N° 285
SÉNAT
SESSION ORDINAIRE DE 2003-2004
Annexe au procès-verbal de la séance du 4 mai 2004
PROJET DE LOI
adopté avec modifications par l’Assemblée
nationale
en deuxième lecture,
relatif
à la protection des personnes physiques à l’égard
des traitements de données à caractère personnel
et modifiant la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés,
transmis par
M. le PREMIER MINISTRE
à
m. le prÉsident du sÉnat
(Renvoyé à la commission des lois constitutionnelles,
de législation,
du suffrage universel, du Règlement et d’administration générale)
|
Droits de l’homme et libertés publiques. |
TITRE Ier
(avant l’article 1er)
DISPOSITIONS
MODIFIANT
LA LOI DU 6 JANVIER 1978
RELATIVE À L’INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS
Les articles 2 à 5 de la loi no 78-17
du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
sont ainsi rédigés :
« Art. 2. – La
présente loi s’applique aux traitements automatisés de données à caractère
personnel, ainsi qu’aux traitements non automatisés de données à caractère
personnel contenues ou appelées à figurer dans des fichiers, à l’exception des
traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles,
lorsque leur responsable remplit les conditions prévues à l’article 5.
« Constitue une donnée à caractère
personnel toute information relative à une personne physique identifiée ou qui
peut être identifiée, directement ou indirectement, par référence à un numéro
d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour
déterminer si une personne est identifiable, il convient de considérer
l’ensemble des moyens en vue de permettre son identification dont dispose ou
auxquels peut avoir accès le responsable du traitement ou toute autre personne.
« Constitue un traitement de données
à caractère personnel toute opération ou tout ensemble d’opérations portant sur
de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement,
l’organisation, la conservation, l’adaptation ou la modification, l’extraction,
la consultation, l’utilisation, la communication par transmission, diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l’interconnexion,
ainsi que le verrouillage, l’effacement ou la destruction.
« Constitue un fichier de données à
caractère personnel tout ensemble structuré et stable de données à caractère
personnel accessibles selon des critères déterminés.
« La personne concernée par un
traitement de données à caractère personnel est celle à laquelle se rapportent
les données qui font l’objet du traitement.
« Art. 3– Non modifié……………………………………………………………… »
« Art. 4 – Non modifié
« Art. 5 – Non modifié
Le chapitre II de la loi no 78-17
du 6 janvier 1978 précitée est ainsi rédigé :
« Conditions de
licéité des traitements de données
à caractère personnel
« Dispositions générales
« Art. 6. – Un
traitement ne peut porter que sur des données à caractère personnel qui
satisfont aux conditions suivantes :
« 1° Les données sont
collectées et traitées de manière loyale et licite ;
« 2° Elles sont collectées pour
des finalités déterminées, explicites et légitimes et ne sont pas traitées
ultérieurement de manière incompatible avec ces finalités. Toutefois, un
traitement ultérieur de données à des fins statistiques ou à des fins de
recherche scientifique ou historique est considéré comme compatible avec les
finalités initiales de la collecte des données, s’il est réalisé dans le
respect des principes et des procédures prévus au présent chapitre, au
chapitre IV et à la section 1 du chapitre V ainsi qu’aux
chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à
l’égard des personnes concernées ;
« 3° Elles sont adéquates,
pertinentes et non excessives au regard des finalités pour lesquelles elles
sont collectées et de leurs traitements ultérieurs ;
« 4° Elles sont exactes,
complètes et, si nécessaire, mises à jour ; les mesures appropriées
doivent être prises pour que les données inexactes ou incomplètes au regard des
finalités pour lesquelles elles sont collectées ou traitées soient effacées ou
rectifiées ;
« 5° Elles sont conservées sous
une forme permettant l’identification des personnes concernées pendant une
durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles
sont collectées et traitées.
« Art. 7. – Non modifié……………………………………………………………………..
« Dispositions propres à certaines
catégories de données
« Art. 8. – I. – Il
est interdit de collecter ou de traiter des données à caractère personnel qui
font apparaître, directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses ou
l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à
la vie sexuelle de celles-ci.
« II. – Dans la mesure où
la finalité du traitement l’exige pour certaines catégories de données, ne sont
pas soumis à l’interdiction prévue au I :
« 1° A Les traitements
pour lesquels la personne concernée a donné son consentement exprès, sauf dans
le cas où la loi prévoit que l’interdiction visée au I ne peut être levée par
le consentement de la personne concernée ;
« 1° Les traitements
nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne
concernée ne peut donner son consentement par suite d’une incapacité juridique
ou d’une impossibilité matérielle ;
« 2° Les traitements mis en
œuvre par une association ou tout autre organisme à but non lucratif et à
caractère religieux, philosophique, politique ou syndical :
« – pour les seules données
mentionnées au I correspondant à l’objet de ladite association ou dudit
organisme ;
« – sous réserve qu’ils ne
concernent que les membres de cette association ou de cet organisme et, le cas
échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers
dans le cadre de son activité ;
« – et qu’ils ne portent que
sur des données non communiquées à des tiers, à moins que les personnes
concernées n’y consentent expressément ;
« 3° Les traitements portant
sur des données à caractère personnel rendues publiques par la personne
concernée ;
« 4° Les traitements
nécessaires à la constatation, à l’exercice ou à la défense d’un droit en
justice ;
« 5° Les traitements
nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de
l’administration de soins ou de traitements, ou de la gestion de services de
santé et mis en œuvre par un membre d’une profession de santé, ou par une autre
personne à laquelle s’impose en raison de ses fonctions l’obligation de secret
professionnel prévue par l’article 226-13 du code pénal ;
« 5° bis Les traitements
statistiques réalisés par l’Institut national de la statistique et des études
économiques ou l’un des services statistiques ministériels dans le respect de
la loi no 51-711 du 7 juin 1951 sur l’obligation, la
coordination et le secret en matière de statistiques, après avis du Conseil
national de l’information statistique et dans les conditions prévues à
l’article 25 de la présente loi ;
« 6° Les traitements
nécessaires à la recherche dans le domaine de la santé selon les modalités
prévues au chapitre IX.
« II bis. – Si les
données à caractère personnel visées au I sont appelées à faire l’objet à bref
délai d’un procédé d’anonymisation préalablement reconnu conforme aux
dispositions de la présente loi par la Commission nationale de l’informatique
et des libertés, celle-ci peut autoriser, compte tenu de leur finalité,
certaines catégories de traitements selon les modalités prévues à
l’article 25. Les dispositions des chapitres IX et X ne sont pas
applicables.
« III. – De même, ne sont
pas soumis à l’interdiction prévue au I les traitements, automatisés ou non,
justifiés par l’intérêt public et autorisés dans les conditions prévues au I de
l’article 25 ou au II de l’article 26.
« Art. 9. – Les
traitements de données à caractère personnel relatives aux infractions,
condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
« 1° Les juridictions, les
autorités publiques et les personnes morales gérant un service public, agissant
dans le cadre de leurs attributions légales ;
« 2° Les auxiliaires de
justice, pour les stricts besoins de l’exercice des missions qui leur sont
confiées par la loi ;
« 3° Les personnes morales
victimes d’infractions ou agissant pour le compte desdites victimes pour les
stricts besoins de la prévention et de la lutte contre la fraude ainsi que de
la réparation du préjudice subi, dans les conditions prévues par la loi ;
« 4° (nouveau) Les personnes
morales mentionnées aux articles L. 321-1 et L. 331-1 du code de
la propriété intellectuelle, agissant au titre des droits dont elles assurent
la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux
livres Ier, II et III du même code aux fins d’assurer la
défense de ces droits.
« Art. 10. – Non modifié »………………………………………………………………….
Le chapitre III de la loi no 78-17
du 6 janvier 1978 précitée est ainsi rédigé :
« La Commission
nationale
de l’informatique et des libertés
« Art. 11. – La
Commission nationale de l’informatique et des libertés est une autorité
administrative indépendante. Elle exerce les missions suivantes :
« 1° A Elle informe toutes
les personnes concernées et tous les responsables de traitements de leurs
droits et obligations ;
« 1° Elle veille à ce que les
traitements de données à caractère personnel soient mis en œuvre conformément
aux dispositions de la présente loi.
« A ce titre :
« a) Elle autorise les
traitements mentionnés à l’article 25, donne un avis sur les traitements
mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux
autres traitements ;
« b) Elle établit et publie
les normes mentionnées au I de l’article 24 et édicte, le cas échéant, des
règlements types en vue d’assurer la sécurité des systèmes ;
« c) Elle reçoit les
réclamations, pétitions et plaintes relatives à la mise en œuvre des
traitements de données à caractère personnel et informe leurs auteurs des
suites données à celles-ci ;
« d) Elle répond aux demandes
d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille
les personnes et organismes qui mettent en œuvre ou envisagent de mettre en
œuvre des traitements automatisés de données à caractère personnel ;
« e) Elle informe sans délai
le procureur de la République, conformément à l’article 40 du code de
procédure pénale, des infractions dont elle a connaissance, et peut présenter
des observations dans les procédures pénales, dans les conditions prévues à
l’article 52 ;
« f) Elle peut, par décision
particulière, charger un ou plusieurs de ses membres ou des agents de ses
services, dans les conditions prévues à l’article 44, de procéder à des
vérifications portant sur tous traitements et, le cas échéant, d’obtenir des
copies de tous documents ou supports d’information utiles à ses missions ;
« g) Elle peut, dans les
conditions définies au chapitre VII, prononcer à l’égard d’un responsable
de traitement l’une des mesures prévues à l’article 45 ;
« h) Elle répond aux demandes
d’accès concernant les traitements mentionnés aux articles 41 et 42 ;
« 2° A la demande
d’organisations professionnelles ou d’institutions regroupant principalement
des responsables de traitements :
« a) Elle donne un avis sur
la conformité aux dispositions de la présente loi des projets de règles
professionnelles et des produits et procédures tendant à la protection des
personnes à l’égard du traitement de données à caractère personnel, ou à
l’anonymisation de ces données, qui lui sont soumis ;
« b) Elle porte une
appréciation sur les garanties offertes par des règles professionnelles qu’elle
a précédemment reconnues conformes aux dispositions de la présente loi, au
regard du respect des droits fondamentaux des personnes ;
« c) Elle délivre un label à
des produits ou à des procédures tendant à la protection des personnes à
l’égard du traitement des données à caractère personnel, après qu’elles les a
reconnus conformes aux dispositions de la présente loi ;
« 3° Elle se tient informée de
l’évolution des technologies de l’information et rend publique le cas échéant
son appréciation des conséquences qui en résultent pour l’exercice des droits
et libertés mentionnés à l’article 1er ;
« A ce titre :
« a) Elle est consultée sur
tout projet de loi ou de décret relatif à la protection des personnes à l’égard
des traitements automatisés ;
« b) Elle propose au
Gouvernement les mesures législatives ou réglementaires d’adaptation de la
protection des libertés à l’évolution des procédés et techniques
informatiques ;
« b bis) A la demande
d’autres autorités administratives indépendantes, elle peut apporter son
concours en matière de protection des données ;
« c) Elle peut être associée,
à la demande du Premier ministre, à la préparation et à la définition de la
position française dans les négociations internationales dans le domaine de la
protection des données à caractère personnel. Elle peut participer, à la demande
du Premier ministre, à la représentation française dans les organisations
internationales et communautaires compétentes en ce domaine.
« Pour l’accomplissement de ses
missions, la commission peut procéder par voie de recommandation et prendre des
décisions individuelles ou réglementaires dans les cas prévus par la présente
loi.
« La commission présente chaque
année au Président de la République, au Premier ministre et au Parlement un
rapport public rendant compte de l’exécution de sa mission.
« Art. 12 – Non
modifié……………………………………………………………...
« Art. 13 – Non
modifié
« Art. 14 – Non
modifié
« Art. 15. – Sous
réserve des compétences du bureau et de la formation restreinte, la commission
se réunit en formation plénière.
« En cas de partage égal des voix,
la voix du président est prépondérante.
« La commission peut charger le
président ou le vice-président délégué d’exercer celles de ses attributions
mentionnées :
« – au troisième alinéa du I de
l’article 23 ;
« – aux e et f du
1° de l’article 11 ;
« – au c du 1° de
l’article 11 ;
« – au c du 3° de
l’article 11 ;
« – aux articles 41 et
42 ;
« – à l’article 54 ;
« – aux articles 63, 64 et
65 ;
« – au dernier alinéa de
l’article 69 ;
« – au premier alinéa de
l’article 70.
« Art. 16. – Le
bureau peut être chargé par la commission d’exercer les attributions de
celle-ci mentionnées :
« – au dernier alinéa de
l’article 19 ;
« – à l’article 25, en cas
d’urgence ;
« – au second alinéa de
l’article 70.
« Le bureau peut aussi être chargé
de prendre, en cas d’urgence, les décisions mentionnées au premier alinéa du I
de l’article 45.
« Art. 17. – Non
modifié……………………………………………………………………
« Art. 18. – Un
commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de
la commission. Des commissaires adjoints peuvent être désignés dans les mêmes
conditions.
« Le commissaire du Gouvernement
assiste à toutes les délibérations de la commission réunie en formation
plénière ou en formation restreinte, ainsi qu’à celles des réunions de son
bureau qui ont pour objet l’exercice des attributions déléguées en vertu de
l’article 16 ; il est rendu destinataire de tous ses avis et
décisions.
« Il peut, sauf en matière de
sanctions, provoquer une seconde délibération, qui doit intervenir dans les dix
jours de la délibération initiale.
« Art. 19. – Non
modifié…………………………………………………………… »
« Art. 20 – Non
modifié…………………………………………………………… »
« Art. 21. – Non
modifié…………………………………………………………… »
Le chapitre IV de la loi no 78-17
du 6 janvier 1978 précitée est ainsi rédigé :
« Formalités
préalables à la mise en œuvre des traitements
« Art. 22. – I. – A
l’exception de ceux qui relèvent des dispositions prévues aux articles 25,
26 et 27 ou qui sont visés au second alinéa de l’article 36, les
traitements automatisés de données à caractère personnel font l’objet d’une
déclaration auprès de la Commission nationale de l’informatique et des
libertés.
« II. – Toutefois, ne sont
soumis à aucune des formalités préalables prévues au présent chapitre :
« 1° Les traitements ayant pour
seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou
réglementaires, est destiné exclusivement à l’information du public et est
ouvert à la consultation de celui-ci ou de toute personne justifiant d’un
intérêt légitime ;
« 2° Les traitements mentionnés
au 2° du II de l’article 8.
« II bis (nouveau). – Les
traitements pour lesquels le responsable a désigné un correspondant à la
protection des données à caractère personnel chargé d’assurer, d’une manière
indépendante, le respect des obligations prévues dans la présente loi sont
dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un
transfert de données à caractère personnel à destination d’un Etat non membre
de la Communauté européenne est envisagé.
« La désignation du correspondant
est notifiée à la Commission nationale de l’informatique et des libertés. Elle
est portée à la connaissance des instances représentatives du personnel.
« Le correspondant est une personne
bénéficiant des qualifications requises pour exercer ses missions. Il tient une
liste des traitements effectués immédiatement accessible à toute personne en
faisant la demande et ne peut faire l’objet d’aucune sanction de la part de
l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la
Commission nationale de l’informatique et des libertés des difficultés qu’il
rencontre dans l’exercice de ses missions.
« En cas de non-respect des
dispositions de la loi, le responsable du traitement est enjoint par la
Commission nationale de l’informatique et des libertés de procéder aux
formalités prévues aux articles 23 et 24. En cas de manquement constaté à
ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou
après consultation, de la Commission nationale de l’informatique et des
libertés.
« III. – Le responsable
d’un traitement de données à caractère personnel qui n’est soumis à aucune des
formalités prévues au présent chapitre communique à toute personne qui en fait
la demande les informations relatives à ce traitement mentionnées aux 2° à 6°
du I de l’article 31.
« Déclaration
« Art. 23. – Non
modifié……………………………………………………………
« Art. 24. – Non
modifié……………………………………………………………
« Autorisation
« Art. 25. – I. – Sont
mis en œuvre après autorisation de la Commission nationale de l’informatique et
des libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et
27 :
« 1° Les traitements,
automatisés ou non, mentionnés au 5° bis du II, au II bis et au
III de l’article 8 ;
« 2° Les traitements
automatisés portant sur des données génétiques, à l’exception de ceux d’entre
eux qui sont mis en œuvre par des médecins ou des biologistes et qui sont
nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de
l’administration de soins ou de traitements ;
« 3° Les traitements,
automatisés ou non, portant sur des données relatives aux infractions,
condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des
auxiliaires de justice pour les besoins de leurs missions de défense des
personnes concernées ;
« 4° Les traitements
automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs
finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou
d’un contrat en l’absence de toute disposition législative ou
réglementaire ;
« 5° Les traitements
automatisés ayant pour objet :
« – l’interconnexion de
fichiers relevant d’une ou de plusieurs personnes morales gérant un service
public et dont les finalités correspondent à des intérêts publics
différents ;
« – l’interconnexion de
fichiers relevant d’autres personnes et dont les finalités principales sont
différentes ;
« 6° Les traitements portant
sur des données parmi lesquelles figure le numéro d’inscription des personnes
au répertoire national d’identification des personnes physiques et ceux qui
requièrent une consultation de ce répertoire sans inclure le numéro
d’inscription à celui-ci des personnes ;
« 7° Les traitements
automatisés de données comportant des appréciations sur les difficultés
sociales des personnes ;
« 8° Les traitements
automatisés comportant des données biométriques nécessaires au contrôle de
l’identité des personnes ;
« 9° Supprimé………………………………………………………………………………
« II. – Pour l’application
du présent article, les traitements qui répondent à une même finalité, portent
sur des catégories de données identiques et ont les mêmes destinataires ou
catégories de destinataires peuvent être autorisés par une décision unique de
la commission. Dans ce cas, le responsable de chaque traitement adresse à la
commission un engagement de conformité de celui-ci à la description figurant
dans l’autorisation.
« III. – La Commission
nationale de l’informatique et des libertés se prononce dans un délai de deux
mois à compter de la réception de la demande. Toutefois, ce délai peut être
renouvelé une fois sur décision motivée de son président. Lorsque la commission
ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée
rejetée.
« Art. 26. – Non modifié……………………………………………………………………
« Art. 27. – I. – Sont
autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la
Commission nationale de l’informatique et des libertés :
« 1° Les traitements de données
à caractère personnel mis en œuvre pour le compte de l’Etat, d’une personne
morale de droit public ou d’une personne morale de droit privé gérant un
service public, qui portent sur des données parmi lesquelles figure le numéro
d’inscription des personnes au répertoire national d’identification des
personnes physiques ;
« 2° Les traitements de données
à caractère personnel mis en œuvre pour le compte de l’Etat qui portent sur des
données biométriques nécessaires à l’authentification ou au contrôle de
l’identité des personnes.
« II. – Sont autorisés par
arrêté ou, en cas de traitement opéré pour le compte d’un établissement public
ou d’une personne morale de droit privé gérant un service public, par décision
de l’organe délibérant chargé de leur organisation, pris après avis motivé et
publié de la Commission nationale de l’informatique et des libertés :
« 1° Les traitements mis en
œuvre par l’Etat ou les personnes morales mentionnées au I qui requièrent une
consultation du répertoire national d’identification des personnes physiques
sans inclure le numéro d’inscription à ce répertoire ;
« 2° Ceux des traitements
mentionnés au I :
« – qui ne comportent aucune
des données mentionnées au I de l’article 8 ou à l’article 9 ;
« – qui ne donnent pas lieu à
une interconnexion entre des traitements ou fichiers correspondant à des
intérêts publics différents ;
« – et qui sont mis en œuvre
par des services ayant pour mission, soit de déterminer les conditions
d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette,
de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit
d’établir des statistiques ;
« 3° Les traitements relatifs
au recensement de la population en métropole et dans les collectivités situées
outre-mer ;
« 4° (nouveau) Les
traitements mis en œuvre par l’Etat ou les personnes morales mentionnées au I
aux fins de mettre à la disposition des usagers de l’administration un ou
plusieurs téléservices de l’administration électronique, si ces traitements
portent sur des données parmi lesquelles figurent le numéro d’inscription des
personnes au répertoire national d’identification ou tout autre identifiant des
personnes physiques.
« III. – Les dispositions
du IV de l’article 26 sont applicables aux traitements relevant du présent
article.
« Art. 28. – Non modifié……………………………………………………………
« Art. 29. – Non modifié……………………………………………………………
« Dispositions communes
« Art. 30. – I. – Les
déclarations, demandes d’autorisation et demandes d’avis adressées à la
Commission nationale de l’informatique et des libertés en vertu des
dispositions des sections 1 et 2 précisent :
« 1° L’identité et l’adresse du
responsable du traitement ou, si celui-ci n’est établi ni sur le territoire
national ni sur celui d’un autre Etat membre de la Communauté européenne, celle
de son représentant et, le cas échéant, celle de la personne qui présente la
demande ;
« 2° La ou les finalités du
traitement, ainsi que, pour les traitements relevant des articles 25, 26
et 27, la description générale de ses fonctions ;
« 3° Le cas échéant, les
interconnexions, les rapprochements ou toutes autres formes de mise en relation
avec d’autres traitements ;
« 4° Les données à caractère
personnel traitées, leur origine et les catégories de personnes concernées par
le traitement ;
« 5° La durée de conservation
des informations traitées ;
« 6° Le ou les services chargés
de mettre en œuvre le traitement ainsi que, pour les traitements relevant des
articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs
fonctions ou pour les besoins du service, ont directement accès aux données
enregistrées ;
« 7° Les destinataires ou
catégories de destinataires habilités à recevoir communication des
données ;
« 8° La fonction de la personne
ou le service auprès duquel s’exerce le droit d’accès prévu à
l’article 39, ainsi que les mesures relatives à l’exercice de ce
droit ;
« 9° Les dispositions prises
pour assurer la sécurité des traitements et des données et la garantie des
secrets protégés par la loi et, le cas échéant, l’indication du recours à un
sous-traitant ;
« 10° Le cas échéant, les
transferts de données à caractère personnel envisagés à destination d’un Etat
non membre de la Communauté européenne, sous quelque forme que ce soit, à
l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur
le territoire français ou sur celui d’un autre Etat membre de la Communauté
européenne au sens des dispositions du 2° du I de l’article 5.
« II. – Le responsable
d’un traitement déjà déclaré ou autorisé informe sans délai la
commission :
« – de tout changement
affectant les informations mentionnées au I ;
« – de toute suppression du
traitement.
« Art. 31. – I. – La
commission met à la disposition du public la liste des traitements automatisés
ayant fait l’objet d’une des formalités prévues par les articles 23 à 27,
à l’exception de ceux mentionnés au III de l’article 26.
« Cette liste précise pour chacun de
ces traitements :
« 1° L’acte décidant la
création du traitement ou la date de la déclaration de ce traitement ;
« 2° La dénomination et la
finalité du traitement ;
« 3° L’identité et l’adresse du
responsable du traitement ou, si celui-ci n’est établi ni sur le territoire
national ni sur celui d’un autre Etat membre de la Communauté européenne,
celles de son représentant ;
« 4° La fonction de la personne
ou le service auprès duquel s’exerce le droit d’accès prévu à
l’article 39 ;
« 5° Les catégories de données
à caractère personnel faisant l’objet du traitement, ainsi que les
destinataires et catégories de destinataires habilités à en recevoir
communication ;
« 6° Le cas échéant, les
transferts de données à caractère personnel envisagés à destination d’un Etat
non membre de la Communauté européenne.
« II. – La commission
tient à la disposition du public ses avis, décisions ou recommandations.
« III. – La Commission
nationale de l’informatique et des libertés publie la liste des Etats dont la
Commission des Communautés européennes a établi qu’ils assurent un niveau de
protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts
de données à caractère personnel. »
Le chapitre V de la loi no 78-17
du 6 janvier 1978 précitée est intitulé : « Obligations
incombant aux responsables de traitements et droits des personnes ». Ce
chapitre comprend les articles 32 à 42 ainsi que l’article 40, qui
devient l’article 43. Il comprend deux sections ainsi rédigées :
« Obligations incombant aux
responsables de traitements
« Art. 32. – I. – La
personne auprès de laquelle sont recueillies des données à caractère personnel
la concernant est informée, sauf si elle l’a été au préalable, par le responsable
du traitement ou son représentant :
« 1° De l’identité du
responsable du traitement et, le cas échéant, de celle de son
représentant ;
« 2° De la finalité poursuivie
par le traitement auquel les données sont destinées ;
« 3° Du caractère obligatoire
ou facultatif des réponses ;
« 4° Des conséquences
éventuelles, à son égard, d’un défaut de réponse ;
« 5° Des destinataires ou
catégories de destinataires des données ;
« 6° Des droits qu’elle tient
des dispositions de la section 2 du présent chapitre ;
« 7° Le cas échéant, des
transferts de données à caractère personnel envisagés à destination d’un Etat
non membre de la Communauté européenne.
« Lorsque de telles données sont
recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions
figurant aux 1°, 2°, 3° et 6°.
« I bis. – Toute
personne utilisatrice des réseaux de communications électroniques doit être
informée de manière claire et complète par le responsable du traitement ou son
représentant :
« – de la finalité de toute
action tendant à accéder, par voie de transmission électronique, à des
informations stockées dans son équipement terminal de connexion, ou à inscrire,
par la même voie, des informations dans son équipement terminal de
connexion ;
« – des moyens dont elle
dispose pour s’y opposer.
Ces dispositions ne sont pas applicables
si l’accès aux informations stockées dans l’équipement terminal de
l’utilisateur ou l’inscription d’informations dans l’équipement terminal de
l’utilisateur :
« – soit a pour finalité exclusive
de permettre ou faciliter la communication par voie électronique ;
« – soit est strictement
nécessaire à la fourniture d’un service de communication en ligne à la demande
expresse de l’utilisateur.
« II. – Lorsque les
données à caractère personnel n’ont pas été recueillies auprès de la personne
concernée, le responsable du traitement ou son représentant doit fournir à
cette dernière les informations énumérées au I dès l’enregistrement des données
ou, si une communication des données à des tiers est envisagée, au plus tard
lors de la première communication des données.
« Lorsque les données à caractère
personnel ont été initialement recueillies pour un autre objet, les
dispositions de l’alinéa précédent ne s’appliquent pas aux traitements
nécessaires à la conservation de ces données à des fins historiques,
statistiques ou scientifiques, dans les conditions prévues au livre II du code
du patrimoine ou à la réutilisation de ces données à des fins statistiques dans
les conditions de l’article 7 bis de la loi no 51-711
du 7 juin 1951 sur l’obligation, la coordination et le secret en matière
de statistiques. Ces dispositions ne s’appliquent pas non plus lorsque la
personne concernée est déjà informée ou quand son information se révèle
impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la
démarche.
« II bis. – Si les
données à caractère personnel recueillies sont appelées à faire l’objet à bref
délai d’un procédé d’anonymisation préalablement reconnu conforme aux
dispositions de la présente loi par la Commission nationale de l’informatique
et des libertés, les informations délivrées par le responsable du traitement à
la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du
I.
« III. – Les dispositions
du I ne s’appliquent pas aux données recueillies dans les conditions prévues au
II et utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et
intéressant la sûreté de l’Etat, la défense, la sécurité publique ou ayant pour
objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la
mesure où une telle limitation est nécessaire au respect des fins poursuivies
par le traitement.
« IV. – Les dispositions
du présent article ne s’appliquent pas aux traitements de données ayant pour
objet la prévention, la recherche, la constatation ou la poursuite
d’infractions pénales.
« Art. 33. – Non
modifié……………………………………………………………..
« Art. 34. – Non
modifié……………………………………………………………..
« Art. 35. – Non
modifié……………………………………………………………..
« Art. 36. – Les
données à caractère personnel ne peuvent être conservées au-delà de la durée
prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins
historiques, statistiques ou scientifiques ; le choix des données ainsi
conservées est opéré dans les conditions prévues à 1’article L. 212-4 du
code du patrimoine.
« Les traitements dont la finalité
se limite à assurer la conservation à long terme de documents d’archives dans
le cadre du livre II du même code sont dispensés des formalités préalables à la
mise en œuvre des traitements prévues au chapitre IV de la présente loi.
« Il peut être procédé à un
traitement ayant des finalités autres que celles mentionnées au premier
alinéa :
« – soit avec l’accord exprès
de la personne concernée ;
« – soit avec l’autorisation de
la Commission nationale de l’informatique et des libertés ;
« – soit dans les conditions
prévues au 6° du II et au III de l’article 8 s’agissant de données
mentionnées au I de ce même article.
« Art. 37. – Les
dispositions de la présente loi ne font pas obstacle à l’application, au
bénéfice de tiers, des dispositions du titre Ier de la loi no 78-753
du 17 juillet 1978 portant diverses mesures d’amélioration des relations
entre l’administration et le public et diverses dispositions d’ordre
administratif, social et fiscal et des dispositions du livre II du code du
patrimoine.
« En conséquence, ne peut être
regardé comme un tiers non autorisé au sens de l’article 34 le titulaire
d’un droit d’accès aux documents administratifs ou aux archives publiques
exercé conformément à la loi no 78-753 du 17 juillet 1978
précitée et au livre II du même code.
« Droits des personnes à l’égard des
traitements de données
à caractère personnel
« Art. 38. – Non
modifié……………………………………………………………………
« Art. 39. – I. – Toute
personne physique justifiant de son identité a le droit d’interroger le
responsable d’un traitement de données à caractère personnel en vue
d’obtenir :
« 1° La confirmation que des
données à caractère personnel la concernant font ou ne font pas l’objet de ce
traitement ;
« 2° Des informations relatives
aux finalités du traitement, aux catégories de données à caractère personnel
traitées et aux destinataires ou aux catégories de destinataires auxquels les
données sont communiquées ;
« 2° bis Le cas échéant,
des informations relatives aux transferts de données à caractère personnel
envisagés à destination d’un Etat non membre de la Communauté européenne ;
« 3° La communication, sous une
forme accessible, des données à caractère personnel qui la concernent ainsi que
de toute information disponible quant à l’origine de celles-ci ;
« 4° Les informations
permettant de connaître et de contester la logique qui sous-tend le traitement
automatisé en cas de décision prise sur le fondement de celui-ci et produisant
des effets juridiques à l’égard de l’intéressé. Toutefois, les informations
communiquées à la personne concernée ne doivent pas porter atteinte au droit
d’auteur au sens des dispositions du livre Ier et du titre IV du
livre III du code de la propriété intellectuelle.
« Une copie des données à caractère
personnel est délivrée à l’intéressé à sa demande. Le responsable du traitement
peut subordonner la délivrance de cette copie au paiement d’une somme qui ne
peut excéder le coût de la reproduction.
« En cas de risque de dissimulation
ou de disparition des données à caractère personnel, le juge compétent peut
ordonner, y compris en référé, toutes mesures de nature à éviter cette
dissimulation ou cette disparition.
« II. – Le responsable du
traitement peut s’opposer aux demandes manifestement abusives, notamment par
leur nombre, leur caractère répétitif ou systématique. En cas de contestation,
la charge de la preuve du caractère manifestement abusif des demandes incombe
au responsable auprès duquel elles sont adressées.
« Les dispositions du présent
article ne s’appliquent pas lorsque les données à caractère personnel sont
conservées sous une forme excluant manifestement tout risque d’atteinte à la
vie privée des personnes concernées et pendant une durée n’excédant pas celle
nécessaire aux seules finalités d’établissement de statistiques ou de recherche
scientifique ou historique. Hormis les cas mentionnés au second alinéa de
l’article 36, les dérogations envisagées par le responsable du traitement
sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée
à la Commission nationale de l’informatique et des libertés.
« Art. 40. – Toute
personne physique justifiant de son identité peut exiger du responsable d’un
traitement que soient, selon les cas, rectifiées, complétées, mises à jour,
verrouillées ou effacées les données à caractère personnel la concernant, qui
sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte,
l’utilisation, la communication ou la conservation est interdite.
« Lorsque l’intéressé en fait la
demande, le responsable du traitement doit justifier, sans frais pour le
demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa
précédent.
« En cas de contestation, la charge
de la preuve incombe au responsable auprès duquel est exercé le droit d’accès
sauf lorsqu’il est établi que les données contestées ont été communiquées par
l’intéressé ou avec son accord.
« Lorsqu’il obtient une modification
de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des
frais correspondant au coût de la copie mentionnée au I de l’article 39.
« Si une donnée a été transmise à un
tiers, le responsable du traitement doit accomplir les diligences utiles afin
de lui notifier les opérations qu’il a effectuées conformément au premier
alinéa.
« Les héritiers d’une personne
décédée justifiant de leur identité peuvent, si des éléments portés à leur
connaissance leur laissent présumer que les données à caractère personnel la
concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du
responsable de ce traitement qu’il prenne en considération le décès et procède
aux mises à jour qui doivent en être la conséquence.
« Lorsque les héritiers en font la
demande, le responsable du traitement doit justifier, sans frais pour le
demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa
précédent.
« Art. 41. – Non
modifié…………………………………………………………... »
« Art. 42. – Non
modifié…………………………………………………………... »
Le chapitre VI de la loi no 78-17
du 6 janvier 1978 précitée est ainsi rédigé :
« Le contrôle de la
mise en œuvre des traitements
« Art. 44. – I. – Les
membres de la Commission nationale de l’informatique et des libertés ainsi que
les agents de ses services habilités dans les conditions définies au troisième
alinéa de l’article 19 ont accès, de 6 heures à 21 heures, pour
l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou
établissements servant à la mise en œuvre d’un traitement de données à
caractère personnel et qui sont à usage professionnel, à l’exclusion des
parties de ceux-ci affectées au domicile privé.
« Le procureur de la République
territorialement compétent en est préalablement informé.
« II. – En cas
d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec
l’autorisation du président du tribunal de grande instance dans le ressort
duquel sont situés les locaux à visiter ou du juge délégué par lui.
« Ce magistrat est saisi à la
requête du président de la commission. Il statue par une ordonnance motivée,
conformément aux dispositions prévues aux articles 493 à 498 du nouveau
code de procédure civile. La procédure est sans représentation obligatoire.
« La visite s’effectue sous
l’autorité et le contrôle du juge qui l’a autorisée. Celui-ci peut se rendre
dans les locaux durant l’intervention. A tout moment, il peut décider l’arrêt
ou la suspension de la visite.
« III. – Les membres de la
commission et les agents mentionnés au premier alinéa du I peuvent demander
communication de tous documents nécessaires à l’accomplissement de leur
mission, quel qu’en soit le support, et en prendre copie ; ils peuvent
recueillir, sur place ou sur convocation, tout renseignement et toute
justification utiles ; ils peuvent accéder aux programmes informatiques et
aux données, ainsi qu’en demander la transcription par tout traitement
approprié dans des documents directement utilisables pour les besoins du
contrôle.
« Ils peuvent, à la demande du
président de la commission, être assistés par des experts désignés par
l’autorité dont ceux-ci dépendent.
« Seul un médecin peut requérir la
communication de données médicales individuelles incluses dans un traitement
nécessaire aux fins de la médecine préventive, de la recherche médicale, des
diagnostics médicaux, de l’administration de soins ou de traitements, ou à la
gestion de service de santé, et qui est mis en œuvre par un membre d’une
profession de santé.
« Il est dressé contradictoirement
procès-verbal des vérifications et visites menées en application du présent
article.
« IV (nouveau). – Pour
les traitements intéressant la sûreté de l’Etat et qui sont dispensés de la
publication de l'acte réglementaire qui les autorise en application du III de
l’article 26, le décret en Conseil d’Etat qui prévoit cette dispense peut
également prévoir que le traitement n’est pas soumis aux dispositions du
présent article ».
Le chapitre VII de la loi no 78-17
du 6 janvier 1978 précitée est ainsi rédigé :
« Sanctions
prononcées par la Commission nationale
de l’informatique et des libertés
« Art. 45. – I. – La
Commission nationale de l’informatique et des libertés peut prononcer un
avertissement à l’égard du responsable d’un traitement qui ne respecte pas les
obligations découlant de la présente loi. Elle peut également mettre en demeure
ce responsable de faire cesser le manquement constaté dans un délai qu’elle
fixe.
« Si le responsable d’un traitement
ne se conforme pas à la mise en demeure qui lui est adressée, la commission
peut prononcer à son encontre, après une procédure contradictoire, les
sanctions suivantes :
« 1° Une sanction pécuniaire,
dans les conditions prévues par l’article 47, à l’exception des cas où le
traitement est mis en œuvre par l’Etat ;
« 2° Une injonction de cesser
le traitement, lorsque celui-ci relève des dispositions de l’article 22,
ou un retrait de l’autorisation accordée en application de l’article 25.
« II. – En cas d’urgence,
lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées
entraîne une violation des droits et libertés mentionnés à l’article 1er,
la commission peut, après une procédure contradictoire :
« 1° Décider l’interruption de
la mise en œuvre du traitement, pour une durée maximale de trois mois, si le
traitement n’est pas au nombre de ceux qui sont mentionnés au I et au II de
l’article 26, ou de ceux mentionnés à l’article 27 mis en œuvre par
l’Etat ;
« 1° bis (nouveau) Décider le
verrouillage de certaines des données à caractère personnel traitées, pour une
durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui
sont mentionnés au I et au II de l’article 26 ;
« 2° Informer le Premier
ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire
cesser la violation constatée, si le traitement en cause est au nombre de ceux
qui sont mentionnés au I et au II de l’article 26 ; le Premier
ministre fait alors connaître à la commission les suites qu’il a données à
cette information au plus tard quinze jours après l’avoir reçue.
« III. – En cas d’atteinte
grave et immédiate aux droits et libertés mentionnés à l’article 1er,
le président de la commission peut demander, par la voie du référé, à la
juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure
de sécurité nécessaire à la sauvegarde de ces droits et libertés.
« Art. 46. – Les
sanctions prévues au I et au 1° du II de l’article 45 sont prononcées sur
la base d’un rapport établi par l’un des membres de la Commission nationale de
l’informatique et des libertés, désigné par le président de celle-ci parmi les
membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au
responsable du traitement, qui peut déposer des observations et se faire
représenter ou assister. Le rapporteur peut présenter des observations orales à
la commission mais ne prend pas part à ses délibérations. La commission peut
entendre toute personne dont l’audition lui paraît susceptible de contribuer
utilement à son information.
« La commission peut rendre publics
les avertissements qu’elle prononce. Elle peut également, en cas de mauvaise
foi du responsable du traitement, ordonner l’insertion des autres sanctions
qu’elle prononce dans des publications, journaux et supports qu’elle désigne.
Les frais sont supportés par les personnes sanctionnées.
« Les décisions prises par la
commission au titre de l’article 45 sont motivées et notifiées au
responsable du traitement. Les décisions prononçant une sanction peuvent faire
l’objet d’un recours de pleine juridiction devant le Conseil d’Etat.
« Art. 47. – Non
modifié…………………………………………………………… »
« Art. 48. – Non
modifié…………………………………………………………… »
« Art. 49. – Non
modifié…………………………………………………………… »
La loi no 78-17 du
6 janvier 1978 précitée est complétée par un chapitre VIII ainsi
rédigé :
« Dispositions
pénales
« Art. 50. – Non
modifié……………………………………………………………………
« Art. 51. – Est
puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver
l’action de la Commission nationale de l’informatique et des libertés :
« 1° Soit en s’opposant à
l’exercice des missions confiées à ses membres ou aux agents habilités en
application du dernier alinéa de l’article 19 ;
« 2° Soit en refusant de communiquer
à ses membres ou aux agents habilités en application du dernier alinéa de
l’article 19 les renseignements et documents utiles à leur mission, ou en
dissimulant lesdits documents ou renseignements, ou en les faisant
disparaître ;
« 3° Soit en communiquant des
informations qui ne sont pas conformes au contenu des enregistrements tel qu’il
était au moment où la demande a été formulée ou qui ne présentent pas ce
contenu sous une forme directement accessible.
« Art. 52. – Non modifié »………………………………………………………………….
…………………………………………………………………………………………………...
Article additionnel après l’article 10
La loi n° 78-17 du 6 janvier
1978 précitée est complétée par un chapitre XI ainsi rédigé :
« Traitements de
données à caractère personnel
aux fins de journalisme et d’expression littéraire et artistique
« Art. 67. – Le
5° de l’article 6, les articles 8, 9, 22, les 1° et 3° du I de
l’article 25, les articles 32, 39, 40 et 68 à 70 ne s’appliquent pas
aux traitements de données à caractère personnel mis en œuvre aux seules
fins :
« 1° D’expression littéraire et
artistique ;
« 2° D’exercice, à titre
professionnel, de l’activité de journaliste, dans le respect des règles
déontologiques de cette profession.
« Toutefois, pour les traitements
mentionnés au 2°, la dispense de l’obligation de déclaration prévue par
l’article 22 est subordonnée à la désignation par le responsable du
traitement d’un correspondant à la protection des données appartenant à un
organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des
traitements mis en œuvre par ce responsable et d’assurer, d’une manière
indépendante, l’application des dispositions de la présente loi. Cette
désignation est portée à la connaissance de la Commission nationale de
l’informatique et des libertés.
« En cas de non-respect des
dispositions de la loi applicables aux traitements prévus par le présent
article, le responsable du traitement est enjoint par la Commission nationale
de l’informatique et des libertés de se mettre en conformité avec la loi. En
cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses
fonctions sur demande, ou après consultation, de la Commission nationale de
l’informatique et des libertés.
« Les dispositions des alinéas
précédents ne font pas obstacle à l’application des dispositions du code civil,
des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui
prévoient les conditions d’exercice du droit de réponse et qui préviennent,
limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée
et à la réputation des personnes. »
Article 12
…………………………………………...Conforme..…….……………………………………
…………………………………………………………………………………………………...
DISPOSITIONS
MODIFIANT
D’AUTRES TEXTES LÉGISLATIFS
Article 14
…………………………………………...Conforme..…….……………………………………
…………………………………………………………………………………………………...
Article 15 ter
…………………………………….Suppression
conforme…………………………………..
[Pour coordination]
I et II. – Non modifiés………………………………………………………………………
III. – Dans la première phrase
du dernier alinéa de l’article L. 262-33 du code de l’action sociale
et des familles, la référence : « à l’article 15 » est
remplacée par la référence : « au chapitre IV ».
IV à VII. – Non modifiés…………………………………………………………………...
VIII. – Dans le dernier alinéa
de l’article L. 115-2 du code de la sécurité sociale, la
référence : « l’article 15 » est remplacée par la
référence : « l’article 27 ».
IX à
XI. – Non modifiés…………………………………………………………………………
Article 15 quinquies (nouveau)
I. – Dans l’article
L. 262-51 du code de l’action sociale et des familles, les mots :
« de l’article 15 » sont remplacés par les mots : « du
chapitre IV ».
II. – Dans le premier alinéa de
l’article 60-2 du code de procédure pénale, les mots : « de
l’article 31 et à l’article 33 » sont remplacés par les
mots : « du 2° du II de l’article 8 et au 2° de
l’article 67 ».
III. – Dans le premier alinéa
de l’article 706-53-11 du code de procédure pénale, la référence :
« 19 » est remplacée par la référence : « 30 ».
IV. – Dans la deuxième phrase
du troisième alinéa de l’article L. 1111-8 du code de la santé publique,
la référence : « 29 » est remplacée par la référence :
« 34 ».
V. – Dans le dernier alinéa de
l’article L. 115-7 du code de la sécurité sociale, les mots :
« autorisée dans les conditions prévues à l’article 15 » sont
remplacés par les mots : « selon les modalités prévues au
chapitre IV ».
VI. – L’avant-dernier alinéa de
l’article L. 161-28-1 du code de la sécurité sociale est ainsi
rédigé :
« Cet arrêté est pris après avis
motivé de la Commission nationale de l’informatique et des libertés. »
VII. – Le début du septième
alinéa de l’article 7 bis de la loi no 51-711 du
7 juin 1951 sur l’obligation, la coordination et le secret en matière de
statistiques est ainsi rédigé : « Les cessions portant sur des
données à caractère personnel, telles qu’elles sont définies à l’article 2
de la loi... (le reste sans changement). »
VIII. – L’article L. 212-4
du code du patrimoine est ainsi modifié :
1° Le premier alinéa est ainsi
rédigé :
« Lorsque les documents visés à
l’article L. 211-4 comportent des données à caractère personnel collectées dans
le cadre de traitements automatisés régis par la loi no 78-17
du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
ces données font l’objet, à l’expiration de la durée prévue au 5° de
l’article 6 de ladite loi, d’un tri pour déterminer les données destinées
à être conservées et celles, dépourvues d’intérêt scientifique, statistique ou
historique, destinées à être détruites. » ;
2° Dans le dernier alinéa, les
mots : « d’informations » sont remplacés par les mots :
« de données ».
IX. – Dans le dernier alinéa de
l’article L. 333-4 du code de la consommation, la référence :
« 35 » est remplacée par la référence : « 39 ».
Article 15 sexies (nouveau)
La première phrase de l’article 24
de la loi no 2003-239 du 18 mars 2003 pour la sécurité
intérieure est remplacée par deux phrases ainsi rédigées :
« Les données contenues dans les
traitements automatisés de données à caractère personnel gérés par les services
de police et de gendarmerie nationales peuvent être transmises, dans le cadre
des engagements internationaux régulièrement introduits dans l’ordre juridique
interne, à des organismes de coopération internationale en matière de police
judiciaire ou à des services de police étrangers, qui représentent un niveau de
protection suffisant de la vie privée, des libertés et des droits fondamentaux
des personnes à l’égard du traitement dont ces données font l’objet ou peuvent
faire l’objet. Le caractère suffisant du niveau de protection assuré par un
Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet
Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques
propres du traitement, telles que ses fins et sa durée, ainsi que de la nature,
de l’origine et de la destination des données traitées. »
TITRE III (avant l’article 16 bis)
DISPOSITIONS
TRANSITOIRES
…………………………………………………………………………………………………...
Article 16
bis (nouveau)
Les responsables de traitements non
automatisés de données à caractère personnel intéressant la sûreté de l’Etat,
la défense et
la sécurité publique, dont la mise en
œuvre est régulièrement intervenue avant la date de publication de la présente
loi disposent, pour mettre leurs traitements en conformité avec les articles 6
à 9 de la loi no 78-17 du 6 janvier 1978 précitée, dans
leur rédaction issue de la présente loi, d’un délai allant jusqu’au
24 octobre 2010.
Article 17
…………………………………………...Conforme..…….……………………………………
Délibéré en séance publique, à Paris, le
29 avril 2004.
Le Président,
Signé : Jean-Louis DEBRÉ