M. Pierre Ouzoulias. Ce n’est pas la pratique !

Mme Esther Benbassa. C’est impossible, madame la garde des sceaux !

Mme Nicole Belloubet, garde des sceaux. Je ne souhaite pas répondre sur ce terrain, je vous dis ce qui est écrit dans les textes adoptés.

Je tiens également à vous indiquer que le ministère de l’enseignement supérieur me fait savoir que les algorithmes seront effectivement publiés, sans doute au début du mois de septembre.

M. Philippe Dallier. Ce sera un peu tard…

Mme la présidente. Je mets aux voix l’article 14.

(Larticle 14 est adopté.)

Article 14
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 14 bis

Article 14 bis A

(Non modifié)

Après l’article L. 121-4-1 du code de l’éducation, il est inséré un article L. 121-4-2 ainsi rédigé :

« Art. L. 121-4-2. – L’autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d’enseignement scolaire met à la disposition du public le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE comportant la liste de ces traitements. » – (Adopté.)

Article 14 bis A
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 16 A

Article 14 bis

Le III de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

« Lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible. »

Mme la présidente. Je suis saisie de trois amendements faisant l’objet d’une discussion commune.

L’amendement n° 7 rectifié, présenté par M. Malhuret, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Compléter cet article par un paragraphe ainsi rédigé :

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

La parole est à M. Jérôme Bignon.

M. Jérôme Bignon. Madame la présidente, en même temps que cet amendement, je défendrai les deux amendements suivants, qui sont des amendements de repli.

Sans revenir sur la décision de la commission de maintenir l’âge du consentement à seize ans, ces amendements visent à mieux encadrer la procédure de consentement conjoint prévue dans le règlement général sur la protection des données, le RGPD.

En effet, le RGPD est flou ; « ce traitement n’est licite », nous dit son article 8, « que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. » Cette disposition ne pose pas de difficulté. Toutefois, l’article 8 dispose ensuite, et c’est là que les choses se compliquent : « Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles. »

Que signifie « s’efforce raisonnablement » ? Juridiquement, que recouvre cette expression ? Par ailleurs, comment pouvons-nous vérifier que les moyens technologiques sont bien tous pertinents ?

Mes chers collègues, avec ces trois amendements, nous vous offrons plusieurs possibilités.

L’amendement n° 7 rectifié, qui est le plus complet, a notre préférence, car il renforcerait de façon certaine les droits des mineurs et la manière dont leur consentement est sollicité et acquis. Toutefois, s’il devait ne pas vous satisfaire, nous vous invitons à vous replier sur l’amendement n° 9 rectifié bis, qui est un peu moins exigeant, voire sur l’amendement n° 8 rectifié, qui l’est encore un peu moins. Je vous en épargne la lecture, mais vous aurez compris que ces trois amendements correspondent à des degrés de protection qui vont decrescendo.

Mme la présidente. L’amendement n° 9 rectifié bis, présenté par M. Malhuret, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Compléter cet article par un paragraphe ainsi rédigé :

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »

Cet amendement a été défendu.

L’amendement n° 8 rectifié, présenté par M. Malhuret, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Compléter cet article par un paragraphe ainsi rédigé :

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Cet amendement a également été défendu.

Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Ces amendements sont en partie satisfaits par le règlement général sur la protection des données. En effet, aux termes de l’article 8, paragraphe 1, du règlement, « lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. » Or il est inutile et même interdit par la jurisprudence de la Cour de justice de l’Union européenne de recopier ces dispositions dans le droit national.

De plus, ces amendements visent à réintroduire une notion de double consentement qui n’est pas tout à fait convaincante, puisqu’elle conditionne la licéité du traitement des données des mineurs au consentement tant du représentant légal que du mineur concerné. D’un point de vue juridique, cet ajout ne semble pas compatible avec les termes du règlement, qui ne prévoit ni n’autorise une telle condition supplémentaire.

En conséquence, je vous propose de nous en tenir au règlement général et sollicite le retrait de ces amendements.

M. Jérôme Bignon. Dans ces conditions, je retire mes amendements, madame la présidente.

Mme la présidente. Les amendements nos 7 rectifié, 9 rectifié bis et 8 rectifié sont retirés.

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement partageait l’avis de Mme la rapporteur sur ces amendements.

Mme la présidente. Je mets aux voix l’article 14 bis.

(Larticle 14 bis est adopté.)

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Chapitre VI

Voies de recours

Article 14 bis
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 16

Article 16 A

L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° AA Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;

1° A Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés » ;

1° Le III est ainsi rédigé :

« III. – Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

« Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2020. » ;

2° Le IV est ainsi modifié :

a) Le 1° est complété par les mots : « et agréées par l’autorité administrative » ;

b) Il est ajouté un alinéa ainsi rédigé :

« L’agrément prévu au 1° est notamment subordonné à l’activité effective et publique de l’association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d’agrément et du retrait de l’agrément sont déterminées par décret en Conseil d’État. » ;

3° Il est ajouté un V ainsi rédigé :

« V. – Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

Mme la présidente. L’amendement n° 12, présenté par MM. Durain, Sueur, Kanner et Leconte, Mmes de la Gontrie et S. Robert, M. Kerrouche et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 6

Remplacer la date :

24 mai 2020

par la date :

24 mai 2018

La parole est à M. Jérôme Durain.

M. Jérôme Durain. Madame la présidente, je présenterai en même temps les amendements nos 12, 13 et 14.

Ces amendements concernent la portée de l’action de groupe en réparation des préjudices matériels et moraux subis par les personnes concernées par la violation de leurs données personnelles, l’amendement n° 12 portant sur la date d’application de la mesure, quand l’amendement n° 13 a trait à la condition d’agrément que Mme la rapporteur souhaitait rétablir.

Si l’on estime que l’action de groupe est une avancée réelle, il n’y a pas lieu de la limiter dans son périmètre ni dans son calendrier. Il ne convient de la limiter que si l’on considère qu’elle n’est pas utile !

Avec l’amendement n° 12, nous voulons rétablir l’entrée en vigueur de cette mesure à la date du 24 mai 2018.

L’amendement n° 13 vise, quant à lui, à revenir sur le choix de la commission des lois de soumettre à un agrément de l’autorité administrative la faculté pour une association d’exercer une action de groupe en matière de données personnelles.

L’amendement n° 14, qui sera examiné à l’article 24 – je vous le présente tout de suite pour ne pas allonger inutilement nos débats – est un amendement de coordination avec les deux autres.

Mme la présidente. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Nos collègues du groupe socialiste et républicain souhaitent que l’action de groupe en réparation des dommages dans le domaine des données personnelles entre immédiatement en vigueur. Ce n’est pas notre position.

Par conséquent, la commission sollicite le retrait de l’amendement n° 12.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Comme à plusieurs reprises depuis le début de la discussion des articles, le Gouvernement s’en remet à la sagesse du Sénat.

Mme la présidente. Monsieur Durain, l’amendement n° 12 est-il maintenu ?

M. Jérôme Durain. Non, je le retire, madame la présidente.

Mme la présidente. L’amendement n° 12 est retiré.

L’amendement n° 13, présenté par MM. Durain, Sueur, Kanner et Leconte, Mmes de la Gontrie et S. Robert, M. Kerrouche et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéas 7 à 11

Remplacer ces alinéas par un alinéa ainsi rédigé :

2° Le IV est complété par un alinéa ainsi rédigé :

Cet amendement a été défendu.

Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. En première lecture, le Sénat avait souhaité introduire l’agrément visé, afin d’éviter les procédures abusives.

L’agrément n’aurait pas été soumis à des conditions excessives, puisqu’il s’agissait simplement de s’assurer de l’activité effective de l’association, de la transparence de sa gestion, de sa représentativité et de son indépendance. Au reste, un tel agrément est requis en matière de consommation, d’environnement et de santé.

Cela dit, le droit en vigueur comporte déjà de nombreux garde-fous, puisque seules peuvent agir les associations régulièrement déclarées depuis cinq ans au moins et ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, ainsi que les associations de consommateurs agréées et les syndicats.

Au demeurant, le Sénat avait proposé ce compromis en commission mixte paritaire… De fait, cela pourrait marquer un pas vers la réconciliation de nos deux assemblées.

La commission s’en remet à la sagesse du Sénat.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Favorable.

Mme la présidente. Je mets aux voix l’amendement n° 13.

(Lamendement est adopté.)

Mme la présidente. Je mets aux voix l’article 16 A, modifié.

(Larticle 16 A est adopté.)

Article 16 A
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 17 bis

Article 16

La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :

« Art. 43 quater. – Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII de la présente loi.

« L’agrément prévu au 1° du IV de l’article 43 ter n’est pas requis pour qu’une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. » – (Adopté.)

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Article 16
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 17 ter

Article 17 bis

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

Peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d’ordre technique ou de sécurité les possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d’utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles. – (Adopté.)

Article 17 bis
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 18

Article 17 ter

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420-2-3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur un marché de services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ». – (Adopté.)

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL

Article 17 ter
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 19

Article 18

(Non modifié)

I à III. – (Non modifiés)

IV. – À l’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés. – (Adopté.)

Article 18
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 19 bis

Article 19

Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

« CHAPITRE XIII

« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

« Section 1

« Dispositions générales

« Art. 70-1. – Le présent chapitre s’applique, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente.

« Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour l’une des finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa et où sont respectées les dispositions des articles 70-3 et 70-4. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions concernées.

« Pour l’application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.

« Art. 70-2. – Le traitement de données mentionnées au I de l’article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est autorisé par une disposition législative ou réglementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée.

« Art. 70-3. – Si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités énoncées au premier alinéa de l’article 70-1, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l’article 26 et aux articles 28 à 31.

« Si le traitement porte sur des données mentionnées au I de l’article 8, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l’article 26.

« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l’une des finalités prévues au premier alinéa de l’article 70-1 est autorisé par la Commission nationale de l’informatique et des libertés. La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.

« Art. 70-4. – Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel.

« Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue à l’article 30.

« Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l’informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel :

« 1° Soit lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;

« 2° Soit lorsque le type de traitement, en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

« Art. 70-5. – Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de l’article 70-1 ne peuvent être traitées pour d’autres finalités, à moins qu’un tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de l’Union européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Lorsque les autorités compétentes sont chargées d’exécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de l’article 70-1, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Si le traitement est soumis à des conditions spécifiques, l’autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter.

« L’autorité compétente qui transmet les données n’applique pas, en vertu du troisième alinéa du présent article, aux destinataires établis dans les autres États membres de l’Union européenne ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l’Union européenne des conditions différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève l’autorité compétente qui transmet les données.

« Art. 70-6. – Les traitements effectués pour l’une des finalités énoncées au premier alinéa de l’article 70-1 autre que celles pour lesquelles les données ont été collectées sont autorisés s’ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre.

« Ces traitements peuvent comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, pour l’une des finalités énoncées au premier alinéa de l’article 70-1.

« Art. 70-7. – (Non modifié)

« Art. 70-8. – Les données à caractère personnel fondées sur des faits sont distinguées de celles fondées sur des appréciations personnelles.

« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.

« Art. 70-10. – (Non modifié)

« Section 2

« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel

« Art. 70-11. – Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.

« S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.

« Art. 70-12. – Le responsable de traitement établit, le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

« 1° Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

« 2° Les personnes reconnues coupables d’une infraction pénale ;

« 3° Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;

« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux 1° et 2°.

« Art. 70-13. – I. – Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 de la présente loi.

« II. – En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d’une évaluation des risques, des mesures destinées à :

« 1° Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement ;

« 2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

« 3° Empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées ;

« 4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes qui n’y sont pas autorisées à l’aide d’installations de transmission de données ;

« 5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation ;

« 6° Garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

« 7° Garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

« 8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

« 9° Garantir que les systèmes installés puissent être rétablis en cas d’interruption ;

« 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

« Art. 70-14 et 70-15. – (Non modifiés)

« Art. 70-16. – Les articles 31, 33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

« Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement établi dans un autre État membre de l’Union européenne ou à celui-ci, le responsable de traitement établi en France notifie également la violation au responsable de traitement de l’autre État membre dans les meilleurs délais.

« La communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d’autrui.

« Art. 70-17. – Sauf pour les juridictions agissant dans l’exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.

« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, en fonction de leur structure organisationnelle et de leur taille.

« Les dispositions des 5 et 7 de l’article 37, des 1 et 2 de l’article 38 et du 1 de l’article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu’elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

« Section 3

« Droits de la personne concernée par un traitement de données à caractère personnel

« Art. 70-18. – I. – Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

« 1° L’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant et de ses sous-traitants. Les stipulations du contrat de sous-traitance relatives à la protection des données personnelles sont communiquées à l’intéressé s’il en fait la demande ;

« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;

« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;

« 4° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 5° L’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et l’existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.

« II. – En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :

« 1° La base juridique du traitement ;

« 2° La durée de conservation des données à caractère personnel ou, à défaut lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris ceux établis dans les États n’appartenant pas à l’Union européenne ou au sein d’organisations internationales ;

« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.

« Art. 70-19. – La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accéder auxdites données ainsi qu’aux informations suivantes :

« 1° Les finalités du traitement ainsi que sa base juridique ;

« 2° Les catégories de données à caractère personnel concernées ;

« 3° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des États n’appartenant pas à l’Union européenne ou au sein d’organisations internationales ;

« 4° Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, à défaut lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 5° L’existence du droit de demander au responsable de traitement la rectification ou l’effacement des données à caractère personnel, et l’existence du droit de demander une limitation du traitement de ces données ;

« 6° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 7° La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.

« Art. 70-20. – I. – La personne concernée a le droit d’obtenir du responsable de traitement :

« 1° Que soient rectifiées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant qui sont inexactes ;

« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

« 3° Que soient effacées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.

« II. – Lorsque l’intéressé en fait la demande, le responsable de traitement doit justifier qu’il a procédé aux opérations exigées en application du I.

« III. – Au lieu de procéder à l’effacement, le responsable de traitement limite le traitement :

« 1° Soit lorsque l’exactitude des données à caractère personnel est contestée par la personne concernée sans qu’il soit possible de déterminer si les données sont exactes ou non ;

« 2° Soit lorsque les données à caractère personnel doivent être conservées à des fins probatoires.

« Lorsque le traitement est limité en application du 1° du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.

« IV. – Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.

« V. – Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente de laquelle ces données proviennent.

« VI. – Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.

« Art. 70-21. – I. – Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :

« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;

« 2° Éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;

« 3° Protéger la sécurité publique ;

« 4° Protéger la sécurité nationale ;

« 5° Protéger les droits et libertés d’autrui.

« Ces restrictions sont prévues par l’acte instaurant le traitement.

« II. – Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :

« 1° Retarder ou limiter la communication à la personne concernée des informations mentionnées au II de l’article 70-18 ou ne pas communiquer ces informations ;

« 2° Refuser ou limiter le droit d’accès de la personne concernée prévu à l’article 70-19 ;

« 3° Ne pas informer la personne du refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ni des motifs de cette décision, par dérogation au IV de l’article 70-20.

« III. – Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d’accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l’informatique et des libertés.

« IV. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d’exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés et de former un recours juridictionnel.

« Art. 70-22 et 70-23. – (Non modifiés)

« Art. 70-24. – Les dispositions de la présente section ne s’appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l’objet d’un traitement lors d’une procédure pénale. Dans ces cas, l’accès à ces données et les conditions de rectification ou d’effacement de ces données ne peuvent être régis que par les dispositions du code de procédure pénale.

« Section 4

« Transferts de données à caractère personnel vers des États nappartenant pas à lUnion européenne ou vers des destinataires établis dans des États nappartenant pas à lUnion européenne

« Art. 70-25. – Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque les conditions suivantes sont respectées :

« 1° Le transfert de ces données est nécessaire à l’une des finalités énoncées au premier alinéa de l’article 70-1 ;

« 2° Les données à caractère personnel sont transférées à un responsable établi dans cet État n’appartenant pas à l’Union européenne ou au sein d’une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l’article 70-1 ;

« 3° Si les données à caractère personnel proviennent d’un autre État, l’État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

« Toutefois, si l’autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l’autorisation préalable de l’État qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts essentiels de la France. L’autorité dont provenaient ces données personnelles en est informée sans retard ;

« 4° La Commission européenne a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l’absence d’une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l’absence d’une telle décision et d’un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu’il existe de telles garanties appropriées.

« Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État n’appartenant pas à l’Union européenne, soit de dispositions juridiquement contraignantes exigées à l’occasion de l’échange de données.

« Lorsque le responsable de traitement autre qu’une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles transfère des données à caractère personnel sur le seul fondement de l’existence de garanties appropriées au regard de la protection des données à caractère personnel, il avise la Commission nationale de l’informatique et des libertés des catégories de transferts relevant de ce fondement.

« Dans ce cas, le responsable de traitement doit garder trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Ces informations sont mises à la disposition de la Commission nationale de l’informatique et des libertés à sa demande.

« Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d’adéquation adoptée en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement peut néanmoins transférer des données à caractère personnel ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

« Art. 70-26. – (Non modifié)

« Art. 70-27. – Toute autorité publique compétente mentionnée au premier alinéa de l’article 70-1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État n’appartenant pas à l’Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant du même article 70-1 sont respectées et que les conditions ci-après sont remplies :

« 1° Le transfert est nécessaire à l’exécution de la mission de l’autorité compétente qui transfère ces données pour l’une des finalités énoncées au premier alinéa dudit article 70-1 ;

« 2° L’autorité compétente qui transfère ces données établit qu’il n’existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l’intérêt public rendant nécessaire le transfert dans le cas considéré ;

« 3° L’autorité compétente qui transfère ces données estime que le transfert à l’autorité compétente de l’autre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;

« 4° L’autorité compétente de l’autre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;

« 5° L’autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l’objet d’un traitement par ce destinataire, à condition qu’un tel traitement soit nécessaire.

« L’autorité compétente qui transfère des données informe la Commission nationale de l’informatique et des libertés des transferts répondant aux conditions prévues au présent article.

« L’autorité compétente garde trace de la date et de l’heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »