N° 100

SÉNAT

                  

SESSION ORDINAIRE DE 2017‑2018

19 avril 2018

                                                                                                                                             

ATTENTION

TEXTE ADOPTE PROVISOIRE

Seule l'impression définitive a valeur de texte authentique

PROJET DE LOI

relatif à la protection des données personnelles.

(procédure accélérée)







Le Sénat a modifié, en nouvelle lecture, le projet de loi, adopté par l’Assemblée nationale en nouvelle lecture après engagement de la procédure accélérée, dont la teneur suit :

                                                                                                                                             

Voir les numéros :

Assemblée nationale (15e législ.) : 1re lecture : 490, 592, 579 et T.A. 84.
C.M.P. : 855.
Nouvelle lecture : 809, 860 et T.A. 110.

Sénat : 1re lecture : 296, 350, 351, 344 et T.A. 76 (2017‑2018).
C.M.P. : 407, 408 (2017‑2018).
Nouvelle lecture : 425, 441 et 442 (2017‑2018).



Projet de loi relatif à la protection des données personnelles


TITRE IER

DISPOSITIONS d’adaptation COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU
27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016


Chapitre Ier

Dispositions relatives à la Commission nationale de l’informatique
et des libertés


Article 1er


L’article 11 de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au début du premier alinéa, est ajoutée la mention : « I. – » ;

2° Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. » ;

2° bis Le 1° est complété par les mots : « et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;

3° Le 2° est ainsi modifié :

aa) Le premier alinéa est complété par les mots : « et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France » ;

a) Au a, les mots : « autorise les traitements mentionnés à l’article 25, » et, à la fin, les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;

b) Après le même a, il est inséré un a bis ainsi rédigé :

« a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous‑traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous‑traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro‑entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »

c) Le b est ainsi rédigé :



« b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ; »



d) Après le f, sont insérés des f bis et f ter ainsi rédigés :



« f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro‑entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;



« f ter) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321‑1 du code de la défense, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »



e) Au g, après le mot : « certification », sont insérés les mots : « , par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;



f) À la fin du h, les mots : « d’accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41, 42 et 70‑22 » ;



g) Sont ajoutés des i et j ainsi rédigés :



« i) Elle établit une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70‑4 ;



« j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611‑1 du code de la consommation, en vue de la bonne application de la présente loi ; »



4° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée : « Elle peut également être consultée par le Président de l’Assemblée nationale ou par le Président du Sénat sur toute disposition d’une proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. » ;



5° Après le même 4°, il est inséré un 5° ainsi rédigé :



« 5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l’Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;



6° Au début du vingt‑sixième alinéa, est ajoutée la mention : « II. – » ;



7° L’avant‑dernier alinéa est supprimé.




. . . . . . . . . . . . . . . . . . . . . .


Article 2


Le I de l’article 13 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

 [ ] (Supprimé)

Amdt  2

2° Au 7°, après le mot : « numérique », sont insérés les mots : « ou des questions touchant aux libertés individuelles ».

Amdt  2

Article 2 bis


L’article 15 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° (Supprimé)

2° Sont ajoutés trois alinéas ainsi rédigés :

« – au 4 de l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;

« – aux a et h du 3 de l’article 58 du même règlement.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice‑président délégué peuvent déléguer leur signature. Il détermine également les modalités de publicité de l’ordre du jour de la commission réunie en formation plénière. »

Amdt  11


. . . . . . . . . . . . . . . . . . . . . .



. . . . . . . . . . . . . . . . . . . . . .


Article 5

(Conforme)


Article 6


I. – La loi  78‑17 du 6 janvier 1978 précitée est ainsi modifiée :

1° L’intitulé du chapitre VII est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission nationale de l’informatique et des libertés » ;

2° L’article 45 est ainsi rédigé :

« Art. 45. – I. – Le président de la Commission nationale de l’informatique et des libertés peut avertir un responsable de traitement ou son sous‑traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.

« II. – Lorsque le responsable de traitement ou son sous‑traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

« 4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous‑traitant de notifier aux destinataires des données les mesures qu’il a prises.



« Le délai de mise en conformité peut être fixé à vingt‑quatre heures en cas d’extrême urgence.



« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.



« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.



« III. – Lorsque le responsable de traitement ou son sous‑traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :



« 1° Un rappel à l’ordre ;



« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;



« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;



« 4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;



« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;



« 6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;



« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.



« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement. » ;



3° L’article 46 est ainsi rédigé :



« Art. 46. – I. – Lorsque le non‑respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’État, adopter l’une des mesures suivantes :



« 1° L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;



« 2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du même chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;



« 3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous‑traitant ;



« 4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;



« 5° La suspension provisoire de l’autorisation délivrée sur le fondement du III de l’article 54 de la présente loi ;



« 6° L’injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;



« 7° Un rappel à l’ordre ;



« 8° L’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.



« II. – En cas de circonstances exceptionnelles prévues au 1 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la Commission européenne.



« Lorsque la formation restreinte a pris de telles mesures et qu’elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.



« III. – Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsqu’une autorité de contrôle compétente en application du même règlement n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l’article 66 dudit règlement.



« IV. – En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés. » ;



4° L’article 47 est ainsi rédigé :



« Art. 47. – Les mesures prévues au III de l’article 45 et aux 1° à 7° du I de l’article 46 sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle‑ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous‑traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle‑ci.



« La formation restreinte peut rendre publiques les mesures qu’elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne, aux frais des personnes sanctionnées.



« Sans préjudice des obligations d’information qui incombent au responsable de traitement ou à son sous‑traitant en application de l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous‑traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.



« Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui‑ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.



« L’astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.



« Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.



« Leur produit est destiné à financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous‑traitants, afin qu’ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;



5° L’article 48 est ainsi rédigé :



« Art. 48. – Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de l’agrément qui a été délivré à cet organisme. »



II. – (Non modifié)



Article 6 bis


La Commission nationale de l’informatique et des libertés établit une charte énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.


Chapitre II

Dispositions relatives à certaines catégories de données


Article 7

(Conforme)


TITRE II

MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU
27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE



. . . . . . . . . . . . . . . . . . . . . .


Chapitre Ier

Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679

. . . . . . . . . . . . . . . . . . . . . .


Chapitre II

Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements


Article 9

(Conforme)


Chapitre III

Obligations incombant aux responsables de traitement et à leurs sous‑traitants

. . . . . . . . . . . . . . . . . . . . . .


Article 10 bis


Le premier alinéa de l’article 34 de la loi  78‑17 du 6 janvier 1978 précitée est complété par une phrase ainsi rédigée : « En particulier, et dans toute la mesure du possible, les données sont chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »


Chapitre IV

Dispositions relatives à certaines catégories particulières de traitements


Article 11


I. – L’article 9 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° A (Supprimé)

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être mis en œuvre, sous le contrôle de l’autorité publique, que » ;

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice agréées à cette fin dans les conditions fixées par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux‑ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités. Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111‑13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;

5° Il est ajouté un II ainsi rédigé :

« II. – Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.



« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui‑ci à la description figurant dans l’autorisation.



« La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. »



II. – Le deuxième alinéa de l’article L. 111‑13 du code de l’organisation judiciaire est ainsi rédigé :



« Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des greffiers, des parties et des agents de la police nationale ou de la gendarmerie nationale cités dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions. »



III. – Le troisième alinéa de l’article L. 10 du code de justice administrative est ainsi rédigé :



« Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des parties, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions. »




. . . . . . . . . . . . . . . . . . . . . .



. . . . . . . . . . . . . . . . . . . . . .


Article 13


I. – Le chapitre IX de la loi  78‑17 du 6 janvier 1978 précitée est ainsi rédigé :

« Chapitre IX

« Traitements de données à caractère personnel dans le domaine de la santé

« Section 1

« Dispositions générales

« Art. 53. – Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à l’exception des catégories de traitements suivantes :

« 1° Les traitements relevant des 1° à 6° du II de l’article 8 ;

« 2° Les traitements permettant d’effectuer des études à partir des données recueillies en application du 6° du même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

« 3° Les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques ;

« 4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans les conditions prévues au deuxième alinéa de l’article L. 6113‑7 du code de la santé publique ;



« 5° Les traitements effectués par les agences régionales de santé, par l’État et par la personne publique qu’il désigne en application du premier alinéa de l’article L. 6113‑8 du même code, dans le cadre défini au même article L. 6113‑8.



« Art. 54. – I. – Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public.



« II. – Des référentiels et règlements types, au sens des a bis et b du 2° du I de l’article 11, s’appliquant aux traitements relevant du présent chapitre sont établis par la Commission nationale de l’informatique et des libertés, en concertation avec l’Institut national des données de santé mentionné à l’article L. 1462‑1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.



« Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.



« Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d’impact sur la vie privée.



« III. – Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés.



« IV. – La Commission nationale de l’informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.



« V. – La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l’Institut national des données de santé est saisi en application du second alinéa de l’article 61.



« Lorsque la Commission nationale de l’informatique et des libertés ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée acceptée. Cette disposition n’est toutefois pas applicable si l’autorisation fait l’objet d’un avis préalable en application de la section 2 du présent chapitre et que l’avis ou les avis rendus ne sont pas expressément favorables.



« Art. 55. – Par dérogation à l’article 54, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.



« Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques sont mis en œuvre dans les conditions prévues à l’article 22 de la présente loi.



« Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au‑delà de ce délai.



« Art. 56. – Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé en application de l’article 54 les données à caractère personnel qu’ils détiennent.



« Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.



« Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible.



« Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226‑13 du code pénal.



« Art. 57. – Toute personne a le droit de s’opposer à ce que des données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l’article 53.



« Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit.



« Art. 58. – Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.



« Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l’article L. 1111‑2 du code de la santé publique d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic.



« Art. 59. – Sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou la personne chargée d’une mission de représentation dans le cadre d’une tutelle, d’une habilitation familiale ou d’un mandat de protection future, pour les majeurs protégés dont l’état ne leur permet pas de prendre seuls une décision personnelle éclairée.



« Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121‑1 du code de la santé publique ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l’exercice ultérieur, par chaque titulaire de l’exercice de l’autorité parentale, des droits mentionnés au premier alinéa.



« Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.



« Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale, en application des articles L. 1111‑5 et L. 1111‑5‑1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance maladie et maternité et de la couverture complémentaire mise en place par la loi  99‑641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits.



« Art. 60. – Une information relative aux dispositions du présent chapitre doit notamment être assurée dans tout établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement mentionné au présent chapitre.



« Section 2



« Dispositions particulières relatives aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé



« Art. 61. – Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la section 1 du présent chapitre, sous réserve de la présente section.



« L’Institut national des données de santé mentionné à l’article L. 1462‑1 du code de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d’État, par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé sur le caractère d’intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.



« Art. 62. – Au titre des référentiels mentionnés au II de l’article 54 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l’informatique et des libertés. Elles sont établies en concertation avec l’Institut national des données de santé mentionné à l’article L. 1462‑1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.



« Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l’article 54 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.



« Art. 62‑1. – Dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n’est pas applicable aux recherches réalisées en application de l’article L. 1131‑1‑1 du code de la santé publique.



« Art. 63. – L’autorisation du traitement est accordée par la Commission nationale de l’informatique et des libertés dans les conditions définies à l’article 54, après avis :



« 1° Du comité compétent de protection des personnes mentionné à l’article L. 1123‑6 du code de la santé publique, pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine mentionnées à l’article L. 1121‑1 du même code ;



« 2° Du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité d’expertise sont soumis à l’article L. 1451‑1 du code de la santé publique.



« Les dossiers présentés dans le cadre de la présente section, à l’exclusion des recherches impliquant la personne humaine, sont déposés auprès d’un secrétariat unique assuré par l’Institut national des données de santé, qui assure leur orientation vers les instances compétentes.



« Art. 64. – Dans le respect des missions et des pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation ainsi que sur les systèmes composant le système national des données de santé.



« Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d’assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l’Institut national des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, y assiste en tant qu’observateur.



« Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.



« Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.



« Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.



« Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, le responsable du traitement mentionné au II de l’article L. 1461‑1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.



« Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.



« Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.



« Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit, qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et le responsable du traitement mentionné au II de l’article L. 1461‑1 du code de la santé publique.



« En cas d’urgence, le directeur général de la Caisse nationale d’assurance maladie peut suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’il dispose d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.



« Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.



« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l’audit. »



II. – (Non modifié)




. . . . . . . . . . . . . . . . . . . . . .


Article 13 ter

(Conforme)


Chapitre V

Dispositions particulières relatives aux droits des personnes concernées

. . . . . . . . . . . . . . . . . . . . . .


Article 14 A

(Supprimé)


Article 14


I. – L’article 10 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 10. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

« 1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que l’intéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

« 2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l’objet est d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement que ledit traitement, à condition que celui‑ci ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi et que l’intéressé puisse exprimer son point de vue et contester la décision ;

« 3° (Supprimé)

« Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel. »

II. – Au premier alinéa de l’article L. 311‑3‑1 du code des relations entre le public et l’administration, après le mot : « comporte », sont insérés les mots : « , à peine de nullité, ».

III. – Le dernier alinéa du I de l’article L. 612‑3 du code de l’éducation est supprimé.

Article 14 bis A

(Conforme)


Article 14 bis


Le III de l’article 32 de la loi  78‑17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

« Lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible. »


. . . . . . . . . . . . . . . . . . . . . .


Chapitre VI

Voies de recours


Article 16 A


L’article 43 ter de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° AA Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;

1° A Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés » ;

1° Le III est ainsi rédigé :

« III. – Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

« Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2020. » ;

 [ ] (Supprimé)

Amdt  13

Le IV est complété par un alinéa ainsi rédigé :

Amdt  13

«[ ]  Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi  2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

Amdt  13

Article 16


La section 2 du chapitre V de la loi  78‑17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :

« Art. 43 quater. – Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle‑ci devant un juge ou contre le responsable de traitement ou son sous‑traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII de la présente loi.

« L’agrément prévu au 1° du IV de l’article 43 ter n’est pas requis pour qu’une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »


. . . . . . . . . . . . . . . . . . . . . .


Article 17 bis


En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

Peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d’ordre technique ou de sécurité les possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d’utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles.

Article 17 ter


Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420‑2‑2, il est inséré un article L. 420‑2‑3 ainsi rédigé :

« Art. L. 420‑2‑3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur un marché de services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420‑3 et au premier alinéa du III de l’article L. 420‑4, la référence : « et L. 420‑2‑2 » est remplacée par les références : « , L. 420‑2‑2 et L. 420‑2‑3 » ;

3° Au premier alinéa de l’article L. 450‑5, à la première phrase du premier alinéa de l’article L. 462‑3, aux I, II et IV de l’article L. 462‑5, à la première phrase du premier alinéa de l’article L. 462‑6, à la seconde phrase du premier alinéa du I de l’article L. 464‑2 et au premier alinéa de l’article L. 464‑9, la référence : « L. 420‑2‑2 » est remplacée par la référence : « L. 420‑2‑3 ».

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU
27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION‑CADRE 2008/977/JAI DU CONSEIL


Article 18

(Conforme)


Article 19


Le chapitre XIII de la loi  78‑17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

« Chapitre XIII

« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision‑cadre 2008/977/JAI du Conseil

« Section 1

« Dispositions générales

« Art. 70‑1 et 70‑2. – (Non modifiés)

« Art. 70‑3. – Si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités énoncées au premier alinéa de l’article 70‑1, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l’article 26 et aux articles 28 à 31.

« Si le traitement porte sur des données mentionnées au I de l’article 8, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l’article 26.

« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l’une des finalités prévues au premier alinéa de l’article 70‑1 est autorisé par la Commission nationale de l’informatique et des libertés. La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.

« Art. 70‑4 à 70‑7. – (Non modifiés)



« Art. 70‑8. – Les données à caractère personnel fondées sur des faits sont distinguées de celles fondées sur des appréciations personnelles.



« Art. 70‑9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.



« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.



« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.



« Art. 70‑10. – (Non modifié)



« Section 2



« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel



« Art. 70‑11. – Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.



« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.



« S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70‑20.



« Art. 70‑12. – Le responsable de traitement établit, le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :



« 1° Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;



« 2° Les personnes reconnues coupables d’une infraction pénale ;



« 3° Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;



« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux 1° et 2°.



« Art. 70‑13 à 70‑17. – (Non modifiés)



« Section 3



« Droits de la personne concernée par un traitement de données à caractère personnel



« Art. 70‑18. – I. – Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :



« 1° L’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant et de ses sous‑traitants. Les stipulations du contrat de sous‑traitance relatives à la protection des données personnelles sont communiquées à l’intéressé s’il en fait la demande ;



« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;



« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;



« 4° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;



« 5° L’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et l’existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.



« II. – En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :



« 1° La base juridique du traitement ;



« 2° La durée de conservation des données à caractère personnel ou, à défaut lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;



« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris ceux établis dans les États n’appartenant pas à l’Union européenne ou au sein d’organisations internationales ;



« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.



« Art. 70‑19. – (Non modifié)



« Art. 70‑20. – I. – La personne concernée a le droit d’obtenir du responsable de traitement :



« 1° Que soient rectifiées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant qui sont inexactes ;



« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;



« 3° Que soient effacées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.



« II. – Lorsque l’intéressé en fait la demande, le responsable de traitement doit justifier qu’il a procédé aux opérations exigées en application du I.



« III. – Au lieu de procéder à l’effacement, le responsable de traitement limite le traitement :



« 1° Soit lorsque l’exactitude des données à caractère personnel est contestée par la personne concernée sans qu’il soit possible de déterminer si les données sont exactes ou non ;



« 2° Soit lorsque les données à caractère personnel doivent être conservées à des fins probatoires.



« Lorsque le traitement est limité en application du 1° du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.



« IV. – Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.



« V. – Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente de laquelle ces données proviennent.



« VI. – Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux‑ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.



« Art. 70‑21. – I. – Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :



« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;



« 2° Éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;



« 3° Protéger la sécurité publique ;



« 4° Protéger la sécurité nationale ;



« 5° Protéger les droits et libertés d’autrui.



« Ces restrictions sont prévues par l’acte instaurant le traitement.



« II. – Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :



« 1° Retarder ou limiter la communication à la personne concernée des informations mentionnées au II de l’article 70‑18 ou ne pas communiquer ces informations ;



« 2° Refuser ou limiter le droit d’accès de la personne concernée prévu à l’article 70‑19 ;



« 3° Ne pas informer la personne du refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ni des motifs de cette décision, par dérogation au IV de l’article 70‑20.



« III. – Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d’accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l’informatique et des libertés.



« IV. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d’exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés et de former un recours juridictionnel.



« Art. 70‑22 à 70‑24. – (Non modifiés)



« Section 4



« Transferts de données à caractère personnel vers des États n’appartenant pas à l’Union européenne ou vers des destinataires établis dans des États n’appartenant pas à l’Union européenne



« Art. 70‑25 à 70‑27. – (Non modifiés)



TITRE III bis

Dispositions visant À faciliter l’application des rÈgles relatives À la protection des donnÉes À caractÈre personnel par les collectivitÉs territoriales


Article 19 bis


I. – Le code général des collectivités territoriales est ainsi modifié :

1° Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

« Section 7

« Dotation pour la protection des données à caractère personnel

« Art. L. 2335‑17. – À compter de l’exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l’État, au titre des charges qu’elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population des communes, est égale :

« – à 5 € par habitant compris entre le 1er et le 999e habitant ;

« – à 2 € par habitant compris entre le 1000e et le 4 999e habitant ;

« – à 1 € par habitant compris entre le 5 000e et le 9 999e habitant ;

« – à 0,1 € par habitant compris entre le 10 000e et le 99 999e habitant ;



« – à 0,01 € par habitant au‑delà du 100 000e habitant.



« Pour l’application du présent article, la population à prendre en compte est celle définie à l’article L. 2334‑2 du présent code. » ;



2° Le I de l’article L. 3662‑4 est complété par un 6° ainsi rédigé :



« 6° De la dotation prévue à l’article L. 5211‑35‑3 du présent code. » ;



3° Le livre II de la cinquième partie est ainsi modifié :



a) La sous‑section 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211‑35‑3 ainsi rédigé :



« Art. L. 5211‑35‑3. – À compter de l’exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l’État, au titre des charges qu’ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.



« Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :



« – à 1 € par habitant compris entre le 1er et le 14 999e habitant ;



« – à 0,5 € par habitant compris entre le 15 000e et le 49 999e habitant ;



« – à 0,1 € par habitant compris entre le 50 000e et le 99 999e habitant ;



« – à 0,01 € par habitant au‑delà du 100 000e habitant.



« Pour l’application du présent article, la population à prendre en compte est celle définie à l’article L. 2334‑2 du présent code. » ;



b) Après le 9° de l’article L. 5214‑23, il est inséré un 9° bis ainsi rédigé :



« 9° bis La dotation prévue à l’article L. 5211‑35‑3 du présent code ; »



c) Le 14° de l’article L. 5215‑32 est ainsi rétabli :



« 14° La dotation prévue à l’article L. 5211‑35‑3 du présent code ; »



d) Après le 9° de l’article L. 5216‑8, il est inséré un 9° bis ainsi rédigé :



« 9° bis La dotation prévue à l’article L. 5211‑35‑3 ; ».



II. – La perte de recettes résultant pour l’État du I du présent article est compensée, à due concurrence, par le relèvement du taux de la taxe mentionnée à l’article 302 bis KH du code général des impôts.



Article 19 ter

(Conforme)


TITRE IV

Habilitation à améliorer, dans le respect de la présente loi, l’intelligibilité de la législation applicable à la protection des données à caractère personnel

Amdt  23


Article 20

(Conforme)


Article 20 bis

(Supprimé)


TITRE V

DISPOSITIONS DIVERSES ET FINALES



. . . . . . . . . . . . . . . . . . . . . .



. . . . . . . . . . . . . . . . . . . . . .


Article 23


I. – L’article 230‑8 du code de procédure pénale est ainsi rédigé :

« Art. 230‑8. – Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d’office ou à la demande de la personne concernée, ordonne qu’elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu’elles fassent l’objet d’une mention. La rectification pour requalification judiciaire est de droit. L’effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies à l’article 230‑7. Le procureur de la République se prononce dans un délai d’un mois sur les suites qu’il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d’une décision devenue définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non‑lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d’irrecevabilité, que lorsque ne figure plus aucune mention de nature pénale en lien avec la demande d’effacement dans le bulletin  2 de son casier judiciaire. En cas de décision de relaxe ou d’acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d’une décision de relaxe ou d’acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non‑lieu ou de classement sans suite fondée sur l’absence de caractérisation de l’infraction ou une insuffisance de charges, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque les données personnelles relatives à la personne concernée font l’objet d’une mention, elles ne peuvent faire l’objet d’une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114‑1 et L. 234‑1 à L. 234‑3 du code de la sécurité intérieure et à l’article 17‑1 de la loi  95‑73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l’effacement des données personnelles ou ordonnant qu’elles fassent l’objet d’une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de l’intéressé.

« Les décisions d’effacement ou de rectification des informations nominatives prises par le procureur de la République sont portées à la connaissance des responsables de tous les traitements automatisés pour lesquels, sous réserve des règles d’effacement ou de rectification qui leur sont propres, ces mesures ont des conséquences sur la durée de conservation des données personnelles.

« Les décisions du procureur de la République sont susceptibles de recours devant le président de la chambre de l’instruction.

« Le procureur de la République dispose pour l’exercice de ses fonctions d’un accès direct aux traitements automatisés de données à caractère personnel mentionnés à l’article 230‑6. »

bis. – (Supprimé)

II. – (Non modifié)


. . . . . . . . . . . . . . . . . . . . . .


Article 24


Les titres Ier à III et les articles 21 et 22 entrent en vigueur le 25 mai 2018.

Toutefois, l’article 16 A entre en vigueur le 25 mai 2020 et l’article 70‑15 de la loi  78‑17 du 6 janvier 1978 précitée entre en vigueur à une date fixée par décret, et au plus tard :

1° Le 6 mai 2023 lorsqu’une telle obligation exigerait des efforts disproportionnés ;

2° Le 6 mai 2026 lorsque, à défaut d’un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l’entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire.

L’article 14 bis A entre en vigueur à compter de la rentrée de l’année scolaire 2018‑2019.

Délibéré en séance publique, à Paris, le 19 avril 2018.

Le Président,

Signé : Gérard LARCHER