Disponible au format Acrobat (225 Koctets)

N° 93

SÉNAT

SESSION ORDINAIRE DE 2009-2010

Enregistré à la Présidence du Sénat le 6 novembre 2009

PROPOSITION DE LOI

visant à mieux garantir le droit à la vie privée à l'heure du numérique ,

PRÉSENTÉE

Par M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER,

Sénateurs

(Envoyée à la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sous réserve de la constitution éventuelle d'une commission spéciale dans les conditions prévues par le Règlement.)

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Le 27 mai dernier, les auteurs de la présente proposition de loi rendaient public un rapport d'information sur la vie privée à l'heure des mémoires numériques 1 ( * ) .

Ce rapport, fruit d'une longue réflexion marquée par quelques vingt-cinq auditions et quatre déplacements, souligne que le droit à la vie privée, valeur fondamentale de nos sociétés démocratiques, est confronté, depuis quelques années, à l'apparition de nouvelles « mémoires numériques », conséquence de nombreuses évolutions ayant pour effet principal ou incident de collecter des données permettant de suivre un individu dans l'espace et le temps, à savoir :

- la recherche d'une sécurité collective toujours plus infaillible ;

- l'accélération des progrès technologiques (la géolocalisation, le Bluetooth, l'identification par radio fréquence (RFID), les nanotechnologies...) ;

- la tendance à l'exposition de soi et d'autrui sur Internet, au travers notamment des réseaux sociaux.

Face à ces nouveaux défis, la première réponse réside, à l'évidence, dans l'implication pleine et entière des individus dans leur propre protection. C'est pourquoi le rapport appelle de ses voeux la transformation de l' « Homo Sapiens » en un « Homo Numericus » libre et éclairé, protecteur de ses propres données, et préconise ainsi de « renforcer la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires » : c'est le sens de l'article premier de la présente proposition de loi , qui complète l'article L. 312-9 du code de l'éducation afin que l'initiation des élèves à l'usage d'Internet couvre autant les questions liées au téléchargement illégal (prescription introduite par l'article 16 de la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet, dite « HADOPI 1 ») que celles, tout aussi essentielles, de la protection des données personnelles et, plus généralement, de la vie privée . Le rapport précité souligne en effet que, s'il incombe aux parents de transmettre à leurs enfants les valeurs de tolérance et de respect ainsi que les notions de pudeur, d'intimité et droit à l'image, principes qui s'appliquent autant à la « vie réelle » qu'à la vie numérique, il n'en demeure pas moins qu'ils sont souvent dépassés et démunis face aux nouvelles technologies et aux nouveaux usages qui en résultent. La pratique des « sextos » en est une dramatique illustration : elle consiste en la transmission de photos dénudées entre mineurs par messageries instantanées ou par téléphones portables, souvent sans le consentement des personnes, afin de leur nuire ou d'accomplir une vengeance. Il revient donc aux enseignants, préalablement formés sur le sujet (et non simplement sensibilisés comme le prévoit le texte actuel), d'informer les élèves sur les risques liés aux usages d'Internet au regard du droit à la vie privée, le brevet « informatique et internet » semblant, aujourd'hui, insuffisant pour répondre à ce défi majeur.

Pour que le citoyen puisse devenir acteur de sa propre protection, il ne suffit pas qu'il ait été sensibilisé, dès son plus jeune âge, aux enjeux du numérique au regard du droit à la vie privée ; encore faut-il que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « informatique et libertés », offre des garanties renforcées dans ce domaine.

C'est pourquoi les articles 2 à 12 de la présente proposition de loi modifient la loi « informatique et libertés » afin de traduire les recommandations de portée législative contenues dans le rapport d'information précité, dans le respect de la directive du 24 octobre 1995 relative à la protection des données.

L'article 2 clarifie le statut de l'adresse IP. En effet, alors que cette adresse constitue, pour le rapport d'information précité, un moyen indiscutable d'identification, fût-elle indirecte, d'un internaute, au même titre qu'une adresse postale ou un numéro de téléphone, certaines juridictions ont récemment contesté le caractère de donnée personnelle de l'adresse IP . La clarification opérée par l'article 2 permet ainsi d'apporter aux données de connexion des internautes la protection de la loi « informatique et libertés ».

L'article 3 rend obligatoires les correspondants « informatique et libertés » lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Le bilan de l'action de ces correspondants, qui ont vu le jour à partir de 2005-2006, apparaît en effet pleinement satisfaisant tant ils ont permis la diffusion de la culture « informatique et libertés » dans les structures dans lesquelles ils ont été désignés.

L'article 4 réserve au législateur la compétence exclusive pour créer une catégorie de fichiers nationaux de police et définir ses principales caractéristiques . En cela, le dispositif proposé par cet article se distingue de celui de l'article 5 de la proposition de loi des députés Delphine BATHO et Jacques-Alain BÉNISTI sur les fichiers de police, adoptée par la commission des lois de l'Assemblée nationale le 16 juin dernier. En effet, la proposition des députés paraît très contraignante puisque le Gouvernement serait tenu de présenter au Parlement un projet de loi chaque fois qu'il entendrait créer un fichier de police, qu'il soit national ou local, ou y apporter des modifications, même mineures, touchant aux finalités des traitements concernés, à la liste des catégories de données sensibles conservées, à leur durée de conservation, à la liste des catégories de destinataires, ou encore à la nature du droit d'accès des personnes ou aux interconnexions envisagées. En conséquence, l'article 4 de la proposition de loi restreint les cas d'autorisation législative à des catégories de fichiers de police nationaux et à ses caractéristiques les plus importantes , à savoir les services responsables des fichiers, leurs finalités et la durée de conservation des informations traitées. Les autres caractéristiques devront donc être déterminées par voie réglementaire.

L'article 5 modifie l'article 31 de la loi « informatique et libertés » afin que la liste des traitements de données que la Commission nationale de l'informatique et des libertés (CNIL) met à la disposition du public précise, pour chacun de ces traitements, la durée de conservation des données.

L'article 6 réécrit une grande partie de l'article 32 de la loi «  informatique et libertés » portant sur les obligations d'information du responsable du traitement.

Il prévoit en premier lieu que le responsable du traitement doit délivrer, avant tout traitement de données, une information spécifique, claire et accessible qui devra désormais porter sur :

- la durée de conservation des données ;

- la possibilité pour la personne concernée d'exercer ses droits de suppression, d'accès et de rectification par voie électronique, dès lors que le responsable du traitement dispose d'un site Internet.

En second lieu, l'article 6 crée une obligation pour le responsable du traitement disposant d'un site Internet d'y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions obligatoires prévues au I de l'article 32 complété comme indiqué précédemment.

Enfin, cet article renforce l'obligation d'information incombant au responsable du traitement en matière de « cookies » ou lorsque celui-ci traite des données qu'il n'a pas recueillies directement auprès de la personne concernée.

L'article 7 précise l'obligation de sécurisation des données incombant au responsable du traitement et crée une obligation de notification à la CNIL des failles de sécurité, transposant par anticipation la directive modifiant la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

L'article 8 facilite l'exercice du droit d'opposition . Il substitue au terme « opposition », visiblement mal compris, celui, plus explicite, de « suppression » et dispose que ce droit de suppression s'exerce « sans frais ». En outre, il réécrit l'article 38 relatif au droit d'opposition pour bien distinguer le droit d'opposition commerciale, qui s'exerce avant tout traitement ou, en cas de collecte indirecte, avant toute communication des données, et le droit de suppression des données qui s'exerce, par définition, après .

L'article 9 , outre des coordinations avec l'article 32 de la loi « informatique et libertés », précise l'obligation pour le responsable du traitement interrogé au titre du droit d'accès d'indiquer l'origine de la donnée . Cette indication permet en effet à la personne objet du traitement de remonter jusqu'au responsable du traitement détenteur du fichier d'origine et d'exercer éventuellement auprès de lui ses droits d'accès, de rectification ou d'opposition. Or seule est actuellement prévue la communication des informations disponibles quant à l'origine des données personnelles, disponibilité qui, en pratique, est rare, les opérateurs n'ayant, semble-t-il, pas mis en place les outils adéquats.

L'article 10 rend publiques les audiences de la formation restreinte de la CNIL afin de tirer les conséquences d'une ordonnance du Conseil d'État du 19 février 2008 qui reconnaît son caractère juridictionnel.

L'article 11 rend plus aisée la publicité des sanctions les plus graves prononcées par la CNIL, publicité aujourd'hui conditionnée à la « mauvaise foi du responsable du traitement ». L'article supprime cette condition.

L'article 12 renforce les pouvoirs de sanction de la CNIL. En effet, l'article 47 de la loi « informatique et libertés » limite la sanction financière à 150 000 euros, ou 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d'affaires hors taxes du dernier exercice clos. Ces montants seraient portés respectivement à 300 000 et 600 000 euros, ce dernier montant correspondant au niveau maximum de sanction susceptible d'être prononcé par l'agence espagnole de protection des données.

Les auteurs de la proposition de loi estiment que ce relèvement du plafond légal incitera la CNIL à faire preuve d'une plus grande fermeté , à l'image de l'agence espagnole qui, sur la seule année 2008, a infligé des sanctions d'un montant total de 22,6 millions d'euros alors que la formation restreinte de la CNIL, depuis sa création en 2005, a, pour sa part, prononcé des sanctions dont le montant cumulé ne s'élève qu'à 520 400 euros.

L'article 13 renforce les possibilités d' actions juridictionnelles de la CNIL et des personnes en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi « informatique et libertés ». Actuellement, la CNIL ne peut que transmettre au procureur de la République, conformément à l'article 40 du code de procédure pénale, les infractions dont elle a connaissance et répondre à des demandes d'avis des juridictions. Le texte complète ces dispositions afin que la CNIL puisse également présenter des observations devant les juridictions d'office ou à la demande des parties et précise que les observations écrites ne pourront être frappées d'irrecevabilité par les juridictions même quand la procédure est orale. Par ailleurs, sur le modèle de ce qui existe désormais en droit de la consommation, il permet à toute personne s'estimant lésée par la non-application de la loi « informatique et libertés » de faire valoir ses droits devant la juridiction civile où il demeure, alors qu'en application des règles du code de procédure civile, il ne peut aujourd'hui généralement engager une action que devant la juridiction dans le ressort de laquelle se trouve le siège du responsable du traitement, qui peut être très éloigné de son lieu de résidence. À titre d'exemple, l'article 12 permettrait à une personne qui n'arrive pas à obtenir d'un responsable du traitement la suppression de données personnelles de saisir la juridiction civile la plus proche, et même d'appuyer sa requête d'une observation écrite de la CNIL, qui ne sera pas tenue d'envoyer de représentant à l'audience pour développer son point de vue. Cet article permet donc à chacun d'être le « gendarme de ses propres données », conformément aux préconisations du rapport d'information précité sur les mémoires numériques.

L'article 14 prévoit l'entrée en vigueur de la loi six mois à compter de sa publication afin de laisser le temps aux entreprises et administrations de s'adapter aux nouvelles dispositions.

Au total, il convient de noter que plusieurs mesures de la présente proposition de loi permettent de donner une plus grande effectivité au droit à l'oubli numérique, évoqué dans le rapport d'information précité :

- l'information spécifique, claire et accessible donnée aux personnes, avant tout traitement, mais également de manière permanente, sur le site Internet du responsable du traitement, de la durée de conservation des données ;

- la possibilité de demander à la CNIL, pour les traitements déclarés auprès d'elle, la durée de conservation des données ;

- l'exercice plus facile du droit d'opposition , renommé, pour plus de clarté, droit à la suppression des données, non seulement parce que la proposition de loi précise que ce droit est gratuit, mais également parce que ce droit pourrait désormais être exercé, après identification, par voie électronique, alors que les responsables de traitement prévoient aujourd'hui généralement la seule transmission par courrier postal, de nature à décourager les personnes concernées ;

- la possibilité de saisir plus facilement et plus efficacement qu'aujourd'hui les juridictions civiles en cas d'impossibilité pour les personnes d'exercer leur droit à la suppression des données.

De même, deux mesures de la proposition garantissent une meilleure traçabilité des transferts de données et permettent de lutter contre leur dissémination :

- l'information spécifique, claire et accessible donnée aux personnes, avant tout traitement mais également de manière permanente, sur le site Internet du responsable du traitement, des « destinataires ou catégories de destinataires des données » ;

- la possibilité de connaître, au titre du droit d'accès, l'origine de la donnée personnelle, alors que n'est actuellement prévue que la communication des informations disponibles quant à cette origine.

PROPOSITION DE LOI

TITRE I ER

DISPOSITIONS PORTANT MODIFICATION DU CODE DE L'EDUCATION

Article 1

Le second alinéa de l'article L. 312-9 du code de l'éducation est remplacé par trois alinéas ainsi rédigés :

« Dans ce cadre, ils reçoivent de la part d'enseignants préalablement formés sur le sujet une information sur les risques liés aux usages des services de communication au public en ligne :

« - Au regard du droit de la propriété intellectuelle ; ils sont informés des dangers du téléchargement et de la mise à disposition illicite d'oeuvres ou d'objets protégés par un droit d'auteur ou un droit voisin pour la création artistique, ainsi que sur les sanctions encourues en cas de manquement au délit de contrefaçon. Cette information porte également sur l'existence d'une offre légale d'oeuvres ou d'objets protégés par un droit d'auteur ou un droit voisin sur les services de communication au public en ligne ;

« - Au regard de la protection des données personnelles et, plus généralement, du droit à la vie privée ; ils sont informés des dangers de l'exposition de soi et d'autrui lorsqu'ils utilisent des services de communication au public en ligne, des droits d'opposition commerciale, de suppression, d'accès et de rectification prévus par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que des missions de la Commission nationale de l'informatique et des libertés. »

TITRE II

DISPOSITIONS PORTANT MODIFICATION DE LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

Article 2

Le deuxième alinéa de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée :

« Constitue en particulier une donnée à caractère personnel toute adresse ou tout numéro identifiant l'équipement terminal de connexion à un réseau de communication. »

Article 3

I. - Après le chapitre IV de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un chapitre IV bis ainsi rédigé :

« CHAPITRE IV BIS

« Le correspondant « informatique et libertés » »

« Art. 31-1. - Lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre, ladite autorité ou ledit organisme désigne un correspondant « informatique et libertés ».

« La désignation est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

« Le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi et d'informer l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme de la nécessité de protéger les données à caractère personnel.

« Le correspondant bénéficie des qualifications requises pour exercer ces missions. Il tient une liste des traitements effectués, immédiatement accessible à toute personne en faisant la demande. Il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions.

« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande de la Commission nationale de l'informatique et des libertés ou après son avis conforme. »

II. - Le III de l'article 22 est ainsi rédigé :

« III. - Les traitements pour lesquels le responsable a désigné un correspondant « informatique et libertés », dont le statut et les missions sont définis à l'article 31 bis , sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de l'Union européenne est envisagé. »

Article 4

I. - L'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 26. - I. - Sont autorisées par la loi les catégories de traitements nationaux de données à caractère personnel mis en oeuvre pour le compte de l'État et :

« 1° Qui intéressent la sécurité publique ;

« 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

« Les catégories de traitements de données à caractère personnel sont constituées par les traitements qui répondent à une même finalité, portent sur les mêmes catégories de données et ont les mêmes catégories de destinataires.

« L'avis de la Commission nationale de l'informatique et des libertés mentionné au a du 4° de l'article 11 sur tout projet de loi autorisant la création d'une telle catégorie de traitements de données est transmis au Parlement simultanément au dépôt du projet de loi.

« II. - La loi autorisant une catégorie de traitements de données mentionné au I prévoit :

« - les services responsables ;

« - leurs finalités ;

« - la durée de conservation des informations traitées. »

Article 5

Après le 2° de l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un 2° bis ainsi rédigé :

« 2° bis La durée de conservation des données à caractère personnel ; »

Article 6

I. - Les I et II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée sont remplacés par quatre paragraphes ainsi rédigés :

« I. - Avant tout traitement de données à caractère personnel, le responsable du traitement ou son représentant :

« - Informe, de manière spécifique, claire et accessible, la personne concernée, sauf si elle a déjà été informée au préalable :

« 1° De l'identité et de l'adresse du responsable du traitement et, le cas échéant, de celle de son représentant ;

« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

« 2° bis De la durée de conservation des données à caractère personnel ;

« 3° Du caractère obligatoire ou facultatif des réponses ;

« 4° Des conséquences éventuelles d'un défaut de réponse de la personne concernée ;

« 5° Des destinataires ou catégories de destinataires des données ;

« 6° Des coordonnées du service auprès duquel la personne concernée peut exercer ses droits de suppression, d'accès et de rectification ; si le responsable du traitement dispose d'un service de communication au public en ligne, il doit permettre à la personne concernée d'exercer ses droits par voie électronique après identification, et l'informe de cette possibilité ;

« 7 ° Le cas échéant, dans les conditions définies par décret en Conseil d'État, des transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne ;

« - Met en mesure la personne concernée d'exercer son droit d'opposition, tel que visé au premier alinéa de l'article 38 ;

« - Recueille le consentement de la personne concernée, sauf dans les cas visés à l'article 7.

« I bis . - Si le responsable du traitement dispose d'un service de communication au public en ligne, il l'utilise pour porter à la connaissance du public, de manière spécifique, claire, accessible et permanente, toutes les informations visées aux 1° à 7° du I.

« II. - Le responsable du traitement ou son représentant informe, de manière spécifique, claire, accessible et permanente, tout utilisateur d'un réseau de communication électronique :

« - De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement ;

« - De la nature des informations stockées ;

« - Des personnes ou catégories de personnes habilitées à avoir accès à ces informations ;

« II bis . - Après avoir délivré l'information prévue au II, le responsable du traitement ou son représentant recueille le consentement de l'utilisateur.

« Les dispositions du II et de l'alinéa précédent ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

« - Soit a pour finalité exclusive de permettre la communication par voie électronique ;

« - Soit est strictement nécessaire à la fourniture d'un service de communication au public en ligne à la demande expresse de l'utilisateur. »

II. - Le premier alinéa du III du même article est ainsi rédigé : « Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant fournit à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, avant la première communication des données. »

Article 7

L'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. - Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites, particulièrement lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

« En cas d'atteinte au traitement de données à caractère personnel, le responsable du traitement avertit sans délai la Commission nationale de l'informatique et des libertés qui peut, si cette atteinte est de nature à affecter les données à caractère personnel d'une ou de plusieurs personnes physiques, exiger du responsable du traitement qu'il avertisse également ces personnes. Le contenu, la forme et les modalités de ces notifications sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés ».

Article 8

I. - L'article 38 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 38 . - Avant tout traitement de données personnelles ou, en cas de collecte indirecte, avant toute communication de données personnelles, toute personne physique est mise en mesure de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

« Lorsque des données personnelles ont été traitées, toute personne physique identifiée a le droit, pour des motifs légitimes, de demander, sans frais, leur suppression auprès du responsable du traitement. Ce droit ne peut être exercé lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement. »

II. - Le début du premier alinéa du I de l'article 39 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Toute personne physique identifiée a le droit d'interroger le responsable du traitement... (le reste sans changement) ».

III. - Le début du premier alinéa de l'article 40 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Toute personne physique identifiée a le droit de demander au responsable d'un traitement que soient... (le reste sans changement) »

Article 9

Le I de l'article 39 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Après le troisième alinéa (2°), il est inséré un 2° bis ainsi rédigé :

« 2° bis La durée de conservation des données à caractère personnel ; »

2° Au cinquième alinéa (4°), les mots : « toute information disponible quant à » sont supprimés.

Article 10

1° Au deuxième alinéa du I, l'article 45 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : après les mots : « procédure contradictoire » sont insérés les mots : « et à l'issue d'une audience publique » ;

2° Le premier alinéa du II est complété par les mots : « et à l'issue d'une audience publique ».

Article 11

À la deuxième phrase du deuxième alinéa de l'article 46 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : « en cas de mauvaise foi du responsable de traitement, » sont supprimés.

Article 12

Au deuxième alinéa de l'article 47 de la loi n° 78-17 du 6 janvier 1978 précitée, le montant : « 150 000 € » est remplacé par le montant : « 300 000 € » et le montant : « 300 000 € » est remplacé (deux fois) par « 600 000 € ».

Article 13

I. - Le chapitre VIII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« CHAPITRE VIII

« Dispositions relatives aux actions juridictionnelles

« SECTION 1

« Dispositions pénales

« Art. 50. - Les infractions aux dispositions de la présente loi sont réprimées par les articles 226-16 à 226-24 du code pénal.

« Art. 51. - Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ;

« 2 ° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

« 3 ° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

« Art. 52. - I. - La Commission nationale de l'informatique et des libertés informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance.

« II. - Le procureur de la République avise le président de la Commission de toutes les poursuites relatives aux infractions visées aux articles 226-16 à 226-24 du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

« SECTION 2

« Dispositions civiles

« Art. 52-1 . - Dans les litiges civils nés de l'application de la présente loi, toute personne peut saisir à son choix, outre l'une des juridictions territorialement compétentes en vertu du code de procédure civile, la juridiction du lieu où il demeurait au moment de la conclusion du contrat ou de la survenance du fait dommageable.

« SECTION 3

« Observations de la Commission nationale de l'informatique et des libertés devant les juridictions civiles, pénales ou administratives

« Art. 52-2 . - Les juridictions civiles, pénales ou administratives peuvent, d'office ou à la demande des parties, inviter la Commission nationale de l'informatique et des libertés à déposer des observations écrites ou à les développer oralement à l'audience.

« La Commission peut elle-même déposer des observations écrites devant ces juridictions  ou demander à être entendue par elles ; dans ce cas, cette audition est de droit.

« Dans tous les cas, les observations écrites sont recevables quelle que soit la procédure applicable devant la juridiction saisie. »

II. - Le 2° de l'article 11 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au d), les mots : « et, le cas échéant, des juridictions, » sont supprimés ;

2° Le e) est ainsi rédigé :

« e) Elle saisit le procureur de la République et dépose des observations devant les juridictions dans les conditions prévues respectivement aux articles 52 et 52-2. »

TITRE III

ENTREE EN VIGUEUR DE LA LOI

Article 14

La présente loi entre en vigueur six mois à compter de sa publication.

* 1 Rapport disponible à l'adresse suivante : http://www.senat.fr/noticerap/2008/r08-441-notice.html

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page