Protection des personnes physiques à l'éégard des traitements de données à caractère personnel
N°
203
SÉNAT
SESSION ORDINAIRE DE 2001-2002
Annexe au procès-verbal de la séance du 31 janvier 2002
PROJET DE LOI
ADOPTÉ PAR L'ASSEMBLÉE NATIONALE,
relatif à la
protection des personnes physiques
à
l'égard des
traitements de données à caractère
personnel
et modifiant la
loi n° 78-17
du
6 janvier 1978
relative à l'
informatique
, aux
fichiers
et aux
libertés
,
TRANSMIS PAR
M. LE PREMIER MINISTRE
À
M. LE PRÉSIDENT DU SÉNAT
(Renvoyé à la commission des Lois
constitutionnelles, de législation, du suffrage universel, du
Règlement et d'administration générale sous réserve
de la constitution éventuelle d'une commission spéciale dans les
conditions prévues par le Règlement).
L'Assemblée nationale a adopté le projet de loi dont
la teneur suit :
Voir les
numéros
:
Assemblée nationale
(
11
ème
législ.) :
3250, 3526
et T.A.
780
|
Droits de l'homme et libertés publiques. |
TITRE
I
er
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE A L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS
Article 1
er
Les
articles 2 à 5 de la loi n° 78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés sont ainsi
rédigés :
«
Art. 2.
- La présente loi s'applique aux traitements
automatisés de données à caractère personnel, ainsi
qu'aux traitements non automatisés de données à
caractère personnel contenues ou appelées à figurer dans
des fichiers, à l'exception des traitements mis en oeuvre pour
l'exercice d'activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l'article 5.
« Constitue une donnée à caractère personnel
toute information relative à une personne physique identifiée ou
qui peut être identifiée, directement ou indirectement, par
référence à un numéro d'identification ou à
un ou plusieurs éléments qui lui sont propres.
« Constitue un traitement de données à caractère
personnel toute opération ou ensemble d'opérations portant sur de
telles données, quel que soit le procédé utilisé,
et notamment la collecte, l'enregistrement, l'organisation, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, diffusion ou toute autre forme de mise
à disposition, le rapprochement ou l'interconnexion, ainsi que le
verrouillage, l'effacement ou la destruction.
« Constitue un fichier de données à caractère
personnel tout ensemble structuré et stable de données à
caractère personnel accessibles selon des critères
déterminés.
« Est la personne concernée par un traitement de
données à caractère personnel celle à laquelle se
rapportent les données qui font l'objet du traitement.
«
Art. 3.
- I. - Le responsable d'un traitement de
données à caractère personnel est, sauf désignation
expresse par les dispositions législatives ou réglementaires
relatives à ce traitement, la personne, l'autorité publique, le
service ou l'organisme qui détermine ses finalités et ses moyens.
« II. - Le destinataire d'un traitement de données à
caractère personnel est toute personne habilitée à
recevoir communication de ces données autre que la personne
concernée, le responsable du traitement, le sous-traitant et les
personnes qui, en raison de leurs fonctions, sont chargées de traiter
les données. Toutefois, les autorités légalement
habilitées, dans le cadre d'une mission particulière ou de
l'exercice d'un droit de communication, à demander au responsable du
traitement de leur communiquer des données à caractère
personnel ne constituent pas des destinataires.
«
Art. 4.
- Les dispositions de la présente loi ne sont
pas applicables aux copies temporaires qui sont faites dans le cadre des
activités techniques de transmission et de fourniture d'accès
à un réseau numérique, en vue du stockage automatique,
intermédiaire et transitoire des données et à seule fin de
permettre à d'autres destinataires du service le meilleur accès
possible aux informations transmises.
«
Art. 5.
- I. - Sont soumis à la présente loi
les traitements de données à caractère personnel :
« 1° Dont le responsable est établi sur le territoire
français. Le responsable d'un traitement qui exerce une activité
sur le territoire français dans le cadre d'une installation, quelle que
soit sa forme juridique, y est considéré comme
établi ;
« 2° Dont le responsable, sans être établi sur le
territoire français ou sur celui d'un autre Etat membre de la
Communauté européenne, recourt à des moyens de traitement
situés sur le territoire français, à l'exclusion des
traitements qui ne sont utilisés qu'à des fins de transit sur ce
territoire ou sur celui d'un autre Etat membre de la Communauté
européenne.
« II. - Pour les traitements mentionnés au 2° du I, le
responsable désigne à la Commission nationale de l'informatique
et des libertés un représentant établi sur le territoire
français, qui se substitue à lui dans l'accomplissement des
obligations prévues par la présente loi ; cette
désignation ne fait pas obstacle aux actions qui pourraient être
introduites contre lui. »
Article 2
Le chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE II
« Conditions de licéité des traitements de
données
à caractère personnel
« Section 1
« Dispositions générales
«
Art. 6.
- Un traitement ne peut porter que
sur
des données qui satisfont aux conditions suivantes :
« 1° Les données sont collectées et
traitées de manière loyale et licite ;
« 2° Elles sont collectées pour des finalités
déterminées, explicites et légitimes et ne sont pas
traitées ultérieurement de manière incompatible avec ces
finalités. Toutefois, un traitement ultérieur de données
à des fins statistiques ou à des fins de recherche scientifique
ou historique est considéré comme compatible avec les
finalités initiales de la collecte des données, s'il est
réalisé dans le respect des principes et des procédures
prévus au présent chapitre, au chapitre IV et à la section
1 du chapitre V et s'il n'est pas utilisé pour prendre des
décisions à l'égard des personnes concernées ;
« 3° Elles sont adéquates, pertinentes et non excessives
au regard de leurs finalités et de leurs traitements
ultérieurs ;
« 4° Elles sont exactes, complètes et, si
nécessaire, mises à jour ; les mesures appropriées
doivent être prises pour que les données inexactes ou
incomplètes au regard des finalités pour lesquelles elles sont
collectées ou traitées soient effacées ou
rectifiées ;
« 5° Elles sont conservées sous une forme permettant
l'identification des personnes concernées pendant une durée qui
n'excède pas la durée nécessaire aux finalités pour
lesquelles elles sont collectées et traitées.
«
Art. 7.
- Un traitement de données à
caractère personnel doit soit avoir reçu le consentement de la
personne concernée, soit être nécessaire à l'une des
conditions suivantes :
« 1° Au respect d'une obligation légale incombant au
responsable du traitement ;
« 2° A la sauvegarde de la vie de la personne
concernée ;
« 3° A l'exécution d'une mission de service public dont
est investi le responsable ou le destinataire du traitement ;
« 4° A l'exécution, soit d'un contrat auquel la personne
concernée est partie, soit de mesures précontractuelles prises
à la demande de celle-ci ;
« 5° A la réalisation de l'intérêt
légitime poursuivi par le responsable du traitement ou par le
destinataire, sous réserve de ne pas méconnaître
l'intérêt ou les droits et libertés fondamentaux de la
personne concernée.
« Section 2
« Dispositions propres à certaines catégories de
données
«
Art. 8.
- I. - Il est interdit, sauf
consentement
exprès de la personne concernée, de collecter ou de traiter des
données à caractère personnel qui font apparaître,
directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l'appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à
l'orientation sexuelle de celles-ci.
« II. - Dans la mesure où la finalité du traitement
l'exige pour certaines catégories de données, ne sont pas soumis
à l'interdiction prévue au I :
« 1° Le traitement qui est nécessaire à la
sauvegarde de la vie humaine, mais auquel la personne concernée ne peut
donner son consentement par suite d'une incapacité juridique ou d'une
impossibilité matérielle ;
« 2° Le traitement qui est mis en oeuvre par une association ou
tout autre organisme à but non lucratif et à caractère
religieux, philosophique, politique ou syndical, pour les seules données
mentionnées au I correspondant à l'objet dudit organisme, sous
réserve qu'il ne concerne que les membres de cet organisme et, le cas
échéant, les personnes qui entretiennent avec celui-ci des
contacts réguliers dans le cadre de son activité, et qu'il ne
porte que sur des données qui ne sont pas communiquées à
des tiers, à moins que les personnes concernées n'y consentent
expressément ;
« 3° Le traitement qui porte sur des données rendues
publiques par la personne concernée ;
« 4° Le traitement qui est nécessaire à la
constatation, à l'exercice ou à la défense d'un droit en
justice ;
« 5° Le traitement qui est nécessaire aux fins de la
médecine préventive, des diagnostics médicaux, de
l'administration de soins ou de traitements, ou de la gestion de services de
santé et qui est mis en oeuvre par un membre d'une profession de
santé, ou par une autre personne à laquelle s'impose en raison de
ses fonctions l'obligation de secret professionnel prévue par
l'article 226-13 du code pénal ;
« 6°
(nouveau)
Le traitement qui est nécessaire
à la recherche dans le domaine de la santé selon les
modalités prévues au chapitre IX.
« III. - Lorsque l'intérêt public l'impose et dans les
conditions prévues au I de l'article 25 ou au II de l'article 26,
d'autres traitements ne sont pas soumis à l'interdiction prévue
au I du présent article.
«
Art. 9.
- Les traitements de données à
caractère personnel relatives aux infractions, condamnations et mesures
de sûreté ne peuvent être mis en oeuvre que par :
« 1° Les juridictions, les autorités publiques et les
personnes morales gérant un service public, agissant dans le cadre de
leurs attributions légales ;
« 2° Les auxiliaires de justice, pour les stricts besoins de
l'exercice des missions qui leur sont confiées par la loi.
«
Art. 10.
- Aucune décision de justice impliquant une
appréciation sur le comportement d'une personne ne peut avoir pour
fondement un traitement automatisé de données à
caractère personnel destiné à évaluer certains
aspects de sa personnalité.
« Aucune autre décision produisant des effets juridiques
à l'égard d'une personne ne peut être prise sur le seul
fondement d'un traitement automatisé de données destiné
à définir le profil de l'intéressé ou à
évaluer certains aspects de sa personnalité.
« Une décision prise dans le cadre de la conclusion ou de
l'exécution d'un contrat et pour laquelle la personne concernée a
été mise à même de présenter ses observations
n'est pas regardée comme prise sur le seul fondement d'un traitement
automatisé. »
Article 3
Le chapitre III de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE III
« La Commission nationale de l'informatique et des
libertés
«
Art. 11.
- La Commission nationale de
l'informatique et des libertés est une autorité administrative
indépendante. Elle exerce les missions suivantes :
« 1° A
(nouveau).
- Elle informe toutes les
personnes concernées de leurs droits et obligations ;
« 1° Elle veille à ce que les traitements de
données à caractère personnel soient mis en oeuvre
conformément aux dispositions de la présente loi.
« A ce titre :
«
a)
Elle autorise les traitements mentionnés aux
articles 25, donne un avis sur les traitements mentionnés aux
articles 26 et 27 et reçoit les déclarations relatives aux
autres traitements ;
«
b)
Elle établit et publie les normes
mentionnées au I de l'article 24 et édicte, le cas
échéant, des règlements types en vue d'assurer la
sécurité des systèmes ;
«
c)
Elle reçoit les réclamations,
pétitions et plaintes relatives à la mise en oeuvre des
traitements de données à caractère personnel et informe
leurs auteurs des suites données à celles-ci ;
«
d)
Elle répond aux demandes d'avis des pouvoirs
publics et, le cas échéant, des juridictions, et conseille les
personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre
des traitements automatisés de données à caractère
personnel ;
«
e)
Elle informe sans délai le procureur de la
République, conformément à l'article 40 du code de
procédure pénale, des infractions dont elle a connaissance, et
peut présenter des observations dans les procédures
pénales, dans les conditions prévues à
l'article 52 ;
«
f)
Elle peut, par décision particulière,
charger un ou plusieurs de ses membres ou des agents de ses services, dans les
conditions prévues à l'article 44, de procéder
à des vérifications portant sur tous traitements et, le cas
échéant, d'obtenir des copies de tous documents ou supports
d'information utiles à ses missions ;
«
g)
Elle peut, dans les conditions définies au
chapitre VII, prononcer à l'égard d'un responsable de traitement
l'une des mesures prévues à l'article 45 ;
«
h)
Elle répond aux demandes d'accès concernant
les traitements mentionnés aux articles 41 et 42 ;
« 2° A la demande des organismes professionnels regroupant des
responsables de traitements :
«
a)
Elle donne un avis sur la conformité aux
dispositions de la présente loi des projets de règles
professionnelles et des systèmes et procédures tendant à
la protection des personnes à l'égard du traitement de
données à caractère personnel, qui lui sont soumis ;
«
b)
Elle porte une appréciation sur les garanties
offertes par des règles professionnelles qu'elle a
précédemment reconnues conformes aux dispositions de la
présente loi, au regard du respect des droits fondamentaux des
personnes ;
«
c)
Elle délivre un label à des produits ou
à des procédures tendant à la protection des personnes
à l'égard du traitement des données à
caractère personnel, après qu'elles les a reconnus conformes aux
dispositions de la présente loi ;
« 3° Elle se tient informée de l'évolution des
technologies de l'information et des conséquences qui en
résultent pour l'exercice des libertés mentionnées
à l'article 1er ;
« A ce titre :
«
a)
Elle est consultée sur tout projet de loi ou de
décret relatif à la protection des personnes à
l'égard des traitements informatiques ;
«
b)
Elle propose au Gouvernement les mesures
législatives ou réglementaires d'adaptation de la protection des
libertés à l'évolution des procédés et
techniques informatiques ;
«
c)
Elle peut être associée, à la demande
du Premier ministre, à la préparation de la position
française dans les négociations internationales relatives aux
traitements de données à caractère personnel.
« Pour l'accomplissement de ses missions, la commission peut
procéder par voie de recommandation et prendre des décisions
individuelles ou réglementaires dans les cas prévus par la
présente loi.
« La commission présente chaque année au
Président de la République et au Parlement un rapport public
rendant compte de l'exécution de sa mission.
«
Art. 12.
- La Commission nationale de l'informatique et des
libertés dispose des crédits nécessaires à
l'accomplissement de ses missions. Les dispositions de la loi du
10 août 1922 relative au contrôle financier ne sont pas
applicables à leur gestion. Les comptes de la commission sont
présentés au contrôle de la Cour des comptes.
«
Art. 13.
- I. - La Commission nationale de l'informatique et
des libertés est composée de dix-sept membres :
« 1° Deux députés et deux sénateurs,
désignés respectivement par l'Assemblée nationale et par
le Sénat ;
« 2° Deux membres du Conseil économique et social,
élus par cette assemblée ;
« 3° Deux membres ou anciens membres du Conseil d'Etat, d'un
grade au moins égal à celui de conseiller, élus par
l'assemblée générale du Conseil d'Etat ;
« 4° Deux membres ou anciens membres de la Cour de cassation,
d'un grade au moins égal à celui de conseiller, élus par
l'assemblée générale de la Cour de cassation ;
« 5° Deux membres ou anciens membres de la Cour des comptes,
d'un grade au moins égal à celui de conseiller maître,
élus par l'assemblée générale de la Cour des
comptes ;
« 6° Trois personnalités nommées par
décret, dont deux qualifiées pour leur connaissance de
l'informatique ;
« 7° Deux personnalités qualifiées pour leur
connaissance de l'informatique, désignées respectivement par le
Président de l'Assemblée nationale et par le Président du
Sénat.
« La commission élit en son sein un président et deux
vice-présidents, dont un vice-président
délégué.
« II. - Le mandat des membres de la commission mentionnés aux
3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il
est renouvelable une fois. Les membres mentionnés aux 1° et 2°
sont désignés après chaque renouvellement de
l'assemblée à laquelle ils appartiennent ; ils peuvent
être membres de la commission pendant une durée maximum de dix ans.
« Le membre de la commission qui cesse d'exercer ses fonctions en
cours de mandat est remplacé, dans les mêmes conditions, pour la
durée de son mandat restant à courir.
« Sauf démission, il ne peut être mis fin aux fonctions
d'un membre qu'en cas d'empêchement constaté par la commission
dans les conditions qu'elle définit.
« III. - La commission établit un règlement
intérieur. Ce règlement fixe les règles relatives à
l'organisation et au fonctionnement de la commission. Il précise
notamment les règles relatives aux délibérations, à
l'instruction des dossiers et à leur présentation devant la
commission.
«
Art. 14.
- I. - La qualité de membre de la commission
est incompatible avec celle de membre du Gouvernement.
« II. - Aucun membre de la commission ne peut :
« - participer à une délibération ou
procéder à des vérifications relatives à un
organisme au sein duquel il détient un intérêt, exerce des
fonctions ou détient un mandat ;
« - participer à une délibération ou
procéder à des vérifications relatives à un
organisme au sein duquel il a, au cours des dix-huit mois
précédant la délibération ou les
vérifications, détenu un intérêt, exercé des
fonctions ou détenu un mandat.
« III. - Tout membre de la commission doit informer le
président des intérêts qu'il détient ou vient
à détenir, des fonctions qu'il exerce ou vient à exercer
et de tout mandat qu'il détient ou vient à détenir au sein
d'une personne morale. Ces informations, ainsi que celles concernant le
président, sont tenues à la disposition des membres de la
commission.
« Le président de la commission prend les mesures
appropriées pour assurer le respect des obligations résultant de
l'alinéa précédent.
«
Art. 15.
- Sous réserve des compétences du
bureau et de la formation restreinte, la commission se réunit en
formation plénière.
« En cas de partage égal des voix, la voix du président
est prépondérante.
« La commission peut charger le président ou le
vice-président délégué d'exercer celles de ses
attributions mentionnées :
« - au troisième alinéa du I de l'article 23 ;
« - aux
e
et
f
du 1° de l'article 11 ;
« - aux articles 41 et 42 ;
« - à l'article 54 ;
« - aux articles 63 et 64 ;
« - au premier alinéa de l'article 70.
«
Art. 16.
- Le bureau de la commission est composé du
président et des deux vice-présidents.
« Il peut être chargé par la commission d'exercer les
attributions de celle-ci mentionnées :
« - au troisième alinéa de l'article 19 ;
« - au second alinéa de l'article 70.
« Le bureau peut aussi être chargé de prendre, en cas
d'urgence, les décisions mentionnées au premier alinéa du
I de l'article 45.
«
Art. 17.
- La formation restreinte de la commission prononce
les mesures prévues au I et au 1° du II de l'article 45.
« Cette formation est composée du président, des
vice-présidents et de trois membres élus par la commission en son
sein pour la durée de leur mandat.
« En cas de partage égal des voix, la voix du président
est prépondérante.
«
Art. 18.
- Un commissaire du Gouvernement,
désigné par le Premier ministre, siège auprès de la
commission. Des commissaires adjoints peuvent être désignés
dans les mêmes conditions.
« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations ; il est rendu destinataire de tous ses avis et décisions.
« Il peut, sauf en matière de sanctions,
provoquer
une seconde délibération.
«
Art. 19.
- La commission dispose de services qui sont
dirigés par le président ou le vice-président
délégué et placés sous son autorité.
« Les agents de la commission sont nommés par le
président ou le vice-président délégué.
« Ceux d'entre eux qui peuvent être appelés à
participer à la mise en oeuvre des missions de vérification
mentionnées à l'article 44 doivent y être
habilités par la commission ; cette habilitation ne dispense pas de
l'application des dispositions définissant les procédures
autorisant l'accès aux secrets protégés par la loi.
«
Art. 20.
- Les membres et les agents de la commission sont
astreints au secret professionnel pour les faits, actes ou renseignements dont
ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions
prévues à l'article 413-10 du code pénal et, sous
réserve de ce qui est nécessaire à l'établissement
du rapport annuel, à l'article 226-13 du même code.
«
Art. 21.
- Dans l'exercice de leurs attributions, les
membres de la commission ne reçoivent d'instruction d'aucune
autorité.
« Sauf dans les cas où elles sont astreintes au secret
professionnel, les personnes interrogées dans le cadre des
vérifications faites par la commission en application du
f
du
1° de l'article 11 sont tenues de fournir les renseignements
demandés par celle-ci pour l'exercice de ses missions. »
Article 4
Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE IV
« Formalités préalables à la mise en oeuvre
des traitements
«
Art. 22.
- I. - A l'exception de ceux qui
relèvent des dispositions prévues aux articles 25, 26 et 27,
les traitements automatisés de données à caractère
personnel font l'objet d'une déclaration auprès de la Commission
nationale de l'informatique et des libertés.
« II. - Toutefois, ne sont soumis à aucune des
formalités préalables prévues au présent
chapitre :
« 1° Les traitements ayant pour seul objet la tenue d'un
registre qui, en vertu de dispositions législatives ou
réglementaires, est destiné à l'information du public et
est ouvert à la consultation de celui-ci ou de toute personne justifiant
d'un intérêt légitime ;
« 2° Les traitements mentionnés au 2° du II de
l'article 8.
« Le responsable d'un traitement de données à
caractère personnel qui n'est soumis à aucune des
formalités prévues au présent chapitre communique à
toute personne qui en fait la demande les informations relatives à ce
traitement mentionnées aux 2° à 6° du I de
l'article 31.
« Section 1
« Déclaration
«
Art. 23.
- I. - La déclaration
comporte
l'engagement que le traitement satisfait aux exigences de la loi.
« Elle peut être adressée à la Commission
nationale de l'informatique et des libertés par voie électronique.
« La commission délivre sans délai un
récépissé, le cas échéant par voie
électronique. Le demandeur peut mettre en oeuvre le traitement
dès réception de ce récépissé ; il
n'est exonéré d'aucune de ses responsabilités.
« II. - Les traitements relevant d'un même responsable et ayant
des finalités identiques ou liées entre elles peuvent faire
l'objet d'une déclaration unique. Dans ce cas, les informations requises
en application de l'article 30 ne sont fournies pour chacun des
traitements que dans la mesure où elles lui sont propres.
«
Art. 24.
- I. - Pour les catégories les plus
courantes de traitements de données à caractère personnel,
dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie
privée ou aux libertés, la Commission nationale de l'informatique
et des libertés établit et publie, après avoir reçu
le cas échéant les propositions formulées par les
représentants des organismes publics et privés
représentatifs, des normes destinées à simplifier
l'obligation de déclaration.
« Ces normes précisent :
« 1° Les finalités des traitements faisant l'objet d'une
déclaration simplifiée ;
« 2° Les données ou catégories de données
traitées ;
« 3° La ou les catégories de personnes
concernées ;
« 4° Les destinataires ou catégories de destinataires
auxquels les données sont communiquées ;
« 5° La durée de conservation des données.
« Les traitements qui correspondent à l'une de ces normes font
l'objet d'une déclaration simplifiée de conformité
envoyée à la commission, le cas échéant par voie
électronique.
« II. - La commission peut définir, parmi les
catégories de traitements mentionnés au I, celles qui, compte
tenu de leurs finalités, de leurs destinataires ou catégories de
destinataires, des données traitées, de la durée de
conservation de celles-ci et des catégories de personnes
concernées, sont dispensées de déclaration.
« Dans les mêmes conditions, la commission peut autoriser les
responsables de certaines catégories de traitements à
procéder à une déclaration unique selon les dispositions
du II de l'article 23.
« Section 2
« Autorisation
«
Art. 25.
- I. - Sont mis en oeuvre
après
autorisation de la Commission nationale de l'informatique et des
libertés, à l'exclusion de ceux qui sont mentionnés aux
articles 26 et 27 :
« 1° Les traitements, automatisés ou non,
mentionnés au III de l'article 8 ;
« 2° Les traitements automatisés portant sur des
données génétiques, à l'exception de ceux d'entre
eux qui sont mis en oeuvre par des médecins ou des biologistes et qui
sont nécessaires aux fins de la médecine préventive, des
diagnostics médicaux ou de l'administration de soins ou de
traitements ;
« 3° Les traitements, automatisés ou non, portant sur des
données relatives aux infractions, condamnations ou mesures de
sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de
justice pour les besoins de leurs missions de défense des personnes
concernées ;
« 4° Les traitements automatisés ayant pour
finalité de sélectionner les personnes susceptibles de
bénéficier d'un droit, d'une prestation ou d'un contrat alors que
les personnes en cause ne sont exclues de ce bénéfice par aucune
disposition légale ou réglementaire ;
« 5° Les traitements automatisés ayant pour objet :
« - l'interconnexion de fichiers relevant d'une ou de plusieurs
personnes morales gérant un service public et dont les finalités
correspondent à des intérêts publics
différents ;
« - l'interconnexion de fichiers relevant d'autres personnes et dont
les finalités principales sont différentes ;
« 6° Les traitements portant sur des données parmi
lesquelles figure le numéro d'inscription des personnes au
répertoire national d'identification des personnes physiques, ceux qui
requièrent une consultation de ce répertoire sans inclure le
numéro d'inscription à celui-ci des personnes, et ceux qui
portent sur la totalité ou la quasi-totalité de la population de
la France ;
« 7° Les traitements automatisés de données
comportant des appréciations sur les difficultés sociales des
personnes ;
« 8° Les traitements automatisés comportant des
données biométriques nécessaires au contrôle de
l'identité des personnes.
« II. - Pour l'application du présent article, les traitements
qui répondent à une même finalité, portent sur des
catégories de données identiques et ont les mêmes
destinataires ou catégories de destinataires peuvent être
autorisés par une décision unique de la commission. Dans ce cas,
le responsable de chaque traitement adresse à la commission un
engagement de conformité de celui-ci à la description figurant
dans l'autorisation.
« III
(nouveau).
- La Commission nationale de
l'informatique et des libertés se prononce dans un délai de deux
mois à compter de la réception de la demande. Toutefois, ce
délai peut être renouvelé une fois sur décision de
son président lorsque la complexité du dossier le justifie.
Lorsque la commission ne s'est pas prononcée dans ces délais, la
demande d'autorisation est réputée rejetée.
«
Art. 26.
- I. - Sont autorisés par
arrêté du ou des ministres compétents, pris après
avis motivé et publié de la Commission nationale de
l'informatique et des libertés, les traitements de données
à caractère personnel mis en oeuvre pour le compte de l'Etat
et :
« 1° Qui intéressent la sûreté de l'Etat, la
défense ou la sécurité publique ;
« 2° Ou qui ont pour objet la prévention, la recherche ou
la poursuite des infractions pénales, ou l'exécution des
condamnations pénales ou des mesures de sûreté.
« L'avis de la commission est publié avec
l'arrêté autorisant le traitement.
« II. - Ceux de ces traitements qui portent sur des données
mentionnées au I de l'article 8 sont autorisés par
décret en Conseil d'Etat pris après avis motivé et
publié de la commission ; cet avis est publié avec le
décret autorisant le traitement.
« III. - Certains traitements mentionnés au I et au II peuvent
être dispensés, par décret en Conseil d'Etat, de la
publication de l'acte réglementaire qui les autorise ; pour ces
traitements, est publié, en même temps que le décret
autorisant la dispense de publication de l'acte, le sens de l'avis émis
par la commission.
« IV. - Pour l'application du présent article, les traitements
qui répondent à une même finalité, portent sur des
catégories de données identiques et ont les mêmes
destinataires ou catégories de destinataires peuvent être
autorisés par un acte réglementaire unique. Dans ce cas, le
responsable de chaque traitement adresse à la commission un engagement
de conformité de celui-ci à la description figurant dans
l'autorisation.
«
Art. 27.
- I. - Sont autorisés par décret en
Conseil d'Etat, pris après avis motivé et publié de la
Commission nationale de l'informatique et des libertés, les traitements
de données à caractère personnel mis en oeuvre pour le
compte de l'Etat, d'une personne morale de droit public ou d'une personne
morale de droit privé gérant un service public :
« 1° Qui portent sur des données parmi lesquelles figure
le numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques ;
« 2° Ou qui portent sur la totalité ou la
quasi-totalité de la population de la France.
« II. - Sont autorisés par arrêté pris
après avis motivé et publié de la Commission nationale de
l'informatique et des libertés :
« 1° Les traitements qui requièrent une consultation du
répertoire national d'identification des personnes physiques sans
inclure le numéro d'inscription à ce répertoire ;
« 2° Ceux des traitements mentionnés au I :
« - qui ne comportent aucune des données mentionnées au
I de l'article 8 ou à l'article 9 ;
« - qui n'ont pas pour objet une interconnexion entre des fichiers
ayant des fins correspondant à des intérêts publics
différents ;
« - et qui sont mis en oeuvre pour la mise à jour des
données traitées ou le contrôle de leur exactitude par des
services ayant pour mission, soit de déterminer les conditions
d'ouverture ou l'étendue d'un droit des administrés, soit
d'établir l'assiette, de contrôler ou de recouvrer des impositions
ou taxes de toute nature, soit d'établir des statistiques.
« III. - Les dispositions du IV de l'article 26 sont applicables
aux traitements relevant du présent article.
«
Art. 28.
- I. - La Commission nationale de l'informatique et
des libertés, saisie dans le cadre des articles 26 ou 27, se
prononce dans un délai de deux mois à compter de la
réception de la demande. Toutefois, ce délai peut être
renouvelé une fois sur décision du président lorsque la
complexité du dossier le justifie.
« II. - L'avis demandé à la commission sur un
traitement, qui n'est pas rendu à l'expiration du délai
prévu au I, est réputé favorable.
«
Art. 29.
- Les actes autorisant la création d'un
traitement en application des articles 25, 26 et 27 précisent :
« 1° La dénomination et la finalité du
traitement ;
« 2° Le service auprès duquel s'exerce le droit
d'accès défini au chapitre VII ;
« 3° Les catégories de données à
caractère personnel enregistrées ;
« 4° Les destinataires ou catégories de destinataires
habilités à recevoir communication de ces données ;
« 5° Le cas échéant, les dérogations
à l'obligation d'information prévues au III de l'article 32.
« Section 3
« Dispositions communes
«
Art. 30.
- I. - Les déclarations,
demandes
d'autorisation et demandes d'avis adressées à la Commission
nationale de l'informatique et des libertés en vertu des dispositions
des sections 1 et 2 précisent :
« 1° L'identité et l'adresse du responsable du traitement
ou, si celui-ci n'est établi ni sur le territoire national ni sur
celui d'un autre Etat membre de la Communauté européenne,
celle de son représentant et, le cas échéant, celle de la
personne qui présente la demande ;
« 2° La finalité du traitement et, le cas
échéant, sa dénomination, ainsi que, pour les traitements
relevant des articles 25, 26 et 27, ses caractéristiques ;
« 3° Le cas échéant, les interconnexions avec
d'autres traitements ;
« 4° Les données à caractère personnel
traitées, leur origine et les catégories de personnes
concernées par le traitement ;
« 5° La durée de conservation des informations
traitées ;
« 6° Le ou les services chargés de mettre en oeuvre le
traitement ainsi que, pour les traitements relevant des articles 25, 26 et
27, les catégories de personnes qui, en raison de leurs fonctions ou
pour les besoins du service, ont directement accès aux données
enregistrées ;
« 7° Les destinataires ou catégories de destinataires
habilités à recevoir communication des données ;
« 8° L'identité et l'adresse de la personne ou du service
auprès duquel s'exerce le droit d'accès prévu à
l'article 39, ainsi que les mesures relatives à l'exercice de ce
droit ;
« 9° Les dispositions prises pour assurer la
sécurité des traitements et des données et la garantie des
secrets protégés par la loi ;
« 10° Le cas échéant, les transferts de
données à caractère personnel envisagés à
destination d'un Etat non membre de la
Communauté européenne, sous quelque forme que ce soit.
« II. - Le responsable d'un traitement déjà
déclaré ou autorisé informe sans délai la
commission :
« - de tout changement affectant les informations mentionnées
au I ;
« - de toute suppression du traitement.
«
Art. 31.
- I. - La commission met à la disposition du
public la liste des traitements automatisés ayant fait l'objet d'une des
formalités prévues par les articles 23 à 27, à
l'exception de ceux mentionnés au III de l'article 26.
« Cette liste précise pour chacun de ces traitements :
« 1° L'acte décidant la création du traitement ou
la date de la déclaration de ce traitement ;
« 2° La dénomination et la finalité du
traitement ;
« 3° L'identité et l'adresse du responsable du traitement
ou, si celui-ci n'est établi ni sur le territoire national ni sur
celui d'un autre Etat membre de la Communauté européenne,
celles de son représentant ;
« 4° La personne ou le service auprès duquel s'exerce le
droit d'accès prévu à l'article 39 ;
« 5° Les données à caractère personnel
faisant l'objet du traitement, ainsi que les destinataires et catégories
de destinataires habilités à en recevoir communication ;
« 6° Le cas échéant, les transferts de
données à caractère personnel envisagés à
destination d'un Etat non membre de la Communauté européenne.
« II. - La commission tient à la disposition du public ceux de
ses avis, décisions ou recommandations dont la connaissance est utile
à l'application ou à l'interprétation de la
présente loi. »
Article 5
Le chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est intitulé : « Obligations incombant aux responsables de traitements et droits des personnes ». Ce chapitre comprend les articles 32 à 42 ainsi que l'article 40, qui devient l'article 43. Il comprend deux sections ainsi rédigées :
« Section 1
« Obligations incombant aux responsables de traitements
«
Art. 32.
- I. - La personne auprès de
laquelle sont recueillies des données à caractère
personnel la concernant est informée, sauf si elle l'a été
au préalable, par le responsable du traitement ou son
représentant :
« 1° De l'identité du responsable du traitement et, le
cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel
les données sont destinées ;
« 3° Du caractère obligatoire ou facultatif des
réponses ;
« 4° Des conséquences éventuelles, à son
égard, d'un défaut de réponse ;
« 5° Des destinataires ou catégories de destinataires des
données ;
« 6° Des droits qu'elle tient des dispositions de la section 2
du présent chapitre.
« I
bis (nouveau). -
L'utilisation des
réseaux de communications électroniques en vue de stocker des
informations ou d'accéder à des informations stockées dans
l'équipement terminal d'un abonné ou d'un utilisateur est
autorisée si l'abonné ou l'utilisateur a reçu, au
préalable, une information claire et complète sur les
finalités du traitement et sur les moyens dont il dispose pour s'y
opposer.
« Ces dispositions ne font pas obstacle au stockage ou à
l'accès technique visant exclusivement à effectuer ou à
faciliter la transmission d'une communication par la voie d'un réseau de
communications électroniques, ou qui sont strictement nécessaires
à la fourniture d'un service de la société de
l'information expressément demandé par l'abonné ou
l'utilisateur.
« Il est interdit de subordonner l'accès à un service
disponible sur un réseau de communications électroniques à
l'acceptation, par l'abonné ou l'utilisateur concerné, du
traitement des informations stockées dans son
équipement terminal.
« Le fait de stocker ou collecter des informations stockées
dans l'équipement terminal de l'abonné ou de l'utilisateur,
sans l'avoir préalablement informé conformément aux
dispositions du premier alinéa du présent I
bis
, ou
d'avoir subordonné l'accès à un service à
l'acceptation, par l'abonné ou l'utilisateur, du traitement des
informations stockées dans son terminal, est puni de cinq ans
d'emprisonnement et de 300000 € d'amende.
« II. - Lorsque les données n'ont pas été
recueillies auprès de la personne concernée, le responsable du
traitement ou son représentant doit fournir à cette
dernière les informations énumérées au I dès
l'enregistrement des données ou, si une communication des données
à des tiers est envisagée, au plus tard lors de la
première communication des données.
« Les dispositions de l'alinéa précédent ne
s'appliquent pas aux traitements nécessaires à la conservation de
données à des fins historiques, statistiques ou scientifiques,
dans les conditions prévues par la loi n° 79-18 du
3 janvier 1979 sur les archives, lorsque ces données ont
été initialement recueillies pour un autre objet. Ces
dispositions ne s'appliquent également pas quand l'information de la
personne concernée se révèle impossible ou exige des
efforts disproportionnés par rapport à l'intérêt de
la démarche.
« III. - Les dispositions du I ne s'appliquent pas aux données
recueillies dans les conditions prévues au II et utilisées lors
d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la
sûreté de l'Etat, la défense, la sécurité
publique ou ayant pour objet l'exécution de condamnations pénales
ou de mesures de sûreté, dans la mesure où une telle
limitation est nécessaire au respect des fins poursuivies par le
traitement.
« IV. - Les dispositions du présent article ne
s'appliquent pas aux traitements de données ayant pour objet la
prévention, la recherche ou la poursuite d'infractions pénales.
«
Art. 33.
- Sauf consentement exprès de la personne
concernée, les données à caractère personnel
recueillies par les prestataires de services de certification
électronique pour les besoins de la délivrance et de la
conservation des certificats liés aux signatures électroniques
doivent l'être directement auprès de la personne concernée
et ne peuvent être traitées que pour les fins en vue desquelles
elles ont été recueillies.
«
Art. 34.
- Le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données et
des risques présentés par le traitement, pour préserver la
sécurité des données et, notamment, empêcher
qu'elles ne soient déformées, endommagées ou
communiquées à des tiers non autorisés.
« Des décrets, pris après avis de la Commission
nationale de l'informatique et des libertés, peuvent fixer les
prescriptions techniques auxquelles doivent se conformer les traitements
mentionnés au 1° et au 5° du II de l'article 8.
«
Art. 35.
- Les données à caractère
personnel ne peuvent faire l'objet d'une opération de traitement de la
part d'un sous-traitant, d'une personne agissant sous l'autorité du
responsable du traitement ou de celle du sous-traitant, que sur instruction du
responsable du traitement.
« Toute personne traitant des données à
caractère personnel pour le compte du responsable du traitement est
considérée comme un sous-traitant au sens de la présente
loi.
« Le sous-traitant doit présenter des garanties suffisantes
pour assurer la mise en oeuvre des mesures de sécurité et de
confidentialité mentionnées à l'article 34. Cette
exigence ne décharge pas le responsable du traitement de son obligation
de veiller au respect de ces mesures.
« Le contrat liant le sous-traitant au responsable du traitement
comporte l'indication des obligations incombant au sous-traitant en
matière de protection de la sécurité et de la
confidentialité des données et prévoit que le
sous-traitant ne peut agir que sur instruction du responsable du traitement.
«
Art. 36.
- Les données à caractère
personnel ne peuvent être conservées au-delà de la
durée prévue au 5° de l'article 6 qu'en vue
d'être traitées à des fins historiques, statistiques ou
scientifiques ; le choix des informations ainsi conservées est
opéré dans les conditions prévues à
l'article 4-1 de la loi n° 79-18 du 3 janvier 1979
précitée.
« Toutefois, il peut être procédé à un
traitement à d'autres finalités que celles mentionnées
à l'alinéa premier soit avec l'accord exprès de la
personne concernée, soit avec l'autorisation de la Commission nationale
de l'informatique et des libertés ou, lorsque les données
conservées sont au nombre de celles qui sont mentionnées au I de
l'article 8, dans les conditions prévues au III du même
article.
«
Art. 37.
- Les dispositions de la présente loi ne
font pas obstacle à l'application, au bénéfice de tiers,
des dispositions du titre Ier de la loi n° 78-753 du 17 juillet
1978 portant diverses mesures d'amélioration des relations entre
l'administration et le public et diverses dispositions d'ordre administratif,
social et fiscal et des dispositions du titre II de la loi n° 79-18
du 3 janvier 1979 précitée.
« En conséquence, ne peut être regardé comme un
tiers non autorisé au sens de l'article 34 le titulaire d'un droit
d'accès aux documents administratifs ou aux archives publiques
exercé conformément aux lois n° 78-753 du
17 juillet 1978 et n° 79-18 du 3 janvier 1979
précitées.
« Section 2
« Droits des personnes à l'égard
des traitements
de données à caractère personnel
«
Art. 38.
- Toute personne physique a le
droit de
s'opposer, pour des motifs légitimes, à ce que des données
la concernant fassent l'objet d'un traitement.
« Elle a le droit de s'opposer, sans frais, à ce que les
données la concernant soient utilisées à des fins de
prospection, notamment commerciale, par le responsable actuel du traitement ou
celui d'un traitement ultérieur.
« Les dispositions du premier alinéa ne s'appliquent pas
lorsque le traitement répond à une obligation légale ou
lorsque l'application de ces dispositions a été
écartée par une disposition expresse de l'acte autorisant le
traitement.
«
Art. 39.
- I. - Toute personne physique justifiant de son
identité a le droit d'interroger le responsable d'un traitement de
données à caractère personnel en vue d'obtenir :
« 1° La confirmation que des données la concernant font
ou ne font pas l'objet de ce traitement ;
« 2° Des informations relatives aux finalités du
traitement, aux catégories de données traitées et aux
destinataires ou aux catégories de destinataires auxquels les
données sont communiquées ;
« 3° La communication, sous une forme accessible, des
données qui la concernent ainsi que de toute information disponible
quant à l'origine de celles-ci ;
« 4° Les informations permettant de connaître et de
contester la logique qui sous-tend le traitement automatisé lorsque les
résultats de celui-ci lui sont opposés. Toutefois, les
informations communiquées à la personne concernée ne
doivent pas porter atteinte au droit d'auteur au sens des dispositions du
livre Ier et du titre IV du livre III du code de la
propriété intellectuelle.
« Une copie des données est délivrée à
l'intéressé à sa demande. Le responsable du traitement
peut subordonner la délivrance de cette copie au paiement d'une somme
qui ne peut excéder le coût de la reproduction.
« En cas de risque de dissimulation ou de disparition des
données, le juge compétent peut ordonner, y compris en
référé, toutes mesures de nature à éviter
cette dissimulation ou cette disparition.
« II. - Le responsable du traitement peut s'opposer aux demandes
manifestement abusives, notamment par leur nombre, leur caractère
répétitif ou systématique. En cas de contestation, la
charge de la preuve du caractère manifestement abusif des demandes
incombe au responsable auprès duquel elles sont adressées.
« Les dispositions du présent article ne s'appliquent pas
lorsque les données à caractère personnel sont
conservées pendant une durée n'excédant pas celle qui est
nécessaire à l'établissement de statistiques dans les
conditions prévues par la loi n° 51-711 du 7 juin 1951
sur l'obligation, la coordination et le secret en matière de
statistiques.
«
Art. 40.
- Toute personne physique justifiant de son
identité peut exiger du responsable d'un traitement que soient
rectifiées, complétées, mises à jour,
verrouillées ou effacées les données à
caractère personnel la concernant, qui sont inexactes,
incomplètes, équivoques, périmées, ou dont la
collecte, l'utilisation, la communication ou la conservation est interdite.
« Lorsque l'intéressé en fait la demande, le
responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a
procédé aux opérations exigées en vertu de
l'alinéa précédent.
« En cas de contestation, la charge de la preuve incombe au
responsable auprès duquel est exercé le droit d'accès sauf
lorsqu'il est établi que les données contestées ont
été communiquées par l'intéressé ou avec son
accord.
« Lorsqu'il obtient une modification de l'enregistrement,
l'intéressé est en droit d'obtenir le remboursement des frais
correspondant au coût de la copie mentionnée au I de
l'article 39.
« Si une donnée a été transmise à un
tiers, le responsable du traitement doit accomplir les diligences utiles afin
de lui notifier les opérations qu'il a effectuées
conformément au premier alinéa.
« Les héritiers d'une personne décédée
justifiant de leur identité peuvent, si des éléments
portés à leur connaissance leur laissent présumer que les
données à caractère personnel la concernant faisant
l'objet d'un traitement n'ont pas été actualisées, exiger
du responsable de ce traitement qu'il prenne en considération le
décès et procède aux mises à jour qui doivent en
être la conséquence.
« Lorsque les héritiers ont exercé la faculté
prévue par l'alinéa précédent, ils sont en droit
d'interroger le responsable du traitement afin d'obtenir la confirmation que
des données à caractère personnel concernant le
défunt font, ou non, encore l'objet d'un traitement.
«
Art. 41.
- Par dérogation aux articles 39 et 40,
les demandes d'accès relatives aux traitements intéressant la
sûreté de l'Etat, la défense ou la sécurité
publique sont adressées à la Commission nationale de
l'informatique et des libertés, qui désigne l'un de ses membres
appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation
ou à la Cour des comptes pour mener toutes investigations utiles et
faire procéder aux modifications nécessaires. Celui-ci peut se
faire assister d'un agent de la commission.
« Lorsque la commission constate, en accord avec le responsable du
traitement, que la communication des données à caractère
personnel enregistrées ou du résultat des opérations
effectuées en application du premier alinéa de l'article 40
ne met pas en cause les finalités poursuivies par ces traitements, ces
données ou ces résultats sont communiqués au
requérant.
« Dans les autres cas, la commission informe le requérant
qu'il a été procédé aux vérifications.
«
Art. 42.
- Les dispositions de l'article 41 sont
applicables aux traitements mis en oeuvre par les administrations publiques et
les personnes privées chargées d'une mission de service public
qui ont pour mission de prévenir, rechercher ou constater des
infractions, ou de contrôler ou recouvrer des impositions, si un tel
droit a été prévu par l'autorisation mentionnée aux
articles 25, 26 ou 27. »
Article 6
Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE VI
« Le contrôle de la mise en oeuvre des traitements
«
Art. 44.
- I. - Les membres de la Commission
nationale de l'informatique et des libertés ainsi que les agents de ses
services habilités dans les conditions définies au
troisième alinéa de l'article 19 ont accès, de
6 heures à 21 heures, pour l'exercice de leurs missions, aux
lieux, locaux, enceintes, installations ou établissements servant
à la mise en oeuvre d'un traitement de données à
caractère personnel et qui sont à usage professionnel, à
l'exclusion des parties de ceux-ci affectées au domicile privé.
« Le procureur de la République territorialement
compétent en est préalablement informé.
« II. - En cas d'opposition du responsable des lieux, la visite ne
peut se dérouler qu'avec l'autorisation du président du tribunal
de grande instance ou du juge délégué par lui.
« Ce magistrat est saisi à la requête du
président de la commission. Il statue par une ordonnance motivée,
conformément aux dispositions prévues aux articles 493
à 498 du nouveau code de procédure civile. La procédure
est sans représentation obligatoire.
« La visite s'effectue sous l'autorité et le contrôle du
juge qui l'a autorisée. Celui-ci peut se rendre dans les locaux durant
l'intervention. A tout moment, il peut décider l'arrêt ou la
suspension de la visite.
« III. - Les membres de la commission et les agents mentionnés
au premier alinéa du I peuvent demander communication de tous documents
nécessaires à l'accomplissement de leur mission, quel qu'en soit
le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur
convocation, tout renseignement et toute justification utiles ; ils
peuvent accéder aux logiciels et aux données, ainsi qu'en
demander la transcription par tout traitement approprié dans des
documents directement utilisables pour les besoins du contrôle.
« Ils peuvent, à la demande du président de la
commission, être assistés par des experts désignés
par l'autorité dont ceux-ci dépendent.
« Seul un médecin peut requérir la communication de
données médicales individuelles incluses dans un traitement
nécessaire aux fins de la médecine préventive, de la
recherche médicale, des diagnostics médicaux, de l'administration
de soins ou de traitements, ou à la gestion de service de santé,
et qui est mis en oeuvre par un membre d'une profession de santé.
« Il est dressé contradictoirement procès-verbal des
vérifications et visites menées en application du présent
article. »
Article 7
Le chapitre VII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE VII
« Sanctions infligées par la Commission nationale
de
l'informatique et des libertés
«
Art. 45.
- I. - La Commission nationale de
l'informatique et des libertés peut prononcer un avertissement à
l'égard du responsable d'un traitement qui ne respecte pas les
obligations découlant de la présente loi. Elle peut
également mettre en demeure ce responsable de faire cesser le manquement
constaté dans un délai qu'elle fixe.
« Si le responsable d'un traitement ne se conforme pas à la
mise en demeure qui lui est adressée, la commission peut prononcer
à son encontre, après une procédure contradictoire, les
sanctions suivantes :
« 1° Une sanction pécuniaire ;
« 2° Une injonction de cesser le traitement ou de
procéder à sa destruction, lorsque celui-ci relève des
dispositions de l'article 22, ou un retrait de l'autorisation
accordée en application de l'article 25.
« II. - En cas d'urgence, lorsque la mise en oeuvre d'un traitement
ou l'exploitation des données traitées entraîne une
violation des droits et libertés mentionnés à
l'article 1er, la commission peut, après une procédure
contradictoire :
« 1° Décider l'interruption de la mise en oeuvre du
traitement ou le verrouillage de certaines des données traitées,
pour une durée maximale de trois mois, si le traitement n'est pas au
nombre de ceux qui sont mentionnés au I et au II de
l'article 26 ;
« 2° Saisir le Premier ministre pour qu'il prenne les mesures
permettant de faire cesser, le cas échéant, la violation
constatée, si le traitement en cause est au nombre de ceux qui sont
mentionnés au I et au II de l'article 26 ; le Premier ministre
fait alors connaître à la commission et rend publiques les suites
qu'il a données à cette saisine au plus tard quinze jours
après l'avoir reçue.
« III. - En cas d'atteinte grave et immédiate aux droits et
libertés mentionnés à l'article 1er, le
président de la commission peut demander, par la voie du
référé, à la juridiction compétente
d'ordonner, le cas échéant sous astreinte, toute mesure de
sécurité nécessaire à la sauvegarde de ces droits
et libertés.
«
Art. 46.
- Les sanctions prévues au I et au 1°
du II de l'article 45 sont prononcées sur la base d'un rapport
établi par l'un des membres de la Commission nationale de l'informatique
et des libertés, désigné par le président de
celle-ci parmi les membres n'appartenant pas à la formation restreinte.
Ce rapport est notifié au responsable du traitement, qui peut
déposer des observations et se faire représenter ou assister. Le
rapporteur peut présenter des observations orales à la
commission mais ne prend pas part à ses
délibérations. La commission peut entendre toute personne dont
l'audition lui paraît susceptible de contribuer utilement à son
information.
« La commission peut décider de rendre publiques les sanctions
qu'elle prononce.
« Les décisions prises par la commission au titre de
l'article 45 sont motivées et notifiées au responsable du
traitement. Les décisions infligeant une sanction peuvent faire l'objet
d'un recours de pleine juridiction devant le Conseil d'Etat.
«
Art. 47.
- Le montant de la sanction pécuniaire
prévue au I de l'article 45 est proportionné à la
gravité des manquements commis et aux avantages tirés de ce
manquement.
« Lors du premier manquement, il ne peut excéder
150000 €. En cas de manquement réitéré dans les
cinq années à compter de la date à laquelle la sanction
pécuniaire précédemment prononcée est devenue
définitive, il ne peut excéder 300000 € ou 5 % du
chiffre d'affaires.
« Lorsque la Commission nationale de l'informatique et des
libertés a prononcé une sanction pécuniaire devenue
définitive avant que le juge pénal ait statué
définitivement sur les mêmes faits ou des faits connexes, celui-ci
peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il
prononce.
« Les sanctions pécuniaires sont recouvrées comme les
créances de l'Etat étrangères à l'impôt et au
domaine.
«
Art. 48.
- La commission peut exercer les pouvoirs
prévus à l'article 44 ainsi qu'au I, au 1° du II et au
III de l'article 45 à l'égard des traitements dont les
opérations sont mises en oeuvre, en tout ou partie, sur
le territoire national, y compris lorsque le responsable du traitement est
établi sur le territoire d'un autre Etat membre de la
Communauté européenne.
«
Art. 49.
- La commission peut, à la demande d'une
autorité exerçant des compétences analogues aux siennes
dans un autre Etat membre de la Communauté européenne,
procéder à des vérifications dans les mêmes
conditions, selon les mêmes procédures et sous les mêmes
sanctions que celles prévues à l'article 45, sauf s'il
s'agit d'un traitement mentionné au I ou au II de l'article 26.
« La commission est habilitée à communiquer les
informations qu'elle recueille ou qu'elle détient, à leur
demande, aux autorités exerçant des compétences analogues
aux siennes dans d'autres Etats membres de la
Communauté européenne. »
Article 8
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre VIII ainsi rédigé :
« CHAPITRE VIII
« Dispositions pénales
«
Art. 50.
- Les infractions aux dispositions
de la
présente loi sont prévues et réprimées par les
articles 226-16 à 226-24 du code pénal.
«
Art. 51.
- Est puni d'un an d'emprisonnement et de
15000 € d'amende le fait d'entraver l'action de la Commission
nationale de l'informatique et des libertés :
« 1° Soit en s'opposant à l'exercice des missions
confiées à ses membres ou aux agents habilités en
application du troisième alinéa de l'article 19 et
définies aux articles 45 et 49 ;
« 2° Soit en refusant de communiquer à ses membres ou aux
agents habilités en application du troisième alinéa de
l'article 19 les renseignements et documents utiles à leur mission,
ou en dissimulant lesdits documents ou renseignements, ou en les faisant
disparaître ;
« 3° Soit en communiquant des informations qui ne sont pas
conformes au contenu des enregistrements tel qu'il était au moment
où la demande a été formulée ou qui ne
présentent pas ce contenu sous une forme directement accessible.
«
Art. 52.
- Le procureur de la République avise le
président de la Commission nationale de l'informatique et des
libertés de toutes les poursuites relatives aux infractions aux
dispositions de la section 5 du chapitre VI du titre II du livre II du code
pénal et, le cas échéant, des suites qui leur sont
données. Il l'informe de la date et de l'objet de l'audience de jugement
par lettre recommandée adressée au moins dix jours avant cette
date.
« La juridiction d'instruction ou de jugement peut appeler le
président de la Commission nationale de l'informatique et des
libertés ou son représentant à déposer ses
observations ou à les développer oralement à
l'audience. »
Article 9
I. - Le
chapitre V
bis
de la loi n° 78-17 du 6 janvier 1978
précitée devient le chapitre IX et est intitulé :
« Traitements de données à caractère personnel
ayant pour fin la recherche dans le domaine de la santé ».
II. - Les articles 40-1 à 40-8 de la même loi deviennent les
articles 53 à 60 et sont ainsi modifiés :
1° Au premier alinéa des articles 40-1, 40-3 et 40-8, le
mot : « automatisés » est supprimé ;
2° Au premier alinéa des articles 40-1, 40-2, 40-3 et 40-5,
ainsi qu'à l'article 40-7, les mots :
« données nominatives » sont remplacés par
les mots : « données à caractère
personnel » ;
3° Au premier alinéa de l'article 40-1, les mots :
« à l'exception des articles 15, 16, 17, 26 et
27 » sont remplacés par les mots : « à
l'exception des articles 23 à 26, 32 et 38 » ;
4° Le quatrième alinéa de l'article 40-2 est
remplacé par cinq alinéas ainsi rédigés :
« La mise en oeuvre du traitement de données est ensuite
soumise à l'autorisation de la Commission nationale de l'informatique et
des libertés, qui se prononce dans les conditions prévues
à l'article 25.
« Pour les catégories les plus usuelles de traitements
automatisés ayant pour finalité la recherche dans le domaine de
la santé et portant sur des données ne permettant pas une
identification directe des personnes concernées, la commission peut
homologuer et publier des méthodologies de référence,
établies en concertation avec le comité consultatif ainsi qu'avec
les organismes publics et privés représentatifs, et
destinées à simplifier la procédure prévue aux
quatre premiers alinéas du présent article.
« Ces méthodologies précisent, eu égard aux
caractéristiques mentionnées à l'article 30, les
normes auxquelles doivent correspondre les traitements pouvant faire l'objet
d'une demande d'avis et d'une demande d'autorisation simplifiées.
« Pour les traitements répondant à ces normes, seul un
engagement de conformité à l'une d'entre elles est envoyé
à la commission. Le président de la commission peut autoriser ces
traitements à l'issue d'une procédure simplifiée d'examen.
« Pour les autres catégories de traitements, le comité
consultatif fixe, en concertation avec la Commission nationale de
l'informatique et des libertés, les conditions dans lesquelles son avis
n'est pas requis. » ;
5° La dernière phrase du deuxième alinéa de
l'article 40-3 est remplacée par deux phrases ainsi
rédigées :
« La demande d'autorisation comporte la justification scientifique et
technique de la dérogation et l'indication de la période
nécessaire à la recherche. A l'issue de cette période, les
données sont conservées et traitées dans les conditions
fixées à l'article 36. » ;
6° Le premier alinéa de l'article 40-4 est ainsi
rédigé :
« Toute personne a le droit de s'opposer à ce que les
données à caractère personnel la concernant fassent
l'objet de la levée du secret professionnel rendue nécessaire par
un traitement de la nature de ceux qui sont visés à
l'article 53. » ;
7° Au cinquième alinéa de l'article 40-5, les
mots : « institué au chapitre V » sont
remplacés par les mots : « institué aux
articles 39 et 40 » ;
8° A l'article 40-6, le mot : « tuteur » est
remplacé par les mots : « représentant
légal » et les mots : « protection
légale » par le mot :
« tutelle » ;
9° Au second alinéa de l'article 40-8, les mots :
« au contrôle prévu par le 2° de
l'article 21 » sont remplacés par les mots :
« aux vérifications prévues par le
f
du 1°
de l'article 11 ».
III. - Les articles 40-9 et 40-10 de la même loi sont abrogés.
IV. - Le chapitre IX de la même loi est complété par un
article 61 ainsi rédigé :
«
Art. 61.
- La transmission vers un Etat n'appartenant pas
à la Communauté européenne de données à
caractère personnel non codées faisant l'objet d'un traitement
ayant pour fin la recherche dans le domaine de la santé n'est
autorisée, dans les conditions prévues à
l'article 54, que sous réserve du respect des règles
énoncées au chapitre XII. »
Article 10
I. - Le
chapitre V
ter
de la loi n° 78-17 du 6 janvier 1978
précitée devient le chapitre X et est intitulé :
« Traitements de données de santé à
caractère personnel à des fins d'évaluation ou d'analyse
des pratiques ou des activités de soins et de
prévention ».
II. - Les articles 40-11 à 40-15 de la même loi deviennent
les articles 62 à 66 et sont ainsi modifiés :
1° Au premier alinéa de l'article 40-11, les mots :
« traitements de données personnelles de
santé » sont remplacés par les mots :
« traitements de données de santé à
caractère personnel » et, au deuxième alinéa de
ce même article, les mots : « données
personnelles » sont remplacés par les mots :
« données à caractère personnel ». La
référence à l'article L. 710-6 du code de la
santé publique est remplacée par une référence
à l'article L. 6113-7 ;
2° Au premier alinéa de l'article 40-13, les mots :
« données personnelles » sont remplacés par
les mots : « données à caractère
personnel » ;
3° La dernière phrase du premier alinéa de
l'article 40-14 est supprimée ;
4° Au premier alinéa de l'article 40-15, les mots :
« lorsqu'ils demeurent indirectement nominatifs » sont
remplacés par les mots : « lorsqu'ils permettent
indirectement d'identifier les personnes concernées ».
Article 11
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XI ainsi rédigé :
« CHAPITRE XI
« Traitements de données à caractère
personnel aux fins
de journalisme et d'expression littéraire et
artistique
«
Art. 67.
- Le 5° de l'article 6,
les
articles 8, 9, 22, 32, 39, 40 et 68 à 70 ne s'appliquent pas aux
traitements de données à caractère personnel mis en oeuvre
aux seules fins :
« 1° D'expression littéraire et artistique ;
« 2° D'exercice, à titre professionnel, de
l'activité de journaliste, dans le respect des règles
déontologiques de cette profession.
« Toutefois, pour les traitements mentionnés au 2°, la
dispense de l'obligation de déclaration prévue par
l'article 22 est subordonnée à la désignation par le
responsable du traitement d'un correspondant à la protection des
données appartenant à un organisme de la presse écrite ou
audiovisuelle, chargé de tenir un registre des traitements mis en oeuvre
par ce responsable et d'assurer, d'une manière indépendante,
l'application des dispositions de la présente loi. Cette
désignation est portée à la connaissance de la Commission
nationale de l'informatique et des libertés.
« Les dispositions des alinéas précédents ne
font pas obstacle à l'application des dispositions du code civil, des
lois relatives à la presse écrite ou audiovisuelle et du code
pénal, qui prévoient les conditions d'exercice du droit de
réponse et qui préviennent, limitent, réparent et, le cas
échéant, répriment les atteintes à la vie
privée et à la réputation des personnes. »
Article 12
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XII ainsi rédigé :
« CHAPITRE XII
« Transferts de données à caractère personnel
vers des Etats n'appartenant pas à la
Communauté européenne
«
Art. 68.
- Le responsable d'un traitement
ne peut
transférer des données à caractère personnel vers
un Etat n'appartenant pas à la Communauté européenne
que si cet Etat assure un niveau de protection suffisant de la vie
privée et des libertés et droits fondamentaux des personnes
à l'égard du traitement dont ces données font l'objet ou
peuvent faire l'objet.
« Le caractère suffisant du niveau de protection assuré
par un Etat s'apprécie en fonction notamment des dispositions en vigueur
dans cet Etat, des mesures de sécurité qui y sont
appliquées, des caractéristiques propres du traitement, telles
que ses fins et sa durée, ainsi que de la nature, de l'origine et de la
destination des données traitées.
«
Art. 69.
- Toutefois, le responsable d'un traitement peut
transférer des données à caractère personnel vers
un Etat ne répondant pas aux conditions prévues à
l'article 68 si la personne à laquelle se rapportent les
données a consenti expressément à leur transfert ou si le
transfert est nécessaire à l'une des conditions suivantes :
« 1° A la sauvegarde de la vie de cette personne ;
« 2° A la sauvegarde de l'intérêt public ;
« 3° Au respect d'obligations permettant d'assurer la
constatation, l'exercice ou la défense d'un droit en justice ;
« 4° A la consultation, dans des conditions
régulières, d'un registre public qui, en vertu de dispositions
législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation de celui-ci ou
de toute personne justifiant d'un intérêt légitime ;
« 5° A l'exécution d'un contrat entre le responsable du
traitement et l'intéressé, ou de mesures précontractuelles
prises à la demande de celui-ci ;
« 6° A la conclusion ou à l'exécution d'un contrat
conclu ou à conclure, dans l'intérêt de la personne
concernée, entre le responsable du traitement et un tiers.
« Il peut également être fait exception à
l'interdiction prévue à l'article 68, par décision de
la Commission nationale de l'informatique et des libertés ou, s'il
s'agit d'un traitement mentionné au I ou au II de l'article 26, par
décret en Conseil d'Etat pris après avis motivé et
publié de la commission, lorsque le traitement garantit un niveau de
protection suffisant de la vie privée ainsi que des libertés et
droits fondamentaux des personnes, notamment en raison des clauses
contractuelles dont il fait l'objet.
« La Commission nationale de l'informatique et des libertés
porte à la connaissance de la Commission des
Communautés européennes et des autorités de
contrôle des autres Etats membres de la
Communauté européenne les décisions d'autorisation de
transfert de données à caractère personnel qu'elle prend
au titre de l'alinéa précédent.
«
Art. 70.
- Si la Commission des
Communautés européennes a constaté qu'un Etat
n'appartenant pas à la Communauté européenne n'assure
pas un niveau de protection suffisant à l'égard d'un transfert ou
d'une catégorie de transferts de données à
caractère personnel, la Commission nationale de l'informatique et des
libertés, saisie d'une déclaration déposée en
application des articles 23 ou 24 et faisant apparaître que des
données à caractère personnel seront
transférées vers cet Etat, délivre le
récépissé avec mention de l'interdiction de
procéder au transfert des données.
« Lorsqu'elle estime qu'un Etat n'appartenant pas à la
Communauté européenne n'assure pas un niveau de protection
suffisant à l'égard d'un transfert ou d'une catégorie de
transferts de données, la Commission nationale de l'informatique et des
libertés en informe sans délai la Commission des
Communautés européennes. Lorsqu'elle est saisie d'une
déclaration déposée en application des articles 23 ou
24 et faisant apparaître que des données à caractère
personnel seront transférées vers cet Etat, la Commission
nationale de l'informatique et des libertés délivre le
récépissé et peut enjoindre au responsable du traitement
de suspendre le transfert des données. Si la Commission des
Communautés européennes constate que l'Etat vers lequel le
transfert est envisagé assure un niveau de protection suffisant, la
Commission nationale de l'informatique et des libertés notifie au
responsable du traitement la cessation de la suspension du transfert. Si la
Commission des Communautés européennes constate que l'Etat
vers lequel le transfert est envisagé n'assure pas un niveau de
protection suffisant, la Commission nationale de l'informatique et des
libertés notifie au responsable du traitement l'interdiction de
procéder au transfert de données à caractère
personnel à destination de cet Etat. »
Article 13
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XIII ainsi rédigé :
« CHAPITRE XIII
« Dispositions diverses
«
Art. 71.
- Des décrets en Conseil
d'Etat,
pris après avis de la Commission nationale de l'informatique et des
libertés, fixent les modalités d'application de la
présente loi.
«
Art. 72.
- La présente loi est applicable en
Polynésie française, dans les îles Wallis et Futuna, dans
les Terres australes et antarctiques françaises, en
Nouvelle-Calédonie et à Mayotte.
« Par dérogation aux dispositions du deuxième
alinéa de l'article 54, le comité consultatif dispose d'un
délai de deux mois pour transmettre son avis au demandeur lorsque
celui-ci réside dans l'une de ces collectivités. En cas
d'urgence, ce délai peut être ramené à un
mois. »
TITRE II
DISPOSITIONS MODIFIANT
D'AUTRES TEXTES LÉGISLATIFS
Article 14
I. - Les
articles 226-16 à 226-23 du code pénal sont remplacés
par quatorze articles ainsi rédigés :
«
Art. 226-16.
- Le fait, y compris par négligence, de
procéder ou de faire procéder à des traitements de
données à caractère personnel sans qu'aient
été respectées les formalités préalables
à leur mise en oeuvre prévues par la loi est puni de cinq ans
d'emprisonnement et de 300000 € d'amende.
« Est puni des mêmes peines le fait, y compris par
négligence, de procéder ou de faire procéder à un
traitement qui a fait l'objet de l'une des mesures prévues au 2° du
I de l'article 45 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés.
«
Art. 226-16-1 A (nouveau).
- Lorsqu'il a
été procédé ou fait procéder à un
traitement de données à caractère personnel dans les
conditions prévues par le I ou le II de l'article 24 de la loi
n° 78-17 du 6 janvier 1978 précitée, le fait de ne
pas respecter, y compris par négligence, les normes simplifiées
ou d'exonération établies à cet effet par la Commission
nationale de l'informatique et des libertés est puni de cinq ans
d'emprisonnement et de 300000 € d'amende.
«
Art. 226-16-1.
- Le fait, hors les cas où le
traitement a été autorisé dans les conditions
prévues par la loi n° 78-17 du 6 janvier 1978
précitée, de procéder ou faire procéder à un
traitement de données à caractère personnel incluant parmi
les données sur lesquelles il porte le numéro d'inscription des
personnes au répertoire national d'identification des personnes
physiques ou portant sur la totalité ou la quasi-totalité de la
population de la France, est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
«
Art. 226-17.
- Le fait de procéder ou de faire
procéder à un traitement de données à
caractère personnel sans mettre en oeuvre les mesures prescrites
à l'article 34 de la loi n° 78-17 du 6 janvier 1978
précitée est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
«
Art. 226-18.
- Le fait de collecter des données
à caractère personnel par un moyen frauduleux, déloyal ou
illicite est puni de cinq ans d'emprisonnement et de 300000 €
d'amende.
«
Art. 226-18-1.
- Le fait de procéder à un
traitement de données à caractère personnel concernant une
personne physique malgré l'opposition de cette personne, lorsque ce
traitement répond à des fins de prospection, notamment
commerciale, ou lorsque cette opposition est fondée sur des motifs
légitimes, est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
«
Art. 226-19.
- Le fait, hors les cas prévus par la
loi, de mettre ou de conserver en mémoire informatisée, sans le
consentement exprès de l'intéressé, des données
à caractère personnel qui, directement ou indirectement, font
apparaître les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, ou les appartenances syndicales des personnes,
ou qui sont relatives à la santé ou à l'orientation
sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
« Est puni des mêmes peines le fait, hors les cas prévus
par la loi, de mettre ou de conserver en mémoire informatisée des
données à caractère personnel concernant des infractions,
des condamnations ou des mesures de sûreté.
«
Art. 226-19-1.
- En cas de traitement de données
à caractère personnel ayant pour fin la recherche dans le domaine
de la santé, est puni de cinq ans d'emprisonnement et de
300000 € d'amende le fait de procéder à un
traitement :
« 1° Sans avoir préalablement informé
individuellement les personnes sur le compte desquelles des données
à caractère personnel sont recueillies ou transmises de leur
droit d'accès, de rectification et d'opposition, de la nature des
données transmises et des destinataires de celles-ci ;
« 2° Malgré l'opposition de la personne concernée
ou, lorsqu'il est prévu par la loi, en l'absence du consentement
éclairé et exprès de la personne, ou s'il s'agit d'une
personne décédée, malgré le refus exprimé
par celle-ci de son vivant.
«
Art. 226-20.
- Le fait de conserver des données
à caractère personnel au-delà de la durée
prévue par la loi ou le règlement, par la demande d'autorisation
ou d'avis, ou par la déclaration préalable adressée
à la Commission nationale de l'informatique et des libertés, est
puni de cinq ans d'emprisonnement et de 300000 € d'amende, sauf si
cette conservation est effectuée à des fins historiques,
statistiques ou scientifiques dans les conditions prévues par la loi.
« Est puni des mêmes peines le fait, hors les cas prévus
par la loi, de traiter à des fins autres qu'historiques, statistiques ou
scientifiques des données à caractère personnel
conservées au-delà de la durée mentionnée au
premier alinéa.
«
Art. 226-21.
- Le fait, par toute personne détentrice
de données à caractère personnel à l'occasion de
leur enregistrement, de leur classement, de leur transmission ou de toute autre
forme de traitement, de détourner ces informations de leur
finalité telle que définie par la disposition législative,
l'acte réglementaire ou la décision de la Commission nationale de
l'informatique et des libertés autorisant le traitement
automatisé, ou par les déclarations préalables à la
mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
«
Art. 226-22.
- Le fait, par toute personne qui a recueilli,
à l'occasion de leur enregistrement, de leur classement, de leur
transmission ou d'une autre forme de traitement, des données à
caractère personnel dont la divulgation aurait pour effet de porter
atteinte à la considération de l'intéressé ou
à l'intimité de sa vie privée, de porter, sans
autorisation de l'intéressé, ces données à la
connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni
de cinq ans d'emprisonnement et de 300000 € d'amende.
« La divulgation prévue à l'alinéa
précédent est punie de trois ans d'emprisonnement et de
100000 € d'amende lorsqu'elle a été commise par
imprudence ou négligence.
« Dans les cas prévus aux deux alinéas
précédents, la poursuite ne peut être exercée que
sur plainte de la victime, de son représentant légal ou de ses
ayants droit.
«
Art. 226-22-1.
- Le fait, hors les cas prévus par la
loi, de procéder ou de faire procéder à un transfert de
données à caractère personnel faisant l'objet ou
destinées à faire l'objet d'un traitement vers un Etat
n'appartenant pas à la Communauté européenne en
violation des mesures prises par la Commission des
Communautés européennes ou par la Commission nationale de
l'informatique et des libertés mentionnées à
l'article 70 de la loi n° 78-17 du 6 janvier 1978
précitée est puni de cinq ans d'emprisonnement et de
300000 € d'amende.
«
Art. 226-22-2.
- Dans les cas prévus aux
articles 226-16 à 226-22-1, l'effacement de tout ou partie des
données à caractère personnel faisant l'objet du
traitement ayant donné lieu à l'infraction peut être
ordonné. Les membres et les agents de la Commission nationale de
l'informatique et des libertés sont habilités à constater
l'effacement de ces données.
«
Art. 226-23.
- Les dispositions de l'article 226-19
sont applicables aux traitements non automatisés de données
à caractère personnel dont la mise en oeuvre ne se limite pas
à l'exercice d'activités exclusivement personnelles. »
II. - Au premier alinéa de l'article 226-24 du même code, les
mots : « aux articles 226-16 à 226-21 et 226-23
ainsi qu'au premier alinéa de l'article 226-22 » sont
remplacés par les mots : « à la présente
section ».
Article 15
I. - Le
I de l'article 10 de la loi n° 95-73 du 21 janvier 1995
d'orientation et de programmation relative à la sécurité
est ainsi rédigé :
« I. - Les enregistrements visuels de vidéosurveillance
répondant aux conditions fixées au II sont soumis aux
dispositions ci-après, à l'exclusion de ceux qui sont
utilisés dans des traitements automatisés ou contenus dans des
fichiers structurés selon des critères permettant d'identifier,
directement ou indirectement, des personnes physiques, qui sont soumis à
la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés. »
II
(nouveau).
- Il est inséré, après le VI du
même article, un VI
bis
ainsi rédigé :
« VI
bis.
- Le Gouvernement transmet chaque année
à la Commission nationale de l'informatique et des libertés un
rapport faisant état de l'activité des commissions
départementales visées au III et des conditions d'application du
présent article. »
Article 15 bis (nouveau)
Après l'article 14 de la loi n° 99-944 du
15 novembre 1999 relative au pacte civil de solidarité, il est
inséré un article 14-1 ainsi rédigé :
«
Art. 14-1.
- Les tribunaux d'instance établissent des
statistiques semestrielles relatives au nombre de pactes civils de
solidarité conclus dans leur ressort. Ces statistiques recensent
également le nombre des pactes ayant pris fin en distinguant les cas
mentionnés à l'article 515-7 du code civil, la durée
moyenne des pactes ainsi que l'âge moyen des personnes concernées.
Par dérogation aux dispositions du I de l'article 8 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés, elles distinguent les données relatives
aux pactes conclus :
« - entre des personnes de sexe différent ;
« - entre des personnes de sexe féminin ;
« - entre des personnes de sexe masculin. »
Article 15 ter (nouveau)
I. - Le
cinquième alinéa de l'article 515-3 du code civil est ainsi
rédigé :
« En marge de l'acte de naissance de chaque partenaire, il sera fait
mention de la déclaration du pacte civil de
solidarité. »
II. - La dernière phrase du cinquième alinéa de
l'article 515-7 du même code est ainsi rédigée :
« Il fait également porter cette mention en marge de l'acte de
naissance des partenaires. »
III. - Les mentions inscrites sur le registre tenu au greffe du tribunal
d'instance du lieu de naissance de chaque partenaire en application de
l'article 515-3 du code civil dans sa rédaction antérieure
à la promulgation de la présente loi sont portées en marge
de leur acte de naissance dans un délai de six mois ; les mentions
concernant les partenaires nés à l'étranger sont
portées en marge des registres du service central de l'état civil
du ministère des affaires étrangères dans les mêmes
délais. A l'expiration du délai précité, les
registres sont versés à l'administration des archives.
IV. - Dans le quatrième alinéa de l'article 7 de la loi
n° 79-18 du 3 janvier 1979 sur les archives, les mots :
« ainsi que pour les registres de l'état civil et de
l'enregistrement » sont remplacés par les mots :
« , pour les registres de l'état civil et de
l'enregistrement ainsi que pour les registres des tribunaux d'instance
comportant les mentions relatives au pacte civil de
solidarité ».
Article 15 quater (nouveau)
I. -
Dans le deuxième alinéa de l'article L. 33-4 du code
des postes et des télécommunications, les
références : « 35 et 36 » sont
remplacées par les références : « 39 et
40 ».
II. - Dans la première phrase du premier alinéa de
l'article L. 1131-4 du code de la santé publique, la
référence :
« chapitre V
bis
» est remplacée
par la référence : « chapitre IX ».
III. - Dans la première phrase de l'avant-dernier alinéa de
l'article L. 262-33 du code de l'action sociale et des familles, la
référence : « à
l'article 15 » est remplacée par la
référence : « au chapitre IV ».
IV. - Dans le dernier alinéa de l'article L. 522-8 du
même code, la référence : « à
l'article 15 » est remplacée par la
référence : « au chapitre IV ».
V. - 1. Le premier alinéa de l'article 777-3 du code de
procédure pénale est ainsi rédigé :
« Aucune interconnexion au sens du 3° de l'article 30 de la
loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés ne peut être effectuée entre
le casier judiciaire national automatisé et tout autre fichier ou
traitement de données à caractère personnel détenus
par une personne quelconque ou par un service de l'Etat ne dépendant pas
du ministère de la justice. »
2. Dans le deuxième alinéa du même article, les mots :
« recueil de données nominatives » sont
remplacés par les mots : « traitement de données
à caractère personnel ».
VI. - Le dernier alinéa de l'article L. 723-43 du code rural
est ainsi rédigé :
« Le contenu, l'emploi et les conditions de cette communication sont
déterminés selon les modalités de l'article 27 de la
loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés. »
VII. - Dans le deuxième alinéa de l'article L. 311-5-1
du code du travail, la référence : « à
l'article 15 » est remplacée par la
référence : « au chapitre IV ».
VIII. - Dans le deuxième alinéa de l'article L. 115-2
du code de la sécurité sociale, la référence :
« l'article 15 » est remplacée par la
référence : « l'article 27 ».
IX. - Dans le dernier alinéa de l'article 1er de la loi
n° 84-575 du 9 juillet 1984 portant diverses dispositions
d'ordre social, la référence :
« l'article 15 » est remplacée par la
référence : « l'article 27 ».
X. - Dans le III de l'article 78 de la loi n° 85-10 du
3 janvier 1985 portant diverses dispositions d'ordre social, la
référence : « l'article 15 » est
remplacée par la référence :
« l'article 27 ».
XI. - Dans l'avant-dernier alinéa du I de l'article 64 de la loi
n° 95-116 du 4 février 1995 portant diverses dispositions
d'ordre social, la référence :
« l'article 15 » est remplacée par la
référence : « l'article 27 ».
TITRE III
DISPOSITIONS TRANSITOIRES
Article 16
I. - Les
responsables de traitements de données à caractère
personnel dont la mise en oeuvre est régulièrement intervenue
avant la publication de la présente loi disposent, à compter de
cette date, d'un délai de trois ans pour mettre leurs traitements en
conformité avec les dispositions de la loi n° 78-17 du
6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, dans leur rédaction issue de la présente loi.
Lorsque cette mise en conformité n'a pas pour effet de modifier les
caractéristiques des traitements mentionnées à
l'article 30 de la loi n° 78-17 du 6 janvier 1978
précitée, dans sa rédaction issue de la présente
loi, les traitements sont réputés avoir satisfait aux
dispositions prévues au chapitre IV.
Les dispositions de la loi n° 78-17 du 6 janvier 1978
précitée, dans sa rédaction antérieure à la
présente loi, demeurent applicables aux traitements qui y étaient
soumis jusqu'à ce qu'ils aient été mis en
conformité avec les dispositions de la loi n° 78-17 du
6 janvier 1978 précitée, dans leur rédaction issue de
la présente loi, et, au plus tard, jusqu'à l'expiration du
délai de trois ans prévu à l'alinéa
précédent. Toutefois, les dispositions des articles 38, 44
à 49 et 68 à 70 de la loi n° 78-17 du 6 janvier
1978 précitée, dans leur rédaction issue de la
présente loi, leur sont immédiatement applicables.
II. - Par dérogation aux dispositions du I, les responsables de
traitements non automatisés de données à caractère
personnel dont la mise en oeuvre est régulièrement intervenue
avant la date de publication de la présente loi disposent, pour mettre
leurs traitements en conformité avec les articles 6 à 9 de
la loi n° 78-17 du 6 janvier 1978 précitée, dans
leur rédaction issue de la présente loi, d'un délai allant
jusqu'au 24 octobre 2007.
Les dispositions de l'article 25, du I de l'article 28 ainsi que des
articles 30, 31 et 37 de la loi n° 78-17 du 6 janvier 1978
précitée, dans leur rédaction antérieure à
la présente loi, demeurent applicables aux traitements non
automatisés qui y étaient soumis jusqu'à ce qu'ils aient
été mis en conformité avec les dispositions des
articles 6 à 9 de la loi n° 78-17 du 6 janvier 1978
précitée, dans leur rédaction issue de la présente
loi et, au plus tard, jusqu'au 24 octobre 2007.
Article 17
I. - Les
membres de la Commission nationale de l'informatique et des libertés en
exercice au moment de la publication de la présente loi demeurent en
fonction jusqu'au terme normal de leur mandat.
II et III. -
Supprimés
Délibéré en séance publique, à Paris, le
30 janvier 2002.
Le
Président,
Signé :
RAYMOND FORNI.