Le décret n°2018-687 du 1er aout 2018 contient les mesures d’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des RGPD.
Il fixe les conditions et limites dans lesquelles le président de la Commission nationale de l’informatique et des libertés et le vice-président délégué peuvent déléguer leur signature. Il précise la composition du comité d’audit du système national des données de santé prévu à l’article 65 de la loi du 6 janvier 1978, ses règles de fonctionnement et les modalités de l’audit.
Il détermine les conditions dans lesquelles les membres et agents de la commission amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d’emprunt, procèdent à leurs constatations. Il définit la procédure d’urgence contradictoire appliquée par la formation restreinte saisie par le président de la CNIL.
Ce décret fixe aussi la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement UE 2016/679 lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
Le décret précise le rôle des délégués à la protection des données qui conseillent et accompagnent les organismes qui les désignent pour se conformer au RGPD. Les responsables du traitement des données ou les sous-traitants ont la possibilité de ne désigner qu’un seul délégué qui exerce sa mission pour le compte de plusieurs d’entre eux.
Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s’exerce la mutualisation.
Y sont également précisés, le contenu de l’analyse d’impact, effectuée préalablement à la mise en œuvre d’un traitement, et le contenu du contrat ou de l’acte juridique liant le sous-traitant à l’égard du responsable du traitement.
