Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 57 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BRISSON, BAZIN et BABARY, Mme LASSARADE, MM. CHAIZE, PACCAUD, DALLIER et BONHOMME, Mme LAMURE, MM. PERRIN, RAISON, MILON et RAPIN, Mmes DEROCHE et IMBERT et MM. BOUCHET, MANDELLI, BONNE, LAMÉNIE et SAVIN


ARTICLE 6


Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : « , ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3° , 4° , 5° ou 6° du II de l’article 45 ou aux 1° , 2° , 3° , 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots :  « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «,  par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art 226-23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art 226-23-... – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

Objet

La rédaction de la section 5 du livre II de la partie législative du code pénal intitulée « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » n’est plus en parfaite cohérence avec la nouvelle rédaction de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par exemple, sont visées dans cette section des formalités abrogées (déclaration, norme simplifiée).

Par ailleurs, les contraventions prévues aux articles R 625-10 à R 625-13 du code pénal, qui relèvent d’un décret en Conseil d’État, visent des faits classés par le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) parmi les manquements les plus graves, et devraient être requalifiées en délits au même niveau que les autres infractions.

Enfin, le projet de loi ne prévoit pas de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations prévus par le RGPD (ex : portabilité, obligation de nommer un délégué à la protection des données).

Le présent amendement harmonise le montant des sanctions prévues à la section susmentionnées au regard de celles prévues à l’article 11 de la loi n° 78-17 tel que modifié par l’article 6 du présent projet de loi d’une part, et procède à certaines mises à jour du contenu des articles d’autre part.



NB :La présente rectification porte sur la liste des signataires.