Un récent décret tire les conséquences de la loi du 20 juin 2018 qui a intégré en droit français les mesures du règlement européen de protection des données (RGPD). Il remplace le décret du 20 octobre 2005 notamment en ce qu'il fixe la procédure de contrôle sur place de la Commission nationale de l'informatique et des libertés (Cnil). En outre, le texte indique les modalités de l'astreinte lorsque la Cnil décide d'assortir d'une astreinte sa décision d'injonction de mise en conformité.
Décret n° 2019-536 du 29 mai 2019