette loi informatique et libertés impose à tout organisme, public ou privé, de déclarer ses traitements, de garantir la sécurité des données et de permettre aux individus d'accéder, de rectifier ou de supprimer les informations les concernant. Après plusieurs refontes (2004, 2018, 2019), le texte en vigueur comporte 130 articles répartis en 4 titres. Il s'applique dès lors qu'un traitement est mis en œuvre sur le territoire français ou concerne des résidents français.
Histoire et création de la CNIL en 1978
La CNIL (Commission nationale de l'informatique et des libertés) a été instituée par la loi 6 janvier 1978 comme autorité administrative indépendante. En 1978, la France devenait le 2e pays européen, après la Suède (1973), à se doter d'un régulateur dédié à la protection des données.
À l'origine, la CNIL loi disposait d'un pouvoir essentiellement consultatif et de contrôle a priori : les traitements devaient être déclarés ou autorisés avant leur mise en œuvre. La loi du 6 août 2004, transposant la directive européenne 95/46/CE, a allégé ce régime déclaratif. Puis l'ordonnance du 12 décembre 2018, prise en application du RGPD, a transformé le modèle : la CNIL est passée d'un contrôle préalable à un contrôle a posteriori, fondé sur la responsabilisation (accountability) des organismes.
En 2024, la CNIL a prononcé 331 mises en demeure et 87 sanctions, pour un montant cumulé de plus de 55 millions d'euros d'amendes. Elle emploie environ 280 agents et traite chaque année plus de 16 000 plaintes.
| Période | Modèle de régulation | Rôle principal de la CNIL |
|---|---|---|
| 1978-2004 | Déclaration / autorisation préalable | Contrôle a priori des fichiers |
| 2004-2018 | Régime déclaratif allégé | Contrôle mixte, avis et sanctions |
| Depuis 2018 | Accountability (RGPD) | Contrôle a posteriori, sanctions renforcées |
Articulation avec le RGPD : ce qui reste, ce qui change
Le RGPD, applicable depuis le 25 mai 2018, est un règlement européen d'application directe. Il prime sur la loi informatique et libertés pour toute disposition qu'il harmonise. Toutefois, le RGPD prévoit plus de 50 clauses d'ouverture autorisant les États membres à préciser ou compléter ses règles. La France a exercé ces marges via la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018, qui ont refondu la loi n 78 17 du 6 janvier 1978.
Ce qui relève désormais du seul RGPD :
- Les principes généraux (licéité, minimisation, exactitude)
- Le régime du consentement
- Les obligations du responsable de traitement et du sous-traitant
- Le cadre des transferts hors UE
Ce que la loi informatique et libertés conserve en propre :
- Le traitement du NIR (numéro de sécurité sociale) : encadré par décret en Conseil d'État
- Les données de santé : hébergement certifié HDS obligatoire
- L'âge du consentement numérique des mineurs : fixé à 15 ans en France (contre 16 ans par défaut dans le RGPD)
- Les traitements de données pénales par des personnes privées
- Les traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé (chapitres IX et XII)
Un cadre juridique hybride impose de vérifier, pour chaque traitement, les exigences du RGPD et les dispositions nationales complémentaires.
Identifier un avocat spécialisé en protection des données
Obligations pour l'entreprise : registre, base légale, sécurité
Toute entreprise traitant des données personnelles en France doit respecter un socle d'obligations issu du RGPD, complété par les lois informatique nationales.
Registre des traitements
L'article 30 du RGPD impose la tenue d'un registre des activités de traitement. La CNIL recommande d'y intégrer les spécificités françaises : mention de la base légale nationale lorsqu'un traitement repose sur une disposition de la loi du 6 janvier 1978, identification des traitements soumis à analyse d'impact (AIPD).
Base légale
Le RGPD prévoit 6 bases légales (consentement, contrat, obligation légale, intérêt vital, mission de service public, intérêt légitime). En droit français, certaines bases légales sont précisées par décret. Par exemple, le traitement du NIR ne peut reposer que sur un décret en Conseil d'État pris après avis de la CNIL.
Sécurité et notification
L'entreprise doit mettre en œuvre des mesures techniques et organisationnelles adaptées au risque. En cas de violation de données, la notification à la CNIL doit intervenir dans un délai de 72 heures. En 2024, la CNIL a reçu 5 629 notifications de violations.
| Obligation | Source | Spécificité française |
|---|---|---|
| Registre des traitements | RGPD art. 30 | Intégration des bases légales nationales |
| Analyse d'impact (AIPD) | RGPD art. 35 | Liste CNIL des traitements soumis à AIPD |
| Notification de violation | RGPD art. 33 | Délai 72h, formulaire CNIL en ligne |
| Hébergement données de santé | Loi IL, art. 66 | Certification HDS obligatoire |
| Traitement du NIR | Loi IL, art. 30 | Décret en Conseil d'État requis |
Droits des personnes et procédures CNIL : sanctions et recours
Les droits informatique des personnes (accès, rectification, effacement, portabilité, opposition, limitation) sont définis par le RGPD. La loi informatique et libertés y ajoute des modalités procédurales propres au droit français.
Procédure de plainte
Toute personne peut saisir la CNIL par voie électronique. La CNIL instruit la plainte, peut procéder à des contrôles sur place ou en ligne, puis transmet le dossier à sa formation restreinte si une sanction est envisagée. Le délai moyen de traitement d'une plainte était de 6 mois en 2024.
Sanctions
La formation restreinte de la CNIL peut prononcer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Elle peut aussi ordonner la limitation ou l'interdiction d'un traitement. Les décisions sont publiées et susceptibles de recours devant le Conseil d'État.
Recours juridictionnels
Indépendamment de la CNIL, les personnes concernées peuvent agir devant le tribunal judiciaire pour obtenir réparation d'un préjudice. Les actions de groupe en matière de données personnelles sont ouvertes depuis la loi du 18 novembre 2016.
La gestion des demandes d'exercice de droits et des contrôles CNIL nécessite une organisation juridique structurée.
Consulter un avocat en protection des données
Marges de manœuvre nationales et points d'attention 2026
Le législateur français conserve une latitude sur plusieurs sujets que le RGPD laisse ouverts. Pour un directeur juridique, ces spécificités conditionnent directement la conformité des traitements opérés en France.
Marges nationales actives
- Données de santé : obligation d'hébergement certifié HDS, procédures spécifiques pour la recherche médicale (autorisation CNIL ou méthodologies de référence).
- Mineurs : seuil de consentement numérique fixé à 15 ans (art. 45 de la loi IL), contre 13 à 16 ans selon les pays de l'UE.
- Données pénales : seules les personnes morales de droit privé justifiant d'un intérêt légitime peuvent traiter ces données, sous conditions strictes.
- Secteur public : les traitements de souveraineté (défense, sécurité) restent régis par des dispositions nationales dérogatoires.
Points d'attention pour 2026
Le projet de règlement européen sur l'intelligence artificielle (AI Act), entré en vigueur le 1er août 2024, imposera dès août 2026 des obligations de conformité croisées avec le RGPD pour les systèmes d'IA traitant des données personnelles. La CNIL a publié en 2024 des recommandations sur l'application du RGPD aux modèles d'IA générative. Par ailleurs, la révision en cours du cadre d'adéquation UE-États-Unis (Data Privacy Framework) pourrait modifier les conditions de transfert transatlantique de données.
La superposition des réglementations européennes et nationales rend indispensable un suivi juridique continu.
Trouver un avocat spécialisé en protection des données
FAQ
La loi Informatique et Libertés est-elle toujours en vigueur après le RGPD ?
Oui. La loi n° 78-17 du 6 janvier 1978 a été refondue en 2018 et 2019 pour s'articuler avec le RGPD. Elle reste le texte national de référence et exerce les marges de manœuvre laissées par le règlement européen aux États membres.
Quelle est la différence entre la CNIL et le CEPD ?
La CNIL est l'autorité française de protection des données. Le CEPD (Comité européen de la protection des données) coordonne les autorités nationales au niveau européen et adopte des lignes directrices. La CNIL applique le RGPD et la loi française ; le CEPD harmonise l'interprétation du RGPD entre les 27 États membres.
Quelles sanctions la CNIL peut-elle prononcer ?
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Elle peut aussi ordonner la limitation ou l'interdiction d'un traitement, et publier ses décisions. Un recours est possible devant le Conseil d'État.
L'âge du consentement numérique est-il le même dans toute l'Europe ?
Non. Le RGPD fixe un seuil par défaut à 16 ans, mais autorise chaque État à l'abaisser jusqu'à 13 ans. La France a retenu 15 ans (article 45 de la loi Informatique et Libertés). L'Espagne a choisi 14 ans, l'Irlande 16 ans.
Comment la loi Informatique et Libertés s'applique-t-elle à l'intelligence artificielle ?
La loi IL s'applique dès qu'un système d'IA traite des données personnelles. La CNIL a publié en 2024 des recommandations spécifiques sur les modèles d'IA générative. À partir d'août 2026, le règlement européen sur l'IA (AI Act) ajoutera des obligations complémentaires pour les systèmes à haut risque.
Pour aller plus loin
La loi Informatique et Libertés - CNIL
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Légifrance
RGPD : qu'est-ce que le règlement général de protection des données ? - Vie-publique.fr
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
