L'Explication Prémisse
Cet article dit simplement que les règles pratiques et détaillées d’exécution des articles L.5427-1 à L.5427-5 seront fixées par un décret pris en Conseil d’État, après que la CNIL ait été consultée. Autrement dit, la loi fixe des principes ; le décret précisera comment les appliquer concrètement (modalités, conditions, délais, mesures techniques) et la Commission nationale de l’informatique et des libertés donnera son avis parce que ces règles impliquent des traitements de données personnelles.
Supposons que les articles L.5427-1 à L.5427-5 imposent des obligations sur la collecte et la conservation de données de santé des salariés. L’article L5427-6 signifie que l’administration publiera ensuite un décret précisant quels champs de données sont concernés, les durées de conservation, les obligations de sécurité informatique, les formulaires à utiliser et les modalités d’accès. L’employeur devra attendre la publication du décret pour adapter sa politique RH (clauses, consents, accès restreint, archivage sécurisé) et se conformer précisément aux prescriptions prises après avis de la CNIL.
- Nature réglementaire : un décret en Conseil d’État (acte réglementaire à portée générale) fixera les modalités d’application.
- Consultation obligatoire : la CNIL doit être saisie pour avis avant l’adoption du décret, en raison des implications sur les données personnelles.
- Complément de la loi : l’article confie au décret le soin de préciser les mesures techniques et pratiques nécessaires à l’application des dispositions législatives visées.
- Effet contraignant : une fois publié, le décret vaut règles applicables et s’impose aux employeurs et salariés concernés.
- Risques en l’absence de décret : tant que le décret n’est pas publié, certaines modalités d’application peuvent rester incertaines, mais les principes de la loi demeurent applicables.
- Obligation de veille : employeurs et représentants du personnel doivent suivre la parution du décret et mettre à jour leurs procédures (sécurité, conservation, information des personnes, consentements).
- Recours possibles : comme pour tout acte réglementaire, le décret peut faire l’objet d’un recours devant le juge administratif ; la CNIL peut également intervenir sur la conformité des traitements vis-à-vis du droit des données personnelles.