PROJET DE LOI

Description : Description : LOGO

N° 809

_____

ASSEMBLÉE  NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUINZIÈME LÉGISLATURE

Enregistré à la Présidence de lAssemblée nationale le 22 mars 2018.

PROJET  DE  LOI

MODIFIÉ PAR LE SÉNAT,

relatif à la protection des données personnelles,

(Procédure accélérée)

TRANSMIS PAR

M. LE PREMIER MINISTRE

à

M. LE PRÉSIDENT

DE LASSEMBLÉE NATIONALE

(Renvoyé à la commission des lois constitutionnelles, de la législation et de ladministration générale
de la République, à défaut de constitution dune commission spéciale
dans les délais prévus par les articles 30 et 31 du Règlement.)

Le Sénat a modifié, en première lecture, le projet de loi, adopté par lAssemblée nationale en première lecture après engagement de la procédure accélérée, dont la teneur suit :

              Voir les numéros :

              Assemblée nationale :              490, 592, 579 et T.A. 84.

              Sénat :              296, 350, 351, 344 et T.A. 76 (20172018).

 


TITRE IER

DISPOSITIONS dadaptation COMMUNES
AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN
ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL
DU 27 AVRIL 2016

Chapitre Ier

Dispositions relatives à la Commission nationale
de linformatique et des libertés

Article 1er

(1) Larticle 11 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés est ainsi modifié :

(2)  Au début du premier alinéa, est ajoutée la mention : « I.  » ;

(3)  Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est lautorité de contrôle nationale au sens et pour lapplication du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité » ;

(4)  bis Le 1° est complété par les mots : « et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;

(5)  Le 2° est ainsi modifié :

(6) aa) Le premier alinéa est complété par les mots : « et aux dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de lUnion européenne et les engagements internationaux de la France » ;

(7) a) Au a, les mots : « autorise les traitements mentionnés à larticle 25, » et les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;

(8) b) Après le même a, il est inséré un a bis ainsi rédigé :

(9) « a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à lévaluation préalable des risques par les responsables de traitement et leurs soustraitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage lélaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs soustraitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »

(10) c) Le b est ainsi rédigé :

(11) « b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue dassurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en œuvre pour le compte de lÉtat agissant dans lexercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de larticle 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à larticle 10 du même règlement ; »

(12) d) Après le f, sont insérés des f bis et f ter ainsi rédigés :

(13) « f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître quils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par lorganisme national daccréditation, mentionné au b du 1 de larticle 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil dÉtat pris après avis de la Commission nationale de linformatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et dagrément ;

(14) « f ter) (nouveau) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de lautorité nationale en matière de sécurité et de défense des systèmes dinformation, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître quils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, quils garantissent la possibilité de désactiver la collecte des données de lutilisateur et quils répondent à des exigences élevées en matière de sécurité ; »

(15) e) Au g, après le mot : « certification », sont insérés les mots : « , par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;

(16) f) À la fin du h, les mots : « daccès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41, 42 et 7022 » ;

(17) g) Sont ajoutés des i et j ainsi rédigés :

(18) « i) Elle établit une liste des traitements susceptibles de créer un risque élevé devant faire lobjet dune consultation préalable conformément à larticle 704 ;

(19) « j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de larticle L. 6111 du code de la consommation, en vue de la bonne application de la présente loi ; »

(20)  Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée : « Elle peut également être consultée par le Président de lAssemblée nationale ou par le Président du Sénat sur toute proposition de loi ou sur toute disposition dune proposition de loi relative à la protection ou au traitement des données à caractère personnel. » ;

(21)  Après le même 4°, il est inséré un 5° ainsi rédigé :

(22) «  Elle peut présenter des observations devant toute juridiction à loccasion dun litige relatif à lapplication de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de lUnion européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;

(23)  Au début du vingtsixième alinéa, est ajoutée la mention : « II.  » ;

(24)  (nouveau) Lavantdernier alinéa est supprimé.

Article 1er bis

(Supprimé)

Article 2

Au 7° du I de larticle 13 de la loi  7817 du 6 janvier 1978 précitée, après le mot : « numérique », sont insérés les mots : « ou des questions touchant aux libertés individuelles ».

Article 2 bis

(1) Larticle 15 de la loi  7817 du 6 janvier 1978 précitée est complété par trois alinéas ainsi rédigés :

(2) «  au 4 de larticle 34 du règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;

(3) «  aux a et h du 3 de larticle 58 du même règlement.

(4) « Un décret en Conseil dÉtat, pris après avis de la Commission nationale de linformatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le viceprésident délégué peuvent déléguer leur signature. »

Article 3

(Conforme)

Article 4

(1) Larticle 44 de la loi  7817 du 6 janvier 1978 précitée est ainsi modifié :

(2)  Au premier alinéa du I, les mots : « et qui sont à usage professionnel » sont supprimés ;

(3)  Le II est ainsi modifié :

(4) a) À la première phrase du premier alinéa, les mots : « de locaux professionnels privés » sont remplacés par les mots : « de ces lieux, locaux, enceintes, installations ou établissements » ;

(5) b) La dernière phrase du dernier alinéa est complétée par les mots : « dont la finalité est lexercice effectif des missions prévues au III » ;

(6)  Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés :

(7) « Pour lexercice des missions relevant de la Commission nationale de linformatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à laccomplissement de leur mission, quel quen soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à laccomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à légard des tiers, aux programmes informatiques et aux données ainsi quen demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.

(8) « Le secret médical est opposable sagissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de ladministration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous lautorité et en présence dun médecin. » ;

(9)  Avant le dernier alinéa du même III, sont insérés deux alinéas ainsi rédigés :

(10) « Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité demprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. Lutilisation dune identité demprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil dÉtat, pris après avis de la Commission nationale de linformatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.

(11) « Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts. » ;

(12)  Il est ajouté un V ainsi rédigé :

(13) « V.  Dans lexercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de linformatique et des libertés nest pas compétente pour contrôler les opérations de traitement effectuées, dans lexercice de leur fonction juridictionnelle, par les juridictions. »

Article 5

(1) La loi  7817 du 6 janvier 1978 précitée est ainsi modifiée :

(2)  A Après larticle 48, il est inséré un chapitre VII bis, intitulé : « De la coopération » et comprenant les articles 49 à 495 tels quils résultent des 1° à 3° du présent article ;

(3)  Larticle 49 est ainsi rédigé :

(4) « Art. 49.  Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de linformatique et des libertés met en œuvre des procédures de coopération et dassistance mutuelle avec les autorités de contrôle des autres États membres de lUnion européenne et réalise avec ces autorités des opérations conjointes.

(5) « La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

(6) « La commission peut charger le bureau :

(7) «  dexercer ses prérogatives en tant quautorité concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier démettre une objection pertinente et motivée au projet de décision dune autre autorité de contrôle ;

(8) «  lorsque la commission adopte un projet de décision en tant quautorité chef de file ou autorité compétente, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par ledit règlement et darrêter la décision au nom de la commission. » ;

(9)  Après le même article 49, sont insérés des articles 491 à 494 ainsi rédigés :

(10) « Art. 491.  I.  Pour lapplication de larticle 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de linformatique et des libertés coopère avec les autorités de contrôle des autres États membres de lUnion européenne, dans les conditions prévues au présent article.

(11) « II.  Quelle agisse en tant quautorité de contrôle chef de file ou en tant quautorité concernée au sens des articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de linformatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs dautres États membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes quil décide de conduire.

(12) « III.  Lorsquune opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant quautorité de contrôle daccueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à lopération. À la demande de lautorité de contrôle dun État membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de lautorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de larticle 19 de la présente loi, à exercer, sous son autorité et son contrôle, tout ou partie des pouvoirs de vérification et denquête dont disposent les membres et les agents de la commission.

(13) « IV.  Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par lautorité de contrôle dun autre État membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe lautorité requérante dans les conditions prévues à larticle 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(14) « Art. 492.  I.  Les traitements mentionnés à larticle 701 font lobjet dune coopération entre la Commission nationale de linformatique et des libertés et les autorités de contrôle des autres États membres de lUnion européenne dans les conditions prévues au présent article.

(15) « II.  La commission communique aux autorités de contrôle des autres États membres les informations utiles et leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, dinspection et denquête.

(16) « La commission répond à une demande dassistance mutuelle formulée par une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle nest pas compétente pour traiter lobjet de la demande ou les mesures quelle est invitée à exécuter, ou si une disposition du droit de lUnion européenne ou du droit français y fait obstacle.

(17) « La commission informe lautorité de contrôle requérante des résultats obtenus ou, selon le cas, de lavancement du dossier ou des mesures prises pour donner suite à la demande.

(18) « La commission peut, pour lexercice de ses missions, solliciter lassistance dune autorité de contrôle dun autre État membre de lUnion européenne.

(19) « La commission donne les motifs de tout refus de satisfaire à une demande lorsquelle estime ne pas être compétente ou lorsquelle considère que satisfaire à la demande constituerait une violation du droit de lUnion européenne ou du droit français.

(20) « Art. 493.  Lorsque la commission agit en tant quautorité de contrôle chef de file sagissant dun traitement transfrontalier au sein de lUnion européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de larticle 47 ainsi que lensemble des informations utiles de la procédure ayant permis détablir le rapport, avant léventuelle audition du responsable de traitement ou de son soustraitant. Les autorités concernées sont mises en mesure dassister, par tout moyen de retransmission approprié, à laudition par la formation restreinte du responsable de traitement ou de son soustraitant, ou de prendre connaissance dun procèsverbal dressé à la suite de laudition.

(21) « Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à larticle 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. À ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide décarter lune des objections, le comité européen de la protection des données conformément à larticle 65 du même règlement.

(22) « Les conditions dapplication du présent article sont définies par décret en Conseil dÉtat, après avis de la Commission nationale de linformatique et des libertés.

(23) « Art. 494.  Lorsque la commission agit en tant quautorité de contrôle concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.

(24) « Lorsque ces mesures sont dobjet équivalent à celles définies aux I et II de larticle 45 de la présente loi, le président décide, le cas échéant, démettre une objection pertinente et motivée selon les modalités prévues à larticle 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(25) « Lorsque ces mesures sont dobjet équivalent à celles définies au III de larticle 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte quil désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités. » ;

(26)  Larticle 49 bis devient larticle 495.

Article 6

(1) I.  La loi  7817 du 6 janvier 1978 précitée est ainsi modifiée :

(2)  Lintitulé du chapitre VII est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission nationale de linformatique et des libertés » ;

(3)  Larticle 45 est ainsi rédigé :

(4) « Art. 45.  I.  Le président de la Commission nationale de linformatique et des libertés peut avertir un responsable de traitement ou son soustraitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.

(5) « II.  Lorsque le responsable de traitement ou son soustraitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de linformatique et des libertés peut, si le manquement constaté est susceptible de faire lobjet dune mise en conformité, prononcer à son égard une mise en demeure, dans le délai quil fixe :

(6) «  De satisfaire aux demandes présentées par la personne concernée en vue dexercer ses droits ;

(7) «  De mettre les opérations de traitement en conformité avec les dispositions applicables ;

(8) «  À lexception des traitements qui intéressent la sûreté de lÉtat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

(9) «  De rectifier ou deffacer des données à caractère personnel, ou de limiter le traitement de ces données.

(10) « Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son soustraitant de notifier aux destinataires des données les mesures quil a prises.

(11) « Le délai de mise en conformité peut être fixé à vingtquatre heures en cas dextrême urgence.

(12) « Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

(13) « Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait lobjet de la même publicité.

(14) « III.  Lorsque le responsable de traitement ou son soustraitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de linformatique et des libertés peut également, le cas échéant après lui avoir adressé lavertissement prévu au I du présent article ou, le cas échéant, en complément dune mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de lune ou de plusieurs des mesures suivantes :

(15) «  Un rappel à lordre ;

(16) «  Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue dexercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par lÉtat, par une collectivité territoriale ou par un groupement de collectivités territoriales, dune astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date quelle a fixée ;

(17) «  À lexception des traitements qui intéressent la sûreté de lÉtat ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsquils sont mis en œuvre pour le compte de lÉtat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait dune autorisation accordée en application du même règlement ou de la présente loi ;

(18) «  Le retrait dune certification ou linjonction, à lorganisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

(19) «  La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

(20) «  La suspension partielle ou totale de la décision dapprobation des règles dentreprise contraignantes ;

(21) «  À lexception des cas où le traitement est mis en œuvre par lÉtat, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions deuros ou, sagissant dune entreprise, 2 % du chiffre daffaires annuel mondial total de lexercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de larticle 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions deuros et 4 % dudit chiffre daffaires. La formation restreinte prend en compte, dans la détermination du montant de lamende, les critères précisés au même article 83.

(22) « Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à larticle 60 du même règlement. » ;

(23)  Larticle 46 est ainsi rédigé :

(24) « Art. 46.  I.  Lorsque le nonrespect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à larticle 1er de la présente loi et que le président de la commission considère quil est urgent dintervenir, il saisit la formation restreinte, qui peut, dans le cadre dune procédure durgence contradictoire définie par décret en Conseil dÉtat, adopter lune des mesures suivantes :

(25) «  Linterruption provisoire de la mise en œuvre du traitement, y compris dun transfert de données hors de lUnion européenne, pour une durée maximale de trois mois, si le traitement nest pas au nombre de ceux qui intéressent la sûreté de lÉtat ou la défense ou de ceux relevant du chapitre XIII lorsquils sont mis en œuvre pour le compte de lÉtat ;

(26) «  La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement nest pas au nombre de ceux qui intéressent la sûreté de lÉtat ou la défense ou de ceux relevant du même chapitre XIII lorsquils sont mis en œuvre pour le compte de lÉtat ;

(27) «  La suspension provisoire de la certification délivrée au responsable de traitement ou à son soustraitant ;

(28) «  La suspension provisoire de lagrément délivré à un organisme de certification ou un organisme chargé du respect dun code de conduite ;

(29) «  La suspension provisoire de lautorisation délivrée sur le fondement du III de larticle 54 de la présente loi ;

(30) «  Linjonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue dexercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par lÉtat, par une collectivité territoriale ou par un groupement de collectivités territoriales, dune astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date quelle a fixée ;

(31) «  Un rappel à lordre ;

(32) «  Linformation du Premier ministre pour quil prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de lÉtat ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsquils sont mis en œuvre pour le compte de lÉtat. Le Premier ministre fait alors connaître à la formation restreinte les suites quil a données à cette information au plus tard quinze jours après lavoir reçue.

(33) « II.  En cas de circonstances exceptionnelles prévues au 1 de larticle 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la Commission européenne.

(34) « Lorsque la formation restreinte a pris de telles mesures et quelle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de larticle 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(35) « III.  Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsquune autorité de contrôle compétente en application du même règlement na pas pris de mesure appropriée dans une situation où il est urgent dintervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis durgence ou une décision contraignante durgence dans les conditions et selon les modalités prévues aux 3 et 4 de larticle 66 dudit règlement.

(36) « IV.  En cas datteinte grave et immédiate aux droits et libertés mentionnés à larticle 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente dordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés. » ;

(37)  Larticle 47 est ainsi rédigé :

(38) « Art. 47.  Les mesures prévues au III de larticle 45 et aux 1° à 7° du I de larticle 46 sont prononcées sur la base dun rapport établi par lun des membres de la Commission nationale de linformatique et des libertés, désigné par le président de celleci parmi les membres nappartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son soustraitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont laudition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celleci.

(39) « La formation restreinte peut rendre publiques les mesures quelle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports quelle désigne, aux frais des personnes sanctionnées.

(40) « Sans préjudice des obligations dinformation qui incombent au responsable de traitement ou à son soustraitant en application de larticle 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce soustraitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.

(41) « Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celuici peut ordonner que lamende administrative simpute sur lamende pénale quil prononce.

(42) « Lastreinte est liquidée par la formation restreinte qui en fixe le montant définitif.

(43) « Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de lÉtat étrangères à limpôt et au domaine.

(44) « Leur produit est destiné à financer lassistance apportée par lÉtat aux responsables de traitement et à leurs soustraitants, afin quils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;

(45)  Larticle 48 est ainsi rédigé :

(46) « Art. 48.  Lorsquun organisme de certification ou un organisme chargé du respect dun code de conduite a manqué à ses obligations ou na pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de linformatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de lagrément qui a été délivré à cet organisme. »

(47) II (nouveau).  Au deuxième alinéa de larticle 22616 du code pénal, la référence : « I » est remplacée par la référence : « II ». Cet alinéa demeure applicable, dans sa rédaction résultant de la loi  20161321 du 7 octobre 2016 pour une République numérique, aux faits commis avant la date dentrée en vigueur du présent article pour lesquels laction publique avait été valablement exercée avant cette même date.

Article 6 bis (nouveau)

Le président de la Commission nationale de linformatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à lexercice des fonctions de délégué à la protection des données dans les administrations publiques.

Chapitre II

Dispositions relatives à certaines catégories de données

Article 7

(1) Larticle 8 de la loi  7817 du 6 janvier 1978 précitée est ainsi modifié :

(2)  Le I est ainsi rédigé :

(3) « I.  Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou lorigine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou lappartenance syndicale dune personne physique ou de traiter des données génétiques, des données biométriques aux fins didentifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou lorientation sexuelle dune personne physique. » ;

(4)  Le II est ainsi modifié :

(5) a) À la fin du 7°, les mots : « et dans les conditions prévues à larticle 25 de la présente loi » sont supprimés ;

(6) b) Le 8° est ainsi rédigé :

(7) «  Les traitements comportant des données concernant la santé justifiés par lintérêt public et conformes aux dispositions du chapitre IX de la présente loi ; »

(8) c) Sont ajoutés des 9° à 11° ainsi rédigés :

(9) «  Les traitements conformes aux règlements types mentionnés au b du 2° du I de larticle 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de laccès aux lieux de travail ainsi quaux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

(10) « 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à larticle L. 10 du code de justice administrative et à larticle L. 11113 du code de lorganisation judiciaire, sous réserve que ces traitements naient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

(11) « 11° (nouveau) Les traitements nécessaires à la recherche publique au sens de larticle L. 1121 du code de la recherche, mis en œuvre dans les conditions du 2 de larticle 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de linformatique et des libertés délivré selon les modalités prévues à larticle 28 de la présente loi. » ;

(12)  Le III est ainsi rédigé :

(13) « III.  Nentrent pas dans le champ de linterdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire lobjet, à bref délai, dun procédé danonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de linformatique et des libertés. » ;

(14)  Le IV est ainsi rédigé :

(15) « IV.  De même, ne sont pas soumis à linterdiction prévue au I les traitements, automatisés ou non, justifiés par lintérêt public et autorisés dans les conditions prévues au II de larticle 26. »

TITRE II

MARGES DE MANŒUVRE PERMISES
PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF
À LA PROTECTION DES PERSONNES PHYSIQUES
À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Article 8 A (nouveau)

(1) Larticle 2 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés est ainsi modifié :

(2)  Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;

(3)  Lavantdernier alinéa est complété par les mots : « que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Chapitre Ier

Champ dapplication territorial des dispositions complétant
le règlement (UE) 2016/679

Article 8

(Conforme)

Chapitre II

Dispositions relatives à la simplification des formalités préalables
à la mise en œuvre des traitements

Article 9

(1) I à III.  (Non modifiés)

(2) IV (nouveau).  Larticle 226161 A du code pénal est abrogé. Il demeure applicable, dans sa rédaction résultant de la loi  2004801 du 6 août 2004 relative à la protection des personnes physiques à légard des traitements de données à caractère personnel et modifiant la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés, aux faits commis avant la date dentrée en vigueur du présent article pour lesquels laction publique avait été valablement exercée avant cette même date.

Chapitre III

Obligations incombant aux responsables de traitement
et à leurs soustraitants

Article 10

(Conforme)

Article 10 bis (nouveau)

Le premier alinéa de larticle 34 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à nêtre accessibles quau moyen dune clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Chapitre IV

Dispositions relatives à certaines catégories particulières
de traitements

Article 11

(1) I.  Larticle 9 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés est ainsi modifié :

(2)  A (nouveau) Au début du premier alinéa, est ajoutée la mention : « I.  » ;

(3)  (Supprimé)

(4)  Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil dÉtat, pris après avis motivé et publié de la Commission nationale de linformatique et des libertés, dans la mesure strictement nécessaire à lexercice des missions qui leur sont confiées par la loi » ;

(5)  Le 3° est ainsi rédigé :

(6) «  Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, dexercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceuxci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à cette finalité. La communication à un tiers nest alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités. Un décret en Conseil dÉtat, pris après avis motivé et publié de la Commission nationale de linformatique et des libertés, fixe les modalités dapplication du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ; »

(7)  Il est ajouté un 5° ainsi rédigé :

(8) «  Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à larticle L. 10 du code de justice administrative et les décisions mentionnées à larticle L. 11113 du code de lorganisation judiciaire, sous réserve que les traitements mis en œuvre naient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;

(9)  (nouveau) Il est ajouté un II ainsi rédigé :

(10) « II.  Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à lexclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre quaprès autorisation de la Commission nationale de linformatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

(11) « Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celuici à la description figurant dans lautorisation.

(12) « La Commission nationale de linformatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne sest pas prononcée dans ces délais, la demande dautorisation est réputée rejetée. »

(13) II (nouveau).  Le deuxième alinéa de larticle L. 11113 du code de lorganisation judiciaire est ainsi rédigé :

(14) « Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, datteinte à la liberté dappréciation des magistrats et à limpartialité des juridictions. »

(15) III (nouveau).  Le troisième alinéa de larticle L. 10 du code de justice administrative est ainsi rédigé :

(16) « Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, datteinte à la liberté dappréciation des juges et à limpartialité des juridictions. »

Article 12

(1) I.  Larticle 36 de la loi  7817 du 6 janvier 1978 précitée est ainsi modifié :

(2)  Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans lintérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;

(3)  Les deuxième à dernier alinéas sont supprimés ;

(4)  Sont ajoutés deux alinéas ainsi rédigés :

(5) « Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics darchives à des fins archivistiques dans lintérêt public conformément à larticle L. 2112 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne sappliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à larticle 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à létat de lart en matière darchivage électronique.

(6) « Un décret en Conseil dÉtat, pris après avis motivé et publié de la Commission nationale de linformatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article. »

(7) II (nouveau).  Au 4° du IV de larticle L. 14611 du code de la santé publique, le mot : « deuxième » est remplacé par le mot : « premier ».

Article 12 bis (nouveau)

À la fin de la seconde phrase de larticle L. 21241 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés.

Article 13

(1) I.  Le chapitre IX de la loi  7817 du 6 janvier 1978 précitée est ainsi rédigé :

(2) « Chapitre IX

(3) « Traitements de données à caractère personnel
dans le domaine de la santé

(4) « Section 1

(5) « Dispositions générales

(6) « Art. 53.  Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à lexception des catégories de traitements suivantes :

(7) «  Les traitements relevant des 1° à 6° du II de larticle 8 de la présent loi ;

(8) «  Les traitements permettant deffectuer des études à partir des données recueillies en application du 6° du même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

(9) «  Les traitements mis en œuvre aux fins dassurer le service des prestations ou le contrôle par les organismes chargés de la gestion dun régime de base dassurance maladie ainsi que la prise en charge des prestations par les organismes dassurance maladie complémentaire ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques ;

(10) «  Les traitements effectués au sein des établissements de santé par les médecins responsables de linformation médicale, dans les conditions prévues au deuxième alinéa de larticle L. 61137 du code de la santé publique ;

(11) «  Les traitements effectués par les agences régionales de santé, par lÉtat et par la personne publique désignée par lui en application du premier alinéa de larticle L. 61138 du même code, dans le cadre défini au même article L. 61138.

(12) « Art. 54.  I.  Les traitements relevant du présent chapitre ne peuvent être mis en œuvre quen considération de la finalité dintérêt public quils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité dintérêt public.

(13) « II.  Des référentiels et règlements types, au sens des a bis et b du 2° du I de larticle 11, sappliquant aux traitements relevant du présent chapitre sont établis par la Commission nationale de linformatique et des libertés, en concertation avec lInstitut national des données de santé mentionné à larticle L. 14621 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

(14) « Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de linformatique et des libertés une déclaration attestant de cette conformité.

(15) « Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque dimpact sur la vie privée.

(16) « III.  Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre quaprès autorisation de la Commission nationale de linformatique et des libertés.

(17) « IV.  La Commission nationale de linformatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

(18) « V.  La Commission nationale de linformatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque lInstitut national des données de santé est saisi en application du II.

(19) « Lorsque la Commission nationale de linformatique et des libertés ne sest pas prononcée dans ces délais, la demande dautorisation est réputée acceptée. Cette disposition nest toutefois pas applicable si lautorisation fait lobjet dun avis préalable en application de la section 2 du présent chapitre et que lavis ou les avis rendus ne sont pas expressément favorables.

(20) « Art. 55.  Par dérogation à larticle 54, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés dune mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de linformatique et des libertés, ayant pour seule finalité de répondre, en cas de situation durgence, à une alerte sanitaire et den gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(21) « Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro dinscription des personnes au répertoire national didentification des personnes physiques sont mis en œuvre dans les conditions prévues à larticle 22 de la présente loi.

(22) « Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre audelà de ce délai.

(23) « Art. 56.  Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé en application de larticle 54 les données à caractère personnel quils détiennent.

(24) « Lorsque ces données permettent lidentification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de linformatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

(25) « Lorsque le résultat du traitement de données est rendu public, lidentification directe ou indirecte des personnes concernées doit être impossible.

(26) « Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à larticle 22613 du code pénal.

(27) « Art. 57.  Toute personne a le droit de sopposer à ce que des données à caractère personnel la concernant fassent lobjet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à larticle 53.

(28) « Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire lobjet dun traitement de données, sauf si lintéressé a, de son vivant, exprimé son refus par écrit.

(29) « Art. 58.  Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(30) « Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par larticle L. 11112 du code de la santé publique dêtre laissée dans lignorance dun diagnostic ou dun pronostic.

(31) « Art. 59.  Sont destinataires de linformation et exercent les droits de la personne concernée par le traitement les titulaires de lexercice de lautorité parentale, pour les mineurs, ou la personne chargée dune mission de représentation dans le cadre dune tutelle, dune habilitation familiale ou dun mandat de protection future, pour les majeurs protégés dont létat ne leur permet pas de prendre seuls une décision personnelle éclairée.

(32) « Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de larticle L. 11211 du code de la santé publique ou détudes ou dévaluations dans le domaine de la santé, ayant une finalité dintérêt public et incluant des personnes mineures, linformation peut être effectuée auprès dun seul des titulaires de lexercice de lautorité parentale sil est impossible dinformer lautre titulaire ou sil ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de létude ou de lévaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à lexercice ultérieur, par chaque titulaire de lexercice de lautorité parentale, des droits mentionnés au premier alinéa.

(33) « Pour ces traitements, le mineur âgé de quinze ans ou plus peut sopposer à ce que les titulaires de lexercice de lautorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de létude ou de lévaluation. Le mineur reçoit alors linformation et exerce seul ses droits.

(34) « Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut sopposer à ce que les titulaires de lexercice de lautorité parentale soient informés du traitement de données si le fait dy participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur sest expressément opposé à la consultation des titulaires de lautorité parentale, en application des articles L. 11115 et L. 111151 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de lassurance maladie et maternité et de la couverture complémentaire mise en place par la loi  99641 du 27 juillet 1999 portant création dune couverture maladie universelle. Il exerce alors seul ses droits.

(35) « Art. 60.  Une information relative aux dispositions du présent chapitre doit notamment être assurée dans tout établissement ou centre où sexercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue dun traitement mentionné au présent chapitre.

(36) « Section 2

(37) « Dispositions particulières relatives aux traitements à des fins
de recherche, détude ou dévaluation dans le domaine de la santé

(38) « Art. 61.  Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que lévaluation ou lanalyse des pratiques ou des activités de soins ou de prévention sont soumis à la section 1 du présent chapitre, sous réserve de la présente section.

(39) « LInstitut national des données de santé mentionné à larticle L. 14621 du code de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil dÉtat, par la Commission nationale de linformatique et des libertés ou le ministre chargé de la santé sur le caractère dintérêt public que présentent les traitements mentionnés au premier alinéa du présent article.

(40) « Art. 62.  Au titre des référentiels mentionnés au II de larticle 54 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de linformatique et des libertés. Elles sont établies en concertation avec lInstitut national des données de santé mentionné à larticle L. 14621 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

(41) « Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à larticle 54 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de linformatique et des libertés une déclaration attestant de cette conformité.

(42) « Art. 621.  Dans le cas où la recherche nécessite lexamen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article nest pas applicable aux recherches réalisées en application de larticle L. 113111 du code de la santé publique.

(43) « Art. 63.  Lautorisation du traitement est accordée par la Commission nationale de linformatique et des libertés dans les conditions définies à larticle 54, après avis :

(44) «  Du comité compétent de protection des personnes mentionné à larticle L. 11236 du code de la santé publique, pour les demandes dautorisation relatives aux recherches impliquant la personne humaine mentionnées à larticle L. 11211 du même code ;

(45) «  Du comité dexpertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes dautorisation relatives à des études ou à des évaluations ainsi quà des recherches nimpliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil dÉtat, pris après avis de la Commission nationale de linformatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité dexpertise sont soumis à larticle L. 14511 du code de la santé publique.

(46) « Les dossiers présentés dans le cadre de la présente section, à lexclusion des recherches impliquant la personne humaine, sont déposés auprès dun secrétariat unique assuré par lInstitut national des données de santé, qui assure leur orientation vers les instances compétentes.

(47) « Art. 64.  Dans le respect des missions et des pouvoirs de la Commission nationale de linformatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité daudit du système national des données de santé est institué. Ce comité daudit définit une stratégie daudit puis une programmation dont il informe la commission. Il fait réaliser des audits sur lensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, détude ou dévaluation et sur les systèmes composant le système national des données de santé.

(48) « Le comité daudit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale de lassurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de lInstitut national des données de santé, ainsi quune personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de linformatique et des libertés, ou son représentant, peut y assister en tant quobservateur.

(49) « Les audits, dont le contenu est défini par le comité daudit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière daudit de systèmes dinformation et de leur indépendance à légard de lentité auditée.

(50) « Le prestataire retenu soumet au président du comité daudit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

(51) « Les missions daudit sexercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous lautorité et en présence dun médecin, sagissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de ladministration de soins ou de traitements, ou de la gestion de service de santé.

(52) « Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité daudit, le responsable du traitement mentionné au II de larticle L. 14611 du code de la santé publique et le président de la Commission nationale de linformatique et des libertés.

(53) « Si le comité daudit a connaissance dinformations de nature à révéler des manquements graves en amont ou au cours dun audit ou en cas dopposition ou dobstruction à laudit, un signalement est adressé sans délai par le président du comité daudit au président de la Commission nationale de linformatique et des libertés.

(54) « Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes dinformation audités.

(55) « Si la mission constate, à lissue de laudit, de graves manquements, elle en informe sans délai le président du comité daudit qui informe sans délai le président de la Commission nationale de linformatique et des libertés et le responsable du traitement mentionné au II du même article L. 14611.

(56) « En cas durgence, le directeur général de la Caisse nationale dassurance maladie peut suspendre temporairement laccès au système national des données de santé avant le terme de laudit sil dispose déléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de laccès ne peut se faire quavec laccord de ce dernier au regard des mesures correctives prises par lentité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de linformatique et des libertés.

(57) « Le rapport définitif de chaque mission est transmis au comité daudit, au président de la Commission nationale de linformatique et des libertés et au responsable du traitement audité.

(58) « Un décret en Conseil dÉtat, pris après avis de la Commission nationale de linformatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement, ainsi que les modalités de laudit. »

(59) II (nouveau).  Le code de la santé publique est ainsi modifié :

(60)  Au 7° de larticle L. 11221, la référence : « 57 » est remplacée par la référence : « 58 » ;

(61)  Au treizième alinéa de larticle L. 11237, la référence : « au I de larticle 54 » est remplacée par la référence : « à larticle 61 » ;

(62)  Au second alinéa du IV de larticle L. 11241, la référence : « du II de larticle 54 » est remplacée par la référence : « de larticle 63 » ;

(63)  Au 6° de larticle L. 14617, la référence : « 56 » est remplacée par la référence : « 57 » ;

(64)  (nouveau) La seconde phrase du sixième alinéa de larticle L. 61137 est ainsi rédigée : « Les conditions de cette désignation et les modes dorganisation de la fonction dinformation médicale en particulier les conditions dans lesquelles des personnels placés sous lautorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à larticle L. 614516 du présent code peuvent contribuer au traitement des données, sont fixés par décret. »

Article 13 bis

(Conforme)

Article 13 ter (nouveau)

(1) I.  Larticle L. 412391 du code de la défense est ainsi rédigé :

(2) « Art. L. 412391.  I.  Le responsable dun traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à lune des finalités du traitement.

(3) « À lexclusion des traitements mis en œuvre pour le compte de lÉtat, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de lobligation posée au premier alinéa du présent I, la mention de la qualité de militaire.

(4) « Les personnes accédant aux données personnelles de militaires peuvent faire lobjet dune enquête administrative aux seules fins didentifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de lidentité de ces personnes dans le seul but de procéder à cette enquête. Celleci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de larticle 26 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés, selon les règles propres à chacun deux.

(5) « Dans lhypothèse où le ministre compétent considère, sur le fondement de lenquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes laccès aux données personnelles de militaires y figurant.

(6) « II.  Sans préjudice du 1 de larticle 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou daccès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent.

(7) « III.  Un décret en Conseil dÉtat, pris après avis de la Commission nationale de linformatique et des libertés, détermine les conditions dapplication du présent article.

(8) « IV.  Est puni :

(9) «  Dun an demprisonnement et de 100 000 € damende le manquement, y compris par négligence, à lobligation prévue au deuxième alinéa du I du présent article ;

(10) «  De trois ans demprisonnement et de 300 000 € damende le fait de permettre aux personnes mentionnées au dernier alinéa du I laccès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

(11) «  De trois ans demprisonnement et de 300 000 € damende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »

(12) II.  Dans le délai dun an suivant lentrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité dagent public, lorsque cette mention nest pas strictement nécessaire à lune des finalités du traitement.

(13) III.  Le dernier alinéa de larticle 22616 et le second alinéa de larticle 226171 du code pénal sont supprimés.

(14) IV.  Larticle 117 de la loi  2016731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant lefficacité et les garanties de la procédure pénale est abrogé.

Chapitre V

Dispositions particulières relatives aux droits des personnes concernées

Article 14 AA

(Conforme)

Article 14 A

(Supprimé)

Article 14

(1) I.  Larticle 10 de la loi  7817 du 6 janvier 1978 précitée est ainsi rédigé :

(2) « Art. 10.  Aucune décision de justice impliquant une appréciation sur le comportement dune personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

(3) « Aucune décision produisant des effets juridiques à légard dune personne ou laffectant de manière significative ne peut être prise sur le seul fondement dun traitement automatisé de données à caractère personnel, y compris le profilage, à lexception :

(4) «  Des cas mentionnés aux a et c du 2 de larticle 22 du même règlement, sous les réserves mentionnées au 3 du même article 22 et à condition, lorsque la décision produit des effets juridiques, que lintéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

(5) «  Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont lobjet est dappliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement, à condition que le traitement ne porte pas sur des données mentionnées au I de larticle 8 de la présente loi et que lintéressé puisse exprimer son point de vue et contester la décision ;

(6) «  (Supprimé)

(7) « Par dérogation au 2° du présent article, aucune décision par laquelle ladministration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et ladministration ne peut être prise sur le seul fondement dun traitement automatisé de données à caractère personnel. »

(8) II (nouveau).  Le premier alinéa de larticle L. 31131 du code des relations entre le public et ladministration est ainsi modifié :

(9)  À la première phrase, après le mot : « comporte », sont insérés les mots : « , à peine de nullité, » ;

(10)  (nouveau) À la fin de la seconde phrase, les mots : « communiquées par ladministration à lintéressé sil en fait la demande » sont remplacés par les mots : « publiées, ainsi que les modifications ultérieures relatives à ces règles ou caractéristiques ».

(11) III (nouveau).  Le dernier alinéa du I de larticle L. 6123 du code de léducation est supprimé.

Article 14 bis A (nouveau)

(1) Après larticle L. 12141 du code de léducation, il est inséré un article L. 12142 ainsi rédigé :

(2) « Art. L. 12142.  Les établissements denseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

Article 14 bis

(1) Le III de larticle 32 de la loi  7817 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

(2) « Lorsque les données à caractère personnel sont collectées auprès dun mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible. »

Article 15

(Conforme)

Chapitre VI

Voies de recours

Article 16 A

(1) Larticle 43 ter de la loi  7817 du 6 janvier 1978 précitée est ainsi modifié :

(2)  AA (nouveau) Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;

(3)  A Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de linformatique et des libertés » ;

(4)  Le III est ainsi rédigé :

(5) « III.  Cette action peut être exercée en vue soit de la cessation du manquement mentionné au II, soit de lengagement de la responsabilité de la personne ayant causé le dommage afin dobtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

(6) « Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 25 mai 2020. » ;

(7)  Le IV est ainsi modifié :

(8) a) (nouveau) Le 1° est complété par les mots : « et agréées par lautorité administrative » ;

(9) b) (nouveau) Il est ajouté un alinéa ainsi rédigé :

(10) « Lagrément prévu au 1° est notamment subordonné à lactivité effective et publique de lassociation en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions dagrément et du retrait de lagrément sont déterminées par décret en Conseil dÉtat. » ;

(11)  Il est ajouté un V ainsi rédigé :

(12) « V.  Lorsque laction tend à la réparation des préjudices subis, elle sexerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi  20161547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

Article 16

(1) La section 2 du chapitre V de la loi  7817 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :

(2) « Art. 43 quater.  Toute personne peut mandater une association ou une organisation mentionnée au IV de larticle 43 ter aux fins dexercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de linformatique et des libertés, contre celleci devant un juge ou contre le responsable de traitement ou son soustraitant devant une juridiction lorsquest en cause un traitement relevant du chapitre XIII de la présente loi.

(3) « Lagrément prévu au 1° du IV de larticle 43 ter nest pas requis pour quune association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »

Article 17

(1) I.  La section 2 du chapitre V de la loi  7817 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé :

(2) « Art. 43 quinquies.  Dans le cas où, saisie dune réclamation dirigée contre un responsable de traitement ou son soustraitant, la Commission nationale de linformatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés dune personne à légard du traitement de ses données à caractère personnel, ou de manière générale afin dassurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil dÉtat dordonner la suspension dun transfert de données, le cas échéant sous astreinte, et assortit alors ses conclusions dune demande de question préjudicielle à la Cour de justice de lUnion européenne en vue dapprécier la validité de la décision dadéquation de la Commission européenne prise sur le fondement de larticle 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à larticle 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans lexercice de sa fonction juridictionnelle, la Commission nationale de linformatique et des libertés peut saisir dans les mêmes conditions le Conseil dÉtat aux fins dordonner la suspension du transfert de données fondé sur une décision dadéquation de la Commission européenne prise sur le fondement de larticle 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décisioncadre 2008/977/JAI du Conseil dans lattente de lappréciation par la Cour de justice de lUnion européenne de la validité de cette décision dadéquation. »

(3) II (nouveau).  Larticle 226221 du code pénal est ainsi modifié :

(4)  Les mots : « , hors les cas prévus par la loi, » sont supprimés ;

(5)  Les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de linformatique et des libertés mentionnées à larticle 70 » sont remplacés par les mots : « lUnion européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou des articles 7025 à 7027 ».

Article 17 bis (nouveau)

En application de larticle 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats quil conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de lutilisateur final dans les conditions définies au 11 de larticle 4 du même règlement.

Article 17 ter (nouveau)

(1) Le livre IV du code de commerce est ainsi modifié :

(2)  Après larticle L. 42022, il est inséré un article L. 42023 ainsi rédigé :

(3) « Art. L. 42023.  Est prohibée, lorsquelle tend à limiter laccès au marché ou le libre exercice de la concurrence par dautres entreprises, lexploitation abusive par une entreprise ou un groupe dentreprises dune position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente dun tel équipement à lachat concomitant dun tel service. » ;

(4)  À la fin de larticle L. 4203 et au premier alinéa du III de larticle L. 4204, la référence : « et L. 42022 » est remplacée par les références : « , L. 42022 et L. 42023 » ;

(5)  Au premier alinéa de larticle L. 4505, à la première phrase du premier alinéa de larticle L. 4623, aux I, II et IV de larticle L. 4625, à la première phrase du premier alinéa de larticle L. 4626, à la seconde phrase du premier alinéa du I de larticle L. 4642 et au premier alinéa de larticle L. 4649, la référence : « L. 42022 » est remplacée par la référence : « L. 42023 ».

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION
DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE
À LA PROTECTION DES PERSONNES PHYSIQUES À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS
DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, DENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU DEXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT
LA dÉCISIONCADRE 2008/977/JAI DU CONSEIL

Article 18

(1) I à III.  (Non modifiés)

(2) IV.  Larticle 42 de la loi  7817 du 6 janvier 1978 précitée est abrogé.

Article 19

(1) Le chapitre XIII de la loi  7817 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

(2) « Chapitre XIII

(3) « Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative
à la protection des personnes physiques à légard du traitement
des données à caractère personnel par les autorités compétentes
à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, et à la libre circulation de ces données,
et abrogeant la décisioncadre 2008/977/JAI du Conseil

(4) « Section 1

(5) « Dispositions générales

(6) « Art. 701.  Le présent chapitre sapplique, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, lexercice de lautorité publique et des prérogatives de puissance publique, ciaprès dénommés autorité compétente.

(7) « Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à lexécution dune mission effectuée, pour les finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa, et où sont respectées les dispositions des articles 703 et 704. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de lobjet du fichier et de la nature ou de la gravité des infractions concernées.

(8) « Pour lapplication du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de larticle 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.

(9) « Art. 702.  Le traitement de données mentionnées au I de larticle 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit sil est autorisé par un acte législatif ou réglementaire, soit sil vise à protéger les intérêts vitaux dune personne physique, soit sil porte sur des données manifestement rendues publiques par la personne concernée.

(10) « Art. 703.  Si le traitement est mis en œuvre pour le compte de lÉtat pour au moins lune des finalités prévues au premier alinéa de larticle 701, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au I de larticle 26 et aux articles 28 à 31.

(11) « Si le traitement porte sur des données mentionnées au I de larticle 8, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au II de larticle 26.

(12) « Tout autre traitement mis en œuvre par une autorité compétente pour au moins lune des finalités prévues au premier alinéa de larticle 701 est autorisé par la Commission nationale de linformatique et des libertés. La Commission nationale de linformatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne sest pas prononcée dans ces délais, la demande dautorisation est réputée rejetée.

(13) « Art. 704.  Si le traitement est susceptible dengendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce quil porte sur des données mentionnées au I de larticle 8, le responsable de traitement effectue une analyse dimpact relative à la protection des données à caractère personnel.

(14) « Si le traitement est mis en œuvre pour le compte de lÉtat, cette analyse dimpact est adressée à la Commission nationale de linformatique et des libertés avec la demande davis prévue à larticle 30.

(15) « Dans les autres cas, le responsable de traitement ou son soustraitant consulte la Commission nationale de linformatique et des libertés préalablement au traitement des données à caractère personnel :

(16) «  Soit lorsque lanalyse dimpact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;

(17) «  Soit lorsque le type de traitement, en particulier en raison de lutilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

(18) « Art. 705.  Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de larticle 701 ne peuvent être traitées pour dautres finalités, à moins quun tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de lUnion européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sapplique, à moins que le traitement ne soit effectué dans le cadre dune activité ne relevant pas du champ dapplication du droit de lUnion européenne.

(19) « Lorsque les autorités compétentes sont chargées dexécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de larticle 701, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sapplique au traitement effectué à de telles fins, y compris à des fins archivistiques dans lintérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre dune activité ne relevant pas du champ dapplication du droit de lUnion européenne.

(20) « Si le traitement est soumis à des conditions spécifiques, lautorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de lobligation de les respecter.

(21) « Lautorité compétente qui transmet les données napplique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de lUnion européenne des conditions en vertu du troisième alinéa du présent article différentes de celles applicables aux transferts de données similaires à lintérieur de lÉtat membre dont relève lautorité compétente qui transmet les données.

(22) « Art. 706.  Les traitements effectués pour lune des finalités énoncées au premier alinéa de larticle 701 autre que celles pour lesquelles les données ont été collectées sont autorisés sils sont nécessaires et proportionnés à cette finalité sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre.

(23) « Ces traitements peuvent comprendre larchivage dans lintérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées au premier alinéa de larticle 701.

(24) « Art. 707.  Les traitements à des fins archivistiques dans lintérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à larticle 36.

(25) « Art. 708.  Les données à caractère personnel fondées sur des faits sont distinguées de celles fondées sur des appréciations personnelles.

(26) « Art. 709.  Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de larticle 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

(27) « Aucune décision produisant des effets juridiques à légard dune personne ou laffectant de manière significative ne peut être prise sur le seul fondement dun traitement automatisé de données à caractère personnel.

(28) « Tout profilage qui entraine une discrimination, au sens de larticle 2251 du code pénal et de larticle 1er de la loi  2008496 du 27 mai 2008 portant diverses dispositions dadaptation au droit communautaire dans le domaine de la lutte contre les discriminations, à légard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de larticle 8 de la présente loi est interdit.

(29) « Art. 7010.  Les données à caractère personnel ne peuvent faire lobjet dune opération de traitement de la part dun soustraitant que dans les conditions prévues aux 1, 2 et 10 de larticle 28 et à larticle 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article.

(30) « Les soustraitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière que le traitement réponde aux exigences du présent chapitre et garantisse la protection des droits de la personne concernée.

(31) « Le traitement par un soustraitant est régi par un contrat ou un autre acte juridique, qui lie le soustraitant à légard du responsable de traitement, définit lobjet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable de traitement, ainsi que les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement, et prévoit que le soustraitant nagit que sur instruction du responsable de traitement. Le contenu de ce contrat ou de cet acte juridique est précisé par décret en Conseil dÉtat pris après avis de la Commission nationale de linformatique et des libertés.

(32) « Section 2

(33) « Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel

(34) « Art. 7011.  Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

(35) « Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à lautorité compétente destinataire de juger de lexactitude, de lexhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.

(36) « Sil savère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à larticle 7020.

(37) « Art. 7012.  Le responsable de traitement établit une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

(38) «  Les personnes à légard desquelles il existe des motifs sérieux de croire quelles ont commis ou sont sur le point de commettre une infraction pénale ;

(39) «  Les personnes reconnues coupables dune infraction pénale ;

(40) «  Les victimes dune infraction pénale ou les personnes à légard desquelles certains faits portent à croire quelles pourraient être victimes dune infraction pénale ;

(41) «  Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors denquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de lune des personnes mentionnées aux 1° et 2°.

(42) « Art. 7013.  I.  Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son soustraitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées à larticle 8 de la présente loi.

(43) « II.  En ce qui concerne le traitement automatisé, le responsable de traitement ou son soustraitant met en œuvre, à la suite dune évaluation des risques, des mesures destinées à :

(44) «  Empêcher toute personne non autorisée daccéder aux installations utilisées pour le traitement ;

(45) «  Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

(46) «  Empêcher lintroduction non autorisée de données à caractère personnel dans le fichier, ainsi que linspection, la modification ou leffacement non autorisé de données à caractère personnel enregistrées ;

(47) «  Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à laide dinstallations de transmission de données ;

(48) «  Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder quaux données à caractère personnel sur lesquelles porte leur autorisation ;

(49) «  Garantir quil puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

(50) «  Garantir quil puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

(51) «  Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

(52) «  Garantir que les systèmes installés puissent être rétablis en cas dinterruption ;

(53) « 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

(54) « Art. 7014.  Le responsable de traitement et son soustraitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de larticle 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de larticle 8 de la présente loi, lindication de la base juridique de lopération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

(55) « Art. 7015.  Le responsable de traitement ou son soustraitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, linterconnexion et leffacement, portant sur de telles données.

(56) « Les journaux des opérations de consultation et de communication permettent den établir le motif, la date et lheure. Ils permettent également, dans la mesure du possible, didentifier les personnes qui consultent ou communiquent les données et les destinataires de cellesci.

(57) « Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, dautocontrôle, de garantie de lintégrité et de la sécurité des données et à des fins de procédures pénales.

(58) « Ce journal est mis à la disposition de la Commission nationale de linformatique et des libertés à sa demande.

(59) « Art. 7016.  Les articles 31, 33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

(60) « Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement dun autre État membre de lUnion européenne ou à celuici, le responsable de traitement notifie également la violation au responsable de traitement de lautre État membre dans les meilleurs délais.

(61) « La communication dune violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps quune mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection dinfractions pénales, aux enquêtes ou aux poursuites en la matière ou à lexécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés dautrui.

(62) « Art. 7017.  Sauf pour les juridictions agissant dans lexercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.

(63) « Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

(64) « Les dispositions des 5 et 7 de larticle 37, des 1 et 2 de larticle 38 et du 1 de larticle 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce quelles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

(65) « Section 3

(66) « Droits de la personne concernée par un traitement de données
à caractère personnel

(67) « Art. 7018.  I.  Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

(68) «  Lidentité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant et de ses soustraitants, ainsi que les stipulations du contrat de soustraitance relatives à la protection des données personnelles ;

(69) «  Le cas échéant, les coordonnées du délégué à la protection des données ;

(70) «  Les finalités poursuivies par le traitement auquel les données sont destinées ;

(71) «  Le droit dintroduire une réclamation auprès de la Commission nationale de linformatique et des libertés et les coordonnées de la commission ;

(72) «  Lexistence du droit de demander au responsable de traitement laccès aux données à caractère personnel, leur rectification ou leur effacement, et du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.

(73) « II.  En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre dexercer ses droits :

(74) «  La base juridique du traitement ;

(75) «  La durée de conservation des données à caractère personnel ou, lorsque ce nest pas possible, les critères utilisés pour déterminer cette durée ;

(76) «  Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les États non membres de lUnion européenne ou au sein dorganisations internationales ;

(77) «  Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à linsu de la personne concernée.

(78) « Art. 7019.  La personne concernée a le droit dobtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsquelles le sont, le droit daccéder auxdites données ainsi quaux informations suivantes :

(79) «  Les finalités du traitement ainsi que sa base juridique ;

(80) «  Les catégories de données à caractère personnel concernées ;

(81) «  Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des États non membres de lUnion européenne ou au sein dorganisations internationales ;

(82) «  Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce nest pas possible, les critères utilisés pour déterminer cette durée ;

(83) «  Lexistence du droit de demander au responsable de traitement la rectification ou leffacement des données à caractère personnel, et du droit de demander une limitation du traitement de ces données ;

(84) «  Le droit dintroduire une réclamation auprès de la Commission nationale de linformatique et des libertés et les coordonnées de la commission ;

(85) «  La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.

(86) « Art. 7020.  I.  La personne concernée a le droit dobtenir du responsable de traitement :

(87) «  Que soient rectifiées dans les meilleurs délais, et au bout dun mois maximum, des données à caractère personnel la concernant qui sont inexactes ;

(88) «  Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

(89) «  Que soient effacées dans les meilleurs délais, et au bout dun mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.

(90) « II.  Lorsque lintéressé en fait la demande, le responsable de traitement doit justifier quil a procédé aux opérations exigées en application du I.

(91) « III.  Au lieu de procéder à leffacement, le responsable de traitement limite le traitement lorsque :

(92) «  Soit lexactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non ;

(93) «  Soit les données à caractère personnel doivent être conservées à des fins probatoires.

(94) « Lorsque le traitement est limité en application du  du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.

(95) « IV.  Le responsable de traitement informe la personne concernée de tout refus de rectifier ou deffacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.

(96) « V.  Le responsable de traitement communique la rectification des données à caractère personnel inexactes à lautorité compétente de laquelle ces données proviennent.

(97) « VI.  Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceuxci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.

(98) « Art. 7021.  I.  Les droits de la personne physique concernée peuvent faire lobjet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps quune telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :

(99) «  Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;

(100) «  Éviter de nuire à la prévention ou à la détection dinfractions pénales, aux enquêtes ou aux poursuites en la matière ou à lexécution de sanctions pénales ;

(101) «  Protéger la sécurité publique ;

(102) «  Protéger la sécurité nationale ;

(103) «  Protéger les droits et libertés dautrui.

(104) « Ces restrictions sont prévues par lacte instaurant le traitement.

(105) « II.  Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :

(106) «  Retarder ou limiter la fourniture à la personne concernée des informations mentionnées au II de larticle 7018 ou ne pas fournir ces informations ;

(107) «  Refuser ou limiter le droit daccès de la personne concernée prévu à larticle 7019 ;

(108) «  Ne pas informer la personne du refus de rectifier ou deffacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs de cette décision conformément au IV de larticle 7020.

(109) « III.  Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation daccès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre lun des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de linformatique et des libertés.

(110) « IV.  En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité dexercer ses droits par lintermédiaire de la Commission nationale de linformatique et des libertés et de former un recours juridictionnel.

(111) « Art. 7022.  En cas de restriction des droits de la personne concernée intervenue en application des II ou III de larticle 7021, la personne concernée peut saisir la Commission nationale de linformatique et des libertés.

(112) « Les deuxième et troisième alinéas de larticle 41 sont alors applicables.

(113) « Lorsque la commission informe la personne concernée quil a été procédé aux vérifications nécessaires, elle linforme également de son droit de former un recours juridictionnel.

(114) « Art. 7023.  I.  Les informations mentionnées aux articles 7018 à 7020 sont fournies par le responsable de traitement à la personne concernée par tout moyen approprié, y compris par voie électronique et, de manière générale, sous la même forme que la demande.

(115) « II.  Aucun paiement nest exigé pour prendre les mesures et fournir ces mêmes informations, sauf en cas de demande manifestement infondée ou abusive.

(116) « En cas de demande manifestement infondée ou abusive, le responsable de traitement peut également refuser de donner suite à la demande.

(117) « En cas de contestation, la charge de la preuve du caractère manifestement infondé ou abusif des demandes incombe au responsable de traitement auquel elles sont adressées.

(118) « Art. 7024.  Les dispositions de la présente section ne sappliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant lobjet dun traitement lors dune procédure pénale. Dans ces cas, laccès à ces données et les conditions de rectification ou deffacement de ces données ne peuvent se faire que dans les conditions prévues par le code de procédure pénale.

(119) « Section 4

(120) « Transferts de données à caractère personnel vers des États
non membres de lUnion européenne ou vers des destinataires établis dans des États non membres de lUnion européenne

(121) « Art. 7025.  Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État nappartenant pas à lUnion européenne que lorsque les conditions suivantes sont respectées :

(122) «  Le transfert de ces données est nécessaire à lune des finalités énoncées au premier alinéa de larticle 701 ;

(123) «  Les données à caractère personnel sont transférées à un responsable dans cet État non membre de lUnion européenne ou au sein dune organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa du même article 701 ;

(124) «  Si les données à caractère personnel proviennent dun autre État, lÉtat qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

(125) « Toutefois, si lautorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans lautorisation préalable de lÉtat qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention dune menace grave et immédiate pour la sécurité publique dun autre État ou pour la sauvegarde des intérêts essentiels de la France. Lautorité doù provenaient ces données personnelles en est informée sans retard ;

(126) «  La Commission européenne a adopté une décision dadéquation en application de larticle 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en labsence dune telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en labsence dune telle décision et dun tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime quil existe de telles garanties appropriées.

(127) « Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État non membre de lUnion européenne, soit de dispositions juridiquement contraignantes exigées à loccasion de léchange de données.

(128) « Lorsque le responsable de traitement de données à caractère personnel transfère des données à caractère personnel sur le seul fondement de lexistence de garanties appropriées au regard de la protection des données à caractère personnel, autre quune juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles, il avise la Commission nationale de linformatique et des libertés des catégories de transferts relevant de ce fondement.

(129) « Dans ce cas, le responsable de traitement de données doit garder trace de la date et de lheure du transfert, des informations sur lautorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Cette documentation est mise à la disposition de la Commission nationale de linformatique et des libertés, sur sa demande.

(130) « Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision dadéquation adoptée en application de larticle 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement de données à caractère personnel peut néanmoins transférer des données personnelles ou autoriser le transfert de données déjà transmises vers un État nappartenant pas à lUnion européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, quil existe des garanties appropriées au regard de la protection des données à caractère personnel.

(131) « Art. 7026.  Par dérogation à larticle 7025, le responsable de traitement de données à caractère personnel ne peut, en labsence de décision dadéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un État nappartenant pas à lUnion européenne que lorsque le transfert est nécessaire :

(132) «  À la sauvegarde des intérêts vitaux de la personne concernée ou dune autre personne ;

(133) «  À la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;

(134) «  Pour prévenir une menace grave et immédiate pour la sécurité publique dun autre État ;

(135) «  Dans des cas particuliers, à lune des finalités énoncées au premier alinéa de larticle 701 ;

(136) «  Dans un cas particulier, à la constatation, à lexercice ou à la défense de droits en justice en rapport avec les mêmes fins.

(137) « Dans les cas mentionnés aux 4° et  du présent article, le responsable de traitement de données à caractère personnel ne transfère pas ces données sil estime que les libertés et droits fondamentaux de la personne concernée lemportent sur lintérêt public dans le cadre du transfert envisagé.

(138) « Lorsquun transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de lheure du transfert, des informations sur lautorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de linformatique et des libertés, à sa demande.

(139) « Art. 7027.  Toute autorité publique compétente mentionnée au premier alinéa de larticle 701 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État nappartenant pas à lUnion européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant de larticle 701 sont respectées et que les conditions ciaprès sont remplies :

(140) «  Le transfert est nécessaire à lexécution de la mission de lautorité compétente qui transfère ces données pour lune des finalités énoncées au premier alinéa du même article 701 ;

(141) «  Lautorité compétente qui transfère ces données établit quil nexiste pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur lintérêt public nécessitant le transfert dans le cas considéré ;

(142) «  Lautorité compétente qui transfère ces données estime que le transfert à lautorité compétente de lautre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;

(143) «  Lautorité compétente de lautre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;

(144) «  Lautorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire lobjet dun traitement par ce destinataire, à condition quun tel traitement soit nécessaire.

(145) « Lautorité compétente qui transfère des données informe la Commission nationale de linformatique et des libertés des transferts relevant du présent article.

(146) « Lautorité compétente garde trace de la date et de lheure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »

TITRE III bis

Dispositions visant à faciliter lapplication
des règles relatives à la protection des données
à caractère personnel par les collectivités territoriales

(Division et intitulé nouveaux)

Article 19 bis (nouveau)

(1) I.  Le code général des collectivités territoriales est ainsi modifié :

(2)  Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

(3) « Section 7

(4) « Dotation pour la protection des données à caractère personnel

(5) « Art. L. 233517.  À compter de lexercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de lÉtat, au titre des charges quelles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés.

(6) « Cette dotation, déterminée en fonction de la population des communes, est égale :

(7) «  à 5 € par habitant compris entre le 1er et le 999e habitant ;

(8) «  à 2 € par habitant compris entre le 1 000e et le 4 999e habitant ;

(9) «  à 1 € par habitant compris entre le 5 000e et le 9 999e habitant ;

(10) «  à 0,1 € par habitant compris entre le 10 000e et le 99 999e habitant ;

(11) «  à 0,01 € par habitant audelà du 100 000e habitant.

(12) « Pour lapplication du présent article, la population à prendre en compte est celle définie à larticle L. 23342 du présent code. » ;

(13)  Le I de larticle L. 36624 est complété par un 6° ainsi rédigé :

(14) «  De la dotation prévue à larticle L. 5211353 du présent code. » ;

(15)  Le livre II de la cinquième partie est ainsi modifié :

(16) a) La soussection 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211353 ainsi rédigé :

(17) « Art. L. 5211353.  À compter de lexercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de lÉtat, au titre des charges quils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés.

(18) « Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :

(19) «  à 1 € par habitant compris entre le 1er et le 14 999e habitant ;

(20) «  à 0,5 € par habitant compris entre le 15 000e et le 49 999e habitant ;

(21) «  à 0,1 € par habitant compris entre le 50 000e et le 99 999e habitant ;

(22) «  à 0,01 € par habitant audelà du 100 000e habitant.

(23) « Pour lapplication du présent article, la population à prendre en compte est celle définie à larticle L. 23342 du présent code. » ;

(24) b) Après le 9° de larticle L. 521423, il est inséré un  bis ainsi rédigé :

(25) «  bis La dotation prévue à larticle L. 5211353 du présent code ; »

(26) c) Le 14° de larticle L. 521532 est ainsi rétabli :

(27) « 14° La dotation prévue à larticle L. 5211353 du présent code ; »

(28) d) Après le 9° de larticle L. 52168, il est inséré un  bis ainsi rédigé :

(29) «  bis La dotation prévue à larticle L. 5211353 ; ».

(30) II.  La perte de recettes résultant pour lÉtat du I du présent article est compensée, à due concurrence, par le relèvement du taux de la taxe mentionnée à larticle 302 bis KH du code général des impôts.

Article 19 ter (nouveau)

(1) Le code général des collectivités territoriales est ainsi modifié :

(2)  La deuxième phrase du dernier alinéa de larticle L. 51111 est ainsi modifiée :

(3) a) Les mots : « ou entre » sont remplacés par le mot : « , entre » ;

(4) b) Sont ajoutés les mots : « , ou, à défaut, entre une commune et un syndicat mixte » ;

(5)  La première phrase du III de larticle L. 511111 est ainsi modifiée :

(6) a) Au début, sont ajoutés les mots : « Les communes et leurs groupements, » ;

(7) b) Les mots : « et les régions » sont remplacés par les mots : « les régions ».

TITRE IV

HABILITATION À AMÉLIORER LINTELLIGIBILITÉ
DE LA LÉGISLATION APPLICABLE À LA PROTECTION
DES DONNÉES

(Division et intitulé supprimés)

Article 20

(1) I.  Dans les conditions prévues à larticle 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier à III bis de la présente loi, le Gouvernement est autorisé à prendre par voie dordonnance les mesures relevant du domaine de la loi nécessaires :

(2)  À la réécriture de lensemble de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés afin dapporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi quà la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décisioncadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;

(3)  Pour mettre en cohérence avec ces changements lensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser létat du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

(4)  À ladaptation et à lextension à loutremer des dispositions prévues aux 1° et 2° ainsi quà lapplication à SaintBarthélemy, à SaintPierreetMiquelon, en NouvelleCalédonie, en Polynésie française, à WallisetFutuna et dans les Terres australes et antarctiques françaises de lensemble des dispositions de la loi  7817 du 6 janvier 1978 précitée relevant de la compétence de lÉtat.

(5) II.  Cette ordonnance est prise, après avis de la Commission nationale de linformatique et des libertés, dans un délai de quatre mois à compter de la promulgation de la présente loi.

(6) III.  (Non modifié)

Article 20 bis

(Supprimé)

TITRE V

DISPOSITIONS DIVERSES ET FINALES

Article 21

(1) I.  La loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés est ainsi modifiée :

(2)  A Au second alinéa du II de larticle 13, après la référence : «  », est insérée la référence : « du I » ;

(3)  Larticle 15 est ainsi modifié :

(4) a) Le quatrième alinéa est supprimé ;

(5) b) Aux cinquième et sixième alinéas, après la référence : «  », est insérée la référence : « du I » ;

(6) c) Au septième alinéa, après la référence : «  », est insérée la référence : « du I » ;

(7) d) (nouveau) Le dernier alinéa est supprimé ;

(8)  Les avantdernier et dernier alinéas de larticle 16 sont supprimés ;

(9)  bis Au second alinéa de larticle 17, après la référence : «  », est insérée la référence : « du I » ;

(10)  ter Au second alinéa de larticle 21, après la référence : «  », est insérée la référence : « du I » ;

(11)  Au premier alinéa de larticle 29, la référence : « 25, » est supprimée ;

(12)  Le I de larticle 30 est ainsi modifié :

(13) a) Au premier alinéa, le mot : « déclarations, » est supprimé ;

(14) b) Aux 2° et 6°, la référence : « 25, » est supprimée ;

(15)  Le I de larticle 31 est ainsi modifié :

(16) a) Au premier alinéa, la référence : « 23 à » est remplacée par la référence : « 26 et » ;

(17) b) À la fin du 1°, les mots : « ou la date de la déclaration de ce traitement » sont supprimés ;

(18)  À la seconde phrase du second alinéa du II de larticle 39, les mots : « ou dans la déclaration » sont supprimés ;

(19)  bis À larticle 42, la référence : « 25, » est supprimée ;

(20)  Larticle 67 est ainsi modifié :

(21) a) Au premier alinéa, les références : « 22, les 1° et 3° du I de larticle 25, les articles » sont supprimées ;

(22) b) Le quatrième alinéa est supprimé ;

(23) c) La seconde phrase de lavantdernier alinéa est supprimée ;

(24)  Larticle 70 est abrogé ;

(25) a et b) (Supprimés)

(26)  La seconde phrase de larticle 71 est supprimée.

(27) II.  (Supprimé)

Article 22

(1) I.  (Non modifié)

(2) II (nouveau).  Par dérogation au premier alinéa de larticle 22 de la loi  7817 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés, la mise en œuvre des traitements comportant le numéro dinscription des personnes au répertoire national didentification des personnes physiques qui ont été autorisés avant le 25 mai 2018 en application des articles 25 et 27 de la même loi, dans leur rédaction antérieure à la présente loi, ne sont pas soumis à lobligation dêtre mentionnés dans le décret prévu au premier alinéa de larticle 22 de la loi  7817 du 6 janvier 1978 précitée, sauf modification de ces traitements et au plus tard jusquau 25 mai 2020. Ces traitements restent soumis à lensemble des autres obligations découlant de la même loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Article 23

(1) I.  Larticle 2308 du code de procédure pénale est ainsi modifié :

(2)  Le premier alinéa est ainsi rédigé :

(3) « Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, doffice ou à la demande de la personne concernée, ordonne quelles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou quelles fassent lobjet dune mention. La rectification pour requalification judiciaire est de droit. Leffacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies à larticle 2307. Le procureur de la République se prononce dans un délai dun mois sur les suites quil convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite dune décision devenue définitive de relaxe, dacquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de nonlieu ou de classement sans suite. Dans les autres cas, la personne condamnée ne peut former sa demande, à peine dirrecevabilité, que lorsque ne figure plus dans le bulletin n° 2 de son casier judiciaire de mention de nature pénale en lien avec la demande deffacement. En cas de décision de relaxe ou dacquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font lobjet dune mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié dune décision de relaxe ou dacquittement devenue définitive, il en avise la personne concernée. En cas de décision de nonlieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font lobjet dune mention. Lorsque les données personnelles relatives à la personne concernée font lobjet dune mention, elles ne peuvent faire lobjet dune consultation dans le cadre des enquêtes administratives prévues aux articles L. 1141 et L. 2341 à L. 2343 du code de la sécurité intérieure et à larticle 171 de la loi  9573 du 21 janvier 1995 dorientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou leffacement des données personnelles ou ordonnant quelles fassent lobjet dune mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de linfraction ou de la personnalité de lintéressé. » ;

(4)  Au troisième alinéa, les mots : « en matière deffacement ou de rectification des données personnelles » sont supprimés.

(5) I bis.  (Supprimé)

(6) II.  (Non modifié)

Article 23 bis

(Supprimé)

Article 24

(1) Les titres Ier à III et les articles 21 et 22 de la présente loi entrent en vigueur le 25 mai 2018.

(2) Toutefois, larticle 16 A entre en vigueur le 25 mai 2020 et larticle 7015 de la loi  7817 du 6 janvier 1978 précitée entre en vigueur à une date fixée par décret, et au plus tard :

(3)  Le 6 mai 2023 lorsquune telle obligation exigerait des efforts disproportionnés ;

(4)  Le 6 mai 2026 lorsque, à défaut dun tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

(5) La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, lentrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire.

Délibéré en séance publique, à Paris, le 21 mars 2018.

Le Président,

Signé : Gérard LARCHER