Frankrijk implementeert GDPR-wetgeving

Ook in Frankrijk is nu sinds 1 augustus ll. alle nationale wetgeving aangepast om de nieuwe GDPR correct te kunnen implementeren en toepassen.

Beetje vertraging

Slechts twee weken voordat de Algemene Verordening Gegevensbescherming van de Europese Unie (GDPR) in werking zou treden, keurde het Franse parlement eindelijk zijn nieuwe wet inzake de bescherming van persoonsgegevens (wet nr. 2018-493) goed om de bestaande Franse wetgeving aan te passen aan de GDPR’s nieuwe regels en om de Gegevensbeschermingswet van 1978 te wijzigen (Wet nr. 78-17). De nieuwe wet werd echter onmiddellijk om constitutionele redenen aangevochten en het Constitutionele Hof heeft zijn beslissing pas op 12 juni 2018 genomen – nadat de AVG van kracht was geworden – met als gevolg dat de wet inzake de bescherming van persoonsgegevens niet was uitgevaardigd tot 20 Juni 2018.

De wet inzake de bescherming van persoonsgegevens was echter niet voldoende om de omzetting van de GDPR in Frankrijk af te ronden en vereiste een uitvoeringsbesluit dat Frankrijk nu heeft uitgevaardigd (decreet nr. 2018-687 van 1 augustus 2018). Het ging in op 4 augustus 2018.

Zoals inmiddels duidelijk is, is de AVG rechtstreeks van toepassing in de lidstaten en vervangt de nationale wet op veel punten, maar op andere punten, de zogenaamde “nationale manoeuvreerruimte”, biedt de AVG enige mate van flexibiliteit bij de lidstaten Staatsniveau. Vandaar dat wetgeving zoals de Franse wet op de gegevensbescherming van 1978 van kracht blijft, aangevuld met de AVG.

Nieuwe bevoegdheden voor de CNIL en aangepaste regels

Het decreet van 1 augustus 2018 wijzigt de bepalingen van decreet nr. 2005-1309 van 20 oktober 2005 om ze in overeenstemming te brengen met de AVG en om deze “nationale manoeuvreerruimte” aan te pakken.

Misschien nog belangrijker is dat het besluit van 1 augustus 2018 de Franse autoriteit voor gegevensbescherming, de Commission for Information and Liberties (CNIL), de bevoegdheden verleent die het nodig heeft om zijn uitgebreide missie uit te voeren.

Daarnaast herziet het decreet verschillende administratieve regels met betrekking tot de financiering van de CNIL, en beschrijft het de samenstelling van het auditcomité van het nationale gezondheidsgegevenssysteem (een belangrijk punt voor de bescherming van persoonsgegevens) en voert het verschillende andere maatregelen uit van de wet van 20 juni 2018. Het decreet legt bijvoorbeeld de lijst vast van behandelingen en categorieën van verwerkingen die gemachtigd zijn om af te wijken van het recht op kennisgeving van een datalek, wanneer de notificatie waarschijnlijk een risico vormt voor de nationale veiligheid, nationale defensie of openbare veiligheid. Het decreet 1 augustus 2018 voltooit ook de omzetting van Richtlijn (EU) 2016/680 van de AVG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de preventie en opsporing van strafbare feiten, onderzoek en vervolging van dergelijke strafbare feiten of de uitvoering van strafrechtelijke sancties, en het vrije verkeer van dergelijke gegevens. Het heeft betrekking op de coördinatie, met name in het wetboek van strafvordering en het wetboek van strafrecht, voor de behandeling van politiebestanden en strafregisters.

Volledige herwerking van de wet in aantocht…?

Op basis van bovenstaande  lijkt het dat Frankrijk de GDPR nu volledig heeft geïmplementeerd en dat de Franse wetgeving inzake gegevensbescherming klaar is voor de toekomst. Maar … in haar persbericht over het besluit van 1 augustus 2018, heeft de CNIL zelf meteen ook al aangekondigd dat zij verwacht dat de wet op gegevensbescherming in de komende zes maanden volledig zal worden herschreven, met name om de wet leesvriendelijker te maken. Met andere woorden, kijk deze ruimte …

Vragen over GDPR en databescherming in de EU?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of op 02 721 13 00