Document
mis en distribution
le 24 juillet 2001
N° 3250
_____
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
ONZIÈME LÉGISLATURE
Enregistré à la Présidence de l'Assemblée nationale le 18 juillet 2001.
PROJET DE LOI
relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés
(Renvoyé à la commission des des lois constitutionnelles, de la législation et de l'administration générale de la République à défaut de constitution d'une commission spéciale dans les délais prévus par les articles 30 et 31 du Règlement.)
PRÉSENTÉ
AU NOM DE M. LIONEL JOSPIN,
Premier ministre,
PAR Mme MARYLISE LEBRANCHU,
Garde des sceaux, ministre de la justice,
Droits de l'homme et libertés publiques.
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
La France a été, il y a une vingtaine d'années, l'un des premiers États européens à se doter d'une législation globale de protection des données à caractère personnel, en adoptant le texte hautement symbolique que constitue auprès de l'opinion publique la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite encore « loi informatique et libertés ».
Elle est aujourd'hui confrontée, sur ce sujet qui touche étroitement aux libertés publiques et aux droits fondamentaux de la personne, à une triple exigence.
La première tient à la nécessité d'intégrer en droit interne la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, que la France a d'ailleurs largement contribué à inspirer.
Bien que fortement marqué par le modèle français, s'agissant de ses dispositions de fond, ce texte communautaire présente, quant à sa philosophie d'ensemble et quant à son architecture, des différences très significatives avec la législation du 6 janvier 1978, et il appelle, par conséquent, l'introduction de modifications importantes dans le régime actuellement en vigueur.
La seconde exigence a trait à la nécessité de tirer, plus de vingt ans après l'adoption de la loi informatique et libertés, un bilan de son application, en l'adaptant aux bouleversements très importants qu'a connus depuis 1978 la place tenue par l'informatique dans la société contemporaine.
Nul ne peut contester que le paysage qu'offre celle-ci s'est fondamentalement modifié avec des facteurs tels que la très large diffusion de la micro-informatique, la multiplication des télétransmissions et le développement d'internet, lequel entraîne, sur un certain nombre de points, une internationalisation des problèmes. Ces éléments nouveaux ont pour conséquence un déplacement des risques que présente la mise en oeuvre de traitements de données à caractère personnel.
Une troisième exigence, qui n'est pas la moindre, est de veiller à ce que le niveau de protection dont bénéficient les citoyens soit maintenu et renforcé à l'occasion de l'exercice de transposition de la directive 95/46/CE et de l'effort de modernisation parallèlement entrepris.
Cette exigence est consacrée par la jurisprudence du Conseil constitutionnel. Celui-ci a en effet souligné à plusieurs reprises, dans ses décisions, les garanties offertes par la loi du 6 janvier 1978 en matière de protection des libertés individuelles contre les risques liés à l'usage de l'informatique.
Elle rejoint d'ailleurs une orientation qu'exprime la directive dans ses considérants.
* *
*
La directive européenne du 24 octobre 1995 a pour objet d'harmoniser les législations nationales relatives au traitement des données à caractère personnel, afin de faciliter la circulation de ces données entre les États membres de la Communauté européenne, tout en assurant la protection de la vie privée et des droits fondamentaux des personnes.
Cet objectif ambitieux range la directive parmi les textes qui contribuent à fonder la possibilité d'une citoyenneté européenne.
La spécificité de la directive par rapport à la loi française se manifeste en particulier par les traits suivants.
Tout d'abord, ce texte porte une attention particulière aux risques liés à la circulation des données. Ceci explique l'apport substantiel du texte communautaire à la question des échanges transfrontières de données à caractère personnel.
Ensuite, le texte, conformément à l'objectif d'harmonisation qui est le sien, fait primer dans sa construction les principes de fond sur les dispositions de forme, celles-ci s'accommodant de plus d'options pour la transposition en droit interne que ceux-là. Ainsi, la directive définit-elle les conditions générales de licéité des traitements, puis les droits fondamentaux des personnes concernées par le traitement de leurs données, ainsi que les dérogations auxquelles ces droits doivent ou peuvent donner lieu, avant de traiter des procédures destinées à assurer la régularité des traitements.
Par ailleurs, l'instrument communautaire a une approche différente de la loi française actuelle en ce qui concerne le rôle des autorités de protection des données. Il limite le champ d'application des contrôles préalables aux seules catégories de traitements considérées comme génératrices de risques au regard des droits et libertés des personnes, ces traitements devant en tout état de cause être « en nombre très restreint » à l'échelle de la société. En conséquence, la directive conduit à un recentrage des missions des autorités de protection sur les contrôles a posteriori.
Enfin, la directive renforce la protection de certains droits fondamentaux mis en jeu lors du traitement ou de la circulation des données. Il en va ainsi des obligations d'information qui incombent au responsable du traitement et du droit d'opposition des personnes au traitement des données qui les concernent.
La directive conduit ainsi à modifier notre droit interne sur les points ci-après.
Seuls les traitements considérés comme générateurs de risques au regard des droits et libertés des personnes seront soumis à un régime d'autorisation préalable.
Le législateur doit ainsi déterminer les critères permettant de ranger un traitement dans cette catégorie. La distinction entre les traitements mis en _uvre par les personnes publiques et ceux relevant des personnes privées, qui constitue la « summa divisio » de la loi actuelle, n'est donc plus pertinente.
Des dispositions encadrant les échanges transfrontières de données avec les Etats n'appartenant pas à la Communauté européenne doivent être introduites.
L'obligation d'information incombant aux responsables de traitements doit être étendue à l'ensemble des situations dans lesquelles des données à caractère personnel sont traitées, quand bien même ces données n'ont pas été recueillies directement auprès des personnes concernées.
Le droit d'opposition des personnes au traitement des données qui les concernent présentera désormais un caractère discrétionnaire, s'agissant des fichiers utilisés à des fins de prospection ou d'information publicitaire.
Sur ces deux derniers points, la directive a des incidences importantes quant à l'encadrement des collectes ou des utilisations de données effectuées à l'insu des personnes. Cela vaut en particulier pour les données qui circulent sur internet.
* *
*
Au-delà des exigences propres à l'exercice de transposition, la directive a ménagé aux Etats de nombreuses options sur des points parfois très importants.
Tout d'abord, les Etats se voient reconnaître une marge d'appréciation importante pour déterminer les catégories de traitements présentant un risque tel qu'un régime de contrôle préalable apparaisse nécessaire.
En outre, sont laissées à l'appréciation des Etats les modalités d'encadrement des traitements utilisant les numéros nationaux d'identification des personnes ou d'autres identifiants des personnes de portée nationale.
Les Etats déterminent librement la composition et les effectifs de leur autorité de contrôle nationale, et l'étendue des pouvoirs qui lui sont dévolus. Ils peuvent fixer de manière plus ou moins extensive les facultés de simplification et d'exonération de l'obligation de déclaration à laquelle sont soumis les traitements non générateurs de risques.
Enfin, la directive ménage aux Etats la possibilité de décider eux-mêmes des dérogations aux principes de fond ou aux règles de procédure dont ils entendent faire bénéficier les traitements effectués aux seules fins de journalisme ou d'expression littéraire ou artistique.
A ces options, s'ajoute le fait que le texte communautaire n'inclut pas dans son champ d'application les traitements concernant les « activités de souveraineté » et qu'il laisse par conséquent aux États la possibilité de les intégrer à leur législation de transposition ou, au contraire, de les en exclure.
Cette marge d'appréciation laissée aux Etats, ainsi que la nécessité de prendre en compte les caractéristiques nouvelles propres à la société de l'information, expliquent que, de même que la loi du 6 janvier 1978 avait été précédée d'une réflexion approfondie menée sous l'égide de M. Tricot, le présent projet a donné lieu à des travaux préparatoires de grande ampleur.
L'importance des travaux à mener s'est conjuguée avec la volonté du Gouvernement de réévaluer, lors de son installation en 1997, les options à prendre pour la transposition, pour expliquer le retard pris par la France.
Les premiers travaux interministériels entrepris dès la fin de 1995 n'ayant pas permis de dégager une approche consensuelle des problèmes posés par la transposition, le Gouvernement a en effet décidé, dès les premières semaines suivant sa formation, de confier à M. Guy Braibant, président de section honoraire au Conseil d'Etat, une mission d'évaluation des options ménagées par le texte communautaire au regard du droit en vigueur.
Cette mission a abouti en mars 1998, à la suite de nombreuses consultations, à la publication d'un rapport, intitulé : « Données personnelles et société de l'information », lequel comporte une analyse circonstanciée des risques nouveaux liés au recours à l'informatique dans la société de l'information et formule des propositions précises pour la transposition d'un certain nombre d'articles de la directive.
Par ailleurs, deux autres études menées en 1997 et en 1998 sous l'égide du Conseil d'Etat, dans des domaines étroitement liés au secteur de l'informatique et des libertés, ont complété l'analyse des questions que met en jeu la réforme de la loi du 6 janvier 1978.
Ainsi, le rapport intitulé : « Pour une meilleure transparence de l'administration » a-t-il souligné la nécessité de coordonner les dispositions de la loi du 6 janvier 1978 avec les règles applicables en matière d'accès aux documents administratifs et de conservation des archives.
De même, le rapport intitulé : « Internet et les réseaux numériques » a-t-il révélé l'importance des enjeux liés à la protection des données face au développement des échanges électroniques.
* *
*
Ces travaux préliminaires éclairent les grandes orientations du projet gouvernemental.
En premier lieu, le Gouvernement a fait le choix symbolique, auquel l'invitait le rapport de M. Guy Braibant, de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, la transposition de la directive exige de remanier de très nombreux articles de cette loi, mais les principes directeurs dégagés par le législateur il y a près d'un quart de siècle demeurent toujours valables.
Cette première option conduit à maintenir l'unicité du régime juridique des différentes catégories de traitements, que ceux-ci entrent dans le champ d'application de la directive ou qu'ils en soient exclus (« traitements de souveraineté »).
En deuxième lieu, dans les domaines où la création d'un traitement continuera à relever d'un régime d'autorisation, il est proposé de donner directement à la CNIL le pouvoir d'accepter ou de refuser les demandes dans la plupart des cas. Ce mécanisme, qui existe déjà pour les traitements à finalité de recherche médicale, paraît préférable à la procédure d'avis actuellement en vigueur. Les demandeurs seront informés plus rapidement de la suite réservée à leur projet.
Ce n'est que pour quelques catégories de traitement, dont la mise en _uvre intéresse directement les activités régaliennes de l'Etat, que la CNIL ne sera pas investie d'un pouvoir d'autorisation. Dans ces cas, les traitements seront créés par un acte de l'exécutif pris après avis de la commission.
En troisième lieu, le projet entend simplifier les formalités administratives imposées aux citoyens et aux entreprises lors de la mise en oeuvre des traitements usuels qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.
En conséquence, le texte ouvre des possibilités de déclaration allégée et, dans certains cas, supprime toute formalité préalable.
Parmi ces nouvelles possibilités, figurent notamment la réalisation d'une déclaration en ligne et la faculté d'effectuer des déclarations groupées.
En quatrième lieu, le projet opte en faveur d'un renforcement substantiel des pouvoirs de contrôle a posteriori dont dispose la CNIL, afin de maintenir un niveau de garantie des droits individuels équivalent à celui résultant de la loi actuelle.
Il faut signaler enfin la nouveauté que constitue la place faite à l'autorégulation dans le projet. La CNIL sera conduite à s'impliquer dans cette démarche, puisque les professionnels pourront lui soumettre des projets de codes de déontologie, ainsi que des logiciels ou d'autres procédures techniques permettant de contribuer à la protection des personnes dont les données sont traitées. La CNIL pourra alors délivrer sous certaines conditions une homologation ou un label.
* *
*
Le projet de loi comprend un titre Ier qui rassemble les dispositions modifiant la loi du 6 janvier 1978, un titre II qui contient les modifications des autres textes législatifs et un titre III relatif aux dispositions transitoires.
Le titre Ier remanie la structure de la loi de 1978 pour la calquer assez largement sur le plan de la directive.
La directive du 24 octobre 1995 exige tout d'abord que soit déterminé avec précision le champ d'application de la loi nationale et que soit fourni un plus grand nombre de définitions que n'en comporte, sous sa forme actuelle, la loi de 1978.
D'où l'intérêt, après l'article 1er de celle-ci qui demeure inchangé, de modifier ses articles 2 à 5 afin de rassembler dans un même chapitre les dispositions relatives au champ d'application, ainsi que les définitions indispensables. Tel est l'objet de l'article 1er du projet de loi.
En conséquence, les articles 2 et 3 actuels de la loi sont déplacés dans un chapitre II nouveau qui contient les règles de fond applicables aux traitements.
Le champ d'application matériel de la directive, fixé par son article 3, repose, conformément à l'interprétation qui a été donnée de la loi française, sur le critère de l'existence d'une opération de traitement automatisé portant sur des informations permettant d'identifier, directement ou indirectement, une personne physique. Il s'étend également aux opérations de traitement ayant pour objet des données à caractère personnel contenues ou appelées à figurer dans des fichiers. Il exclut en revanche les traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles.
L'article 2 nouveau de la loi de 1978 transpose ces critères et les éclaire en introduisant les définitions des notions fondamentales de « donnée à caractère personnel », de « traitement de données à caractère personnel » et de « fichier de données à caractère personnel » .
L'article 3 nouveau de la loi de 1978 complète ces définitions par celles de « responsable du traitement » et de « destinataire du traitement ». Ces notions ont été isolées dans un article autonome, dans la mesure où elles contribuent à déterminer le champ d'application de la loi ratione personae.
Par ailleurs, afin de prendre en compte tout à la fois une précision figurant à l'article 2 g de la directive et la jurisprudence élaborée par la CNIL sur la notion de tiers habilité, l'article 3 prévoit que les autorités légalement autorisées à demander au responsable du traitement la communication de données à caractère personnel dans le cadre d'une mission particulière ou d'un droit de communication ne constituent pas des destinataires.
L'article 4 nouveau de la loi de 1978 apporte une précision quant à la portée des notions de traitement et de fichier de données à caractère personnel, pour tenir compte de la spécificité des activités de stockage automatique et temporaire de données qui, dans la société de l'information, sont propres aux opérateurs de télécommunications et, en particulier, aux fournisseurs d'accès à internet.
L'article 5 nouveau de la loi de 1978 transpose le critère de compétence territoriale découlant de l'article 4 de la directive. Selon celui-ci, les traitements de données à caractère personnel relèvent de la loi française lorsqu'ils sont mis en oeuvre dans le cadre des activités afférentes à un établissement sur le territoire français du responsable du traitement.
Cet article modifié apporte par ailleurs la précision importante, figurant dans le texte communautaire, suivant laquelle les dispositions de la loi nationale s'appliquent également lorsque le responsable du traitement, sans être établi sur le territoire d'un État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français.
* *
*
L'article 2 du projet modifie le chapitre II de la loi du 6 janvier 1978, pour y regrouper les règles sur les « Conditions de licéité des traitements de données à caractère personnel ». Ce chapitre est subdivisé en deux sections, selon qu'il s'agit de dispositions générales ou de dispositions propres à certaines catégories de données.
L'article 6 nouveau de la loi de 1978 énonce les principes généraux de licéité des traitements (loyauté de la collecte et du traitement, détermination spécifique de la finalité du traitement, proportionnalité du traitement à sa finalité, exactitude et mise à jour des données, durée de conservation proportionnée à la finalité) qui découlent de l'article 6 de la directive.
De même, l'article 7 nouveau de la loi de 1978 énumère les intérêts légitimes qui justifient la mise en _uvre d'un traitement de données à caractère personnel.
L'article 8 nouveau de la loi de 1978 marque le début de la seconde section du chapitre II. Il reprend en l'adaptant, en considération de l'article 8 de la directive, le contenu de l'article 31 de la loi actuelle, dont l'objet est l'interdiction du traitement des données dites sensibles et l'encadrement des dérogations à ce principe fondamental.
Le texte issu de la transposition inclut dans la liste des données dites sensibles les données relatives à la santé d'une personne, et il conduit à substituer à la notion de « m_urs des personnes », figurant dans le texte actuel, celle, plus conforme aux termes de la directive, d'« orientation sexuelle ».
Par ailleurs, conformément à la directive, l'article 8 nouveau introduit, dans la seule mesure où la finalité du traitement l'exige pour certaines catégories de données, des exceptions nouvelles à l'interdiction de traitement des données sensibles (traitement nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d'un tiers, traitement portant sur des données manifestement rendues publiques par la personne concernée, traitement nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice, traitements pour lesquels s'impose l'obligation au secret professionnel des professionnels de santé). En revanche, le texte communautaire a conduit à un encadrement plus rigoureux de la dérogation dont bénéficient, sous le régime actuel, les églises et les associations.
Enfin, la procédure de dérogation à l'interdiction du traitement des données sensibles, lorsque l'intérêt public l'impose, organisée par le III du nouvel article, tient compte de la possibilité, prévue par les articles 25 et 26 de la loi modifiée, du recours pour autoriser un traitement, selon les cas, soit à une décision directe de la CNIL, soit à un décret en Conseil d'Etat après avis motivé et publié de la commission.
L'article 9 nouveau de la loi de 1978 reprend le contenu du premier alinéa de l'actuel article 30 de la loi de 1978, relatif au traitement automatisé des infractions, condamnations ou mesures de sûreté.
Le second alinéa introduit une dérogation supplémentaire à la règle selon laquelle les données concernant les infractions, condamnations et mesures de sûreté ne peuvent être traitées que par les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales. Il est en effet prévu que des traitements de cette nature puissent être mis en _uvre par des auxiliaires de justice agissant pour les stricts besoins de l'exercice de leurs missions légalement définies. Les conditions procédurales dans lesquelles cette mise en _uvre peut avoir lieu est définie dans le cadre du chapitre IV nouveau, consacré aux formalités préalables à la mise en _uvre des traitements.
L'article 10 nouveau de la loi de 1978 résulte, avec les adaptations rendues nécessaires par la transposition de l'article 15 de la directive, du déplacement de l'article 2 de la loi actuelle.
* *
*
L'article 3 du projet rétablit, sous la forme d'un chapitre III, intitulé « La Commission nationale de l'informatique et des libertés » et comportant les articles 11 à 21, les dispositions relatives à l'autorité de protection qui figurent au chapitre II de la loi actuelle.
Compte tenu de l'importance des pouvoirs désormais conférés à la CNIL, il a été prévu, dans un article liminaire de ce chapitre (article 11 nouveau), d'affirmer le statut d'autorité administrative indépendante de cette instance et d'énoncer l'ensemble de ses missions. Cet article reprend en grande partie les dispositions figurant à l'article 6 de la loi actuelle.
L'article 11 détermine notamment les conditions dans lesquelles la CNIL pourra à l'avenir se prononcer, soit sur des projets de codes de déontologie, soit sur des produits et des procédures tendant à la protection des personnes, qui lui seront soumis par des organismes professionnels regroupant des responsables de traitements.
De plus, l'article 11 confère à la commission une faculté, qui ne lui est pas reconnue dans le cadre du régime actuel, de présenter des observations dans les procédures pénales relatives aux infractions informatiques.
Il définit en outre, dans leur principe, les pouvoirs de vérification sur place et d'obtention de copies de documents, qui seront désormais dévolus à l'autorité de protection.
L'article 12 nouveau de la loi de 1978 a pour objet le financement de la CNIL et le contrôle exercé à cet égard par la Cour des comptes. Il reprend l'article 7 de la loi actuelle. Le second alinéa de celui-ci est cependant supprimé. Cette disposition, qui prévoyait la possibilité de perception de redevances pour l'accomplissement des formalités préalables à la mise en oeuvre des traitements, n'a en effet jamais été mise en oeuvre.
L'article 13 nouveau de la loi de 1978 reprend, en y introduisant certaines adaptations, l'article 8 de la loi de 1978, qui traite de la composition et du fonctionnement de la CNIL. Celle-ci reste composée de dix-sept membres. Les commissaires n'appartenant ni aux corps constitués ni aux juridictions sont désormais au nombre de six, et non plus de cinq. Quatre parmi ces personnalités qualifiées, et non plus deux, devront être choisies en raison de leur connaissance des applications de l'informatique.
Des précisions sont apportées par le texte, s'agissant de la limitation à un seul renouvellement du mandat de cinq ans des membres de la commission.
Le régime des incompatibilités applicable aux membres est assez profondément remanié. Si l'incompatibilité des fonctions de commissaire avec celles de membre du Gouvernement demeure telle qu'instaurée par le législateur du 6 janvier 1978, en revanche, il est prévu de supprimer l'incompatibilité existant actuellement entre l'appartenance à la CNIL et l'exercice de fonctions ou la détention de participations dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services dans ces secteurs.
En effet, le Gouvernement souhaite que puissent siéger à la Commission des personnes actives dans le secteur de l'informatique et des services de la société de l'information.
Il est substitué à l'incompatibilité actuelle une règle inspirée des causes d'abstention du juge et du régime propre à d'autres autorités administratives indépendantes, telle la Commission des opérations de bourse.
Ce système consiste, pour les membres de la commission, en une double obligation d'informer le président des intérêts qu'ils détiennent et de s'abstenir de siéger lorsque sont examinés des dossiers où ces intérêts sont en cause.
L'article 15 nouveau de la loi de 1978 prévoit que la commission comporte, outre sa formation plénière, un bureau et une « formation restreinte » compétente pour prononcer des sanctions. Cet article reprend par ailleurs, en l'adaptant, le second alinéa de l'article 10 de la loi du 6 janvier 1978, relatif aux attributions que la commission peut déléguer à son président ou à son vice-président délégué.
L'article 16 nouveau de la loi de 1978 tire les conséquences de la création, au sein de l'autorité de protection, d'un bureau composé du président et des deux vice-présidents, et il définit les attributions que la commission pourra déléguer à ce nouvel organe.
L'article 17 nouveau de la loi de 1978 prévoit la composition et les attributions spécifiques de la formation restreinte de cinq membres à laquelle reviendra la charge de prononcer les sanctions administratives.
L'article 18 nouveau de la loi de 1978 reprend sans grand changement les dispositions de la loi de 1978 relatives au commissaire du Gouvernement auprès de la CNIL.
L'article 19 nouveau de la loi de 1978 reprend celles des dispositions de l'actuel article 10 qui sont relatives aux services de la CNIL. Il complète par ailleurs ces dispositions par un alinéa prévoyant une procédure d'habilitation par la commission de ceux de ses agents qui participent aux missions de vérification auxquelles la CNIL peut désormais procéder en matière de contrôle a posteriori des traitements.
L'article 20 nouveau de la loi de 1978 reprend l'actuel article 12 de la loi de 1978, relatif à l'obligation de secret professionnel des membres et agents de la commission, en adaptant sa rédaction pour tenir compte du nouveau code pénal.
L'article 21 nouveau de la loi de 1978 reprend, d'une manière analogue à l'article précédent, l'actuel article 13 de la loi de 1978. Il confère toutefois une portée plus extensive au second alinéa de cette disposition, dans la mesure où, hors les hypothèses où se trouve mis en jeu le secret professionnel, c'est désormais l'ensemble des personnes interrogées par la CNIL dans le cadre des investigations auxquelles celle-ci est habilitée à se livrer, et non plus les seuls informaticiens, qui sont tenues de fournir les renseignements que leur demande l'autorité de protection.
* *
*
L'article 4 du projet transfère, moyennant d'importantes adaptations, dans un nouveau chapitre IV intitulé : « Formalités préalables à la mise en _uvre des traitements automatisés », les dispositions contenues dans l'actuel chapitre III de la loi de 1978.
Le nouveau chapitre IV comporte les articles 22 à 31. Après un article liminaire, il comporte trois sections, respectivement intitulées « Déclaration » (articles 23 et 24 nouveaux), « Autorisation » (articles 25 à 29 nouveaux) et « Dispositions communes » (articles 30 et 31 nouveaux).
L'article 22 nouveau de la loi de 1978 pose le principe selon lequel tous les traitements automatisés font l'objet d'une déclaration auprès de la CNIL, à moins qu'ils ne fassent l'objet d'une des formalités d'autorisation définies aux articles 25, 26, ou 27 nouveaux.
Conformément à l'article 18 de la directive, cet article exonère toutefois de toute obligation d'autorisation ou de déclaration les registres publics informatisés établis par les lois et règlements (par exemple, les registres hypothécaires ou le cadastre), ainsi que les fichiers constitués par les partis politiques, les syndicats, les mouvements philosophiques ou religieux pour répertorier leurs adhérents ou sympathisants.
Par ailleurs, l'article 22 nouveau prévoit, à la demande de toute personne concernée par un traitement et à la charge du responsable de celui-ci, une publicité minimale pour les fichiers dispensés de toute formalité préalable.
Au sein de la section 1, l'article 23 nouveau de la loi de 1978 définit le contenu et les effets de la formalité de déclaration et précise que celle-ci pourra être effectuée par voie électronique.
L'article 24 nouveau de la loi de 1978 rassemble les différentes possibilités de simplification et d'exonération de la formalité déclarative et en précise les conditions.
L'article 25 nouveau de la loi de 1978, qui marque le début de la section 2, a pour objet de délimiter les catégories de traitements dont la mise en _uvre est subordonnée à une autorisation préalable de la CNIL en fonction des risques qu'ils peuvent présenter pour les droits et libertés des personnes, puisque tel est le critère édicté par l'article 20 de la directive.
Certaines catégories de traitements présentent un risque parce qu'ils portent sur des données d'une nature sensible (caractéristiques physiques, opinions des personnes, infractions ou condamnations, données génétiques, appréciations sur les difficultés sociales des personnes...).
D'autres traitements peuvent se révéler dangereux par leur ampleur. Tel est le cas des traitements utilisant le numéro d'inscription au répertoire national des personnes physiques ou des traitements portant sur la quasi totalité de la population française. Tel est aussi le cas des dispositifs d'interconnexion lorsqu'ils permettent de rapprocher des fichiers d'origines et de finalités variées.
Enfin, un dernier ensemble de traitements peut donner lieu à des dérives compte tenu des finalités auxquelles ils correspondent : exclusion du bénéfice d'un droit, d'une prestation, ou d'un contrat.
L'article 26 nouveau de la loi de 1978 définit le régime spécifique de contrôle préalable qui s'applique aux traitements intéressant les activités de souveraineté de l'Etat. Ce régime s'inspire de celui prévu par l'actuel article 15 de la loi de 1978 et consiste en une autorisation par acte réglementaire après avis motivé de la CNIL. Dès lors qu'un traitement de cette catégorie inclut des données dites sensibles (données susceptibles de révéler les origines raciales ou ethniques des personnes, leurs opinions politiques, philosophiques ou religieuses, leurs appartenances syndicales, leur santé ou leur orientation sexuelle), il est prévu que l'acte réglementaire revête la forme d'un décret en Conseil d'Etat et que l'avis de la CNIL soit publié au Journal Officiel en même temps que le décret d'autorisation.
L'article 27 nouveau de la loi de 1978 détermine le régime particulier applicable aux traitements à finalité publique qui, soit incluent le numéro INSEE des personnes, soit portent sur la totalité ou la quasi-totalité de la population.
La procédure édictée dans de telles hypothèses s'inspire étroitement de celle instituée par le législateur de 1978 à l'article 18 du texte actuel, puisqu'elle repose sur une autorisation du traitement par décret en Conseil d'Etat après avis motivé de la CNIL. Le texte issu du projet de loi instaure à cet égard une garantie supplémentaire, puisqu'il exige que l'avis de la commission soit publié.
Dans un but d'allégement procédural, il est toutefois prévu que la procédure d'autorisation puisse consister en un simple arrêté du ou des ministres compétents, pris après avis de la commission, si le traitement envisagé répond à certains critères dont la réunion est significative d'un moindre degré de risque au regard des droits et libertés des personnes. Cette procédure allégée a également vocation à s'appliquer aux traitements recourant à une consultation du RNIPP, sans que le numéro d'identification des personnes (NIR) soit inclus parmi les données traitées.
L'article 28 nouveau de la loi de 1978 prévoit les délais dans lesquels doit statuer la CNIL dans les différentes hypothèses procédurales précédemment envisagées.
L'article 29 nouveau de la loi de 1978 précise les mentions qui doivent figurer dans les actes autorisant la création d'un traitement.
La section 3 du nouveau chapitre IV rassemble les dispositions communes aux différentes formalités préalables.
Ainsi l'article 30 nouveau de la loi de 1978 détermine-t-il le contenu des dossiers transmis à la CNIL lors des formalités de déclaration et de demande d'autorisation ou d'avis.
L'article 31 nouveau de la loi de 1978 précise l'obligation qu'à la CNIL de répertorier tous les traitements autorisés ou déclarés, afin que tout citoyen puisse avoir connaissance de leur existence.
* *
*
L'article 5 du projet opère les modifications du chapitre V de la loi du 6 janvier 1978, actuellement consacré à l'exercice du droit d'accès. Ce chapitre, désormais intitulé « Obligations incombant aux responsables de traitements et droits des personnes », regroupe l'ensemble des dispositions de fond autres que celles relatives aux conditions de licéité des traitements, figurant au chapitre II nouveau, et que celles relatives aux régimes spéciaux, qui seront abordées aux chapitres IX à XII nouveaux.
Le nouveau chapitre V a par conséquent vocation à rassembler les adaptations qu'appellent, compte tenu des nécessités de transposition, les dispositions figurant actuellement à l'article 3 et dans les chapitres IV et V de la loi de 1978. Il est subdivisé en deux sections, consacrées, pour la première, aux obligations incombant aux responsables de traitements (articles 32 à 37 nouveaux) et, pour la seconde, aux droits des personnes concernées (articles 38 à 43 nouveaux).
L'article 32 nouveau de la loi de 1978 a pour objet d'assurer la transposition des articles 10 et 11 de la directive relatifs aux obligations d'information incombant aux responsables de traitements.
La transposition conduit à reformuler l'actuel article 27 de la loi dans un sens plus protecteur, puisque les obligations d'information ne se limitent plus, selon la directive, aux seuls cas où les données sont collectées directement auprès des personnes concernées.
Conformément à une faculté ouverte par la directive, une dérogation à l'obligation d'information est prévue, d'une part, pour les traitements nécessaires à la conservation, à des fins historiques, statistiques ou scientifiques, de données qui ont été initialement recueillies à d'autres fins et, d'autre part, lorsque la délivrance de l'information requiert des efforts disproportionnés au regard de l'intérêt que cette démarche présente.
En ce qui concerne les traitements de souveraineté, qui n'entrent pas dans le champ d'application de la directive, la mise en oeuvre de l'obligation d'information des personnes auxquelles se rapportent les données peut parfois se révéler contraire aux objectifs poursuivis en matière de sûreté de l'Etat, de défense, de sécurité publique ou de répression des infractions. Dans de telles hypothèses, l'obligation d'information ne s'impose pas lorsque les données n'ont pas été collectées directement auprès des personnes concernées.
L'article 33 nouveau de la loi de 1978 transpose le paragraphe 2 de l'article 8 de la directive 99/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.
Cette disposition spécifique est, de par les garanties pour les personnes qu'elle requiert, plus exigeante que le droit commun correspondant à la directive du 24 octobre 1995. Dans le domaine sensible et très nouveau des services de certification électronique, elle prévoit en effet que les prestataires délivrant au public et conservant les certificats liés aux signatures électroniques ne peuvent recueillir ou traiter des données à caractère personnel si ce n'est directement auprès de la personne concernée ou avec le consentement de celle-ci, et dans la seule mesure où le recueil de ces données est nécessaire à la finalité de délivrance ou de conservation de tels certificats.
L'article 34 nouveau de la loi de 1978 est consacré aux obligations de sécurité et de confidentialité à la charge du responsable du traitement. Il reprend pour l'essentiel le contenu de l'actuel article 29 de la loi tout en l'adaptant aux exigences de transposition de l'article 17 de la directive. Des décrets pris après avis de la CNIL pourront, en outre, imposer des prescriptions techniques particulières à certaines catégories de traitements, afin de garantir la sécurité des données.
L'article 35 nouveau de la loi de 1978 issu de la transposition des paragraphes 2 à 4 de l'article 17 de la directive, exige que le sous-traitant, auquel un responsable de traitement confie le soin de gérer un traitement, présente des garanties spécifiques.
L'article 36 nouveau de la loi de 1978 concerne les données qui sont conservées à des fins historiques, statistiques, ou scientifiques au-delà de leur durée de traitement initiale. Il assure une meilleure articulation entre la législation de protection des données et la loi n° 79-18 du 3 janvier 1979 sur les archives. Son contenu est, sous réserve de quelques adaptations, celui de l'article 28 de la loi du 6 janvier 1978 dans sa rédaction issue de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations.
L'article 37 nouveau de la loi de 1978, destiné à assurer une meilleure coordination avec les législations relatives à l'accès aux documents administratifs, reprend le contenu de l'article 29-1 introduit dans la loi du 6 janvier 1978 par la loi du 12 avril 2000 précitée.
L'article 38 nouveau de la loi de 1978, qui marque le début de la seconde section, consacrée aux droits des personnes concernées par les traitements, a pour objet le droit d'opposition.
L'article 14 de la directive comporte sur ce point un aspect plus protecteur que l'article 26 actuel de la loi de 1978, dans la mesure où il prévoit que, pour les traitements mis en _uvre à des fins de prospection, notamment commerciale, ce droit s'exerce sans frais et de manière discrétionnaire.
L'article 39 nouveau de la loi de 1978 traite du droit d'accès. Le contenu et les modalités d'exercice de ce droit seront sensiblement équivalents à ce que prévoient actuellement les articles 34 et 35 de la loi de 1978. Cet article intègre, moyennant une adaptation de terminologie à laquelle conduit l'article 12 de la directive, le contenu de l'article 3 de la loi actuelle, relatif au droit de toute personne de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés.
Une dérogation au droit d'accès a par ailleurs été prévue, conformément au paragraphe 2 de l'article 13 de la directive, lorsque des données sont conservées, dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, en vue de l'établissement de statistiques anonymes.
L'article 40 nouveau de la loi de 1978 reprend pour l'essentiel les dispositions figurant aux articles 36 et 38 de la loi actuelle, s'agissant du droit de rectification et de l'obligation faite au maître du fichier de notifier toute rectification aux tiers auxquels il aurait transmis des données inexactes ou illicites.
L'article 41 nouveau de la loi de 1978 introduit la procédure relative au droit d'accès indirect, dont traite actuellement l'article 39 de la loi de 1978, et qui permet de concilier le droit d'accès avec les protections particulières rendues nécessaires par les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique. La formulation retenue améliore les garanties dont bénéficie la personne fichée puisque, si cela ne nuit pas aux intérêts publics en cause, elle pourra être informée du contenu des enregistrements la concernant et, le cas échéant, des rectifications effectuées.
L'article 42 nouveau de la loi de 1978 instaure, par analogie avec l'article précédent, un droit d'accès indirect pour les fichiers constitués à des fins de recherche et de constatation des infractions ou à des fins fiscales. Sous l'empire de la loi actuelle, le droit d'accès à ces fichiers peut être purement et simplement refusé. Désormais, il obéira à un régime similaire à celui des traitements de défense ou de sécurité. Par ailleurs, la possibilité de limitation du droit d'accès demeurera soumise à un examen préalable de la CNIL, comme c'est le cas actuellement.
* *
*
L'article 6 du projet insère dans la loi du 6 janvier 1978 un chapitre VI consacré au « Contrôle de la mise en _uvre des traitements » par la CNIL.
L'article 44 nouveau de la loi de 1978 détermine les conditions d'exercice, par les membres de la commission et les agents de ses services de leurs prérogatives d'investigation et de visite des locaux.
* *
*
L'article 7 du projet introduit dans la loi de 1978 un chapitre VII spécifiquement consacré aux « Sanctions infligées par la Commission nationale de l'informatique et des libertés » et qui comporte les articles 45 à 49 nouveaux.
L'article 45 nouveau de la loi de 1978 définit le contenu des pouvoirs de sanction dont dispose la CNIL dans le cadre de ses missions de contrôle a posteriori des traitements.
La commission pourra ainsi infliger des avertissements, comme sous l'empire de la loi actuelle. Mais elle pourra également, après une procédure contradictoire et lorsqu'une mise en demeure préalable sera restée sans effet, prononcer des sanctions pécuniaires ou retirer les autorisations qu'elle aura précédemment accordées.
En cas d'urgence, la commission pourra, si la mise en _uvre d'un traitement entraîne une violation des droits et libertés garantis par la loi, prononcer des mesures provisoires d'interruption du traitement ou de verrouillage de certaines données ou, s'agissant des traitements liés à des activités de souveraineté, saisir le Premier ministre afin qu'il prenne les mesures appropriées.
Enfin, en cas d'atteinte grave et immédiate aux droits et libertés garantis par la loi, la commission pourra saisir le juge des référés compétent (juge civil s'il s'agit d'un traitement mis en _uvre par une personne privée, juge administratif pour les traitements mis en _uvre par les services publics) pour qu'il prenne, si besoin sous astreinte, les mesures de sécurité nécessaires à la sauvegarde des droits des personnes.
L'article 46 nouveau de la loi de 1978 précise les conditions du prononcé des sanctions administratives, s'agissant en particulier des garanties des droits de la défense, des voies de recours, et des possibilités de publicité que la CNIL est susceptible de donner à ces sanctions.
L'article 47 nouveau de la loi de 1978 détermine le montant maximum des sanctions pécuniaires que la CNIL peut infliger et les conditions dans lesquelles elles sont susceptibles de se cumuler avec une amende prononcée par le juge pénal.
L'article 48 nouveau de la loi de 1978 prévoit, conformément aux dispositions figurant au paragraphe 6 de l'article 28 de la directive, que la CNIL peut exercer ses pouvoirs d'investigation et de sanction à l'égard de traitements mis en _uvre sur le territoire national, y compris dans le cas où les responsables de ces traitements sont établis sur le territoire d'un autre Etat membre de la Communauté européenne.
L'article 49 nouveau de la loi de 1978 organise les possibilités de coopération de la CNIL avec les autorités de protection homologues des autres Etats membres de la Communauté européenne.
* *
*
L'article 8 du projet de loi crée dans la loi du 6 janvier 1978 un chapitre VIII intitulé : « Dispositions pénales » et comportant les articles 50 à 52 nouveaux.
L'article 50 nouveau est un simple renvoi aux infractions prévues par les articles 226-16 à 226-24 du code pénal, dont la rédaction est par ailleurs adaptée (cf. titre II du présent projet de loi).
L'article 51 nouveau précise les éléments constitutifs du délit d'entrave à l'action de la Commission nationale de l'informatique et des libertés, qui fait l'objet de l'article 43 du texte actuel.
L'article 52 nouveau fait obligation au ministère public d'informer le président de la CNIL des procédures pénales et de la date des audiences de jugement qui concernent des infractions informatiques. La commission aura la faculté de présenter des observations dans ces procédures.
* *
*
L'article 9 du projet de loi a pour objet d'adapter les dispositions de l'actuel chapitre V bis de la loi du 6 janvier 1978, issu de la loi du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé.
Ce chapitre V bis devient le chapitre IX de la loi modifiée, et comprend les articles 53 à 61 nouveaux.
La plupart des aménagements introduits sont de pures coordinations.
Il importe toutefois de signaler l'insertion de trois alinéas à l'article 54 nouveau (actuel article 40-2 de la loi), afin de créer une procédure simplifiée d'examen des catégories les plus usuelles de traitements à finalité de recherche médicale dont les données ne permettent pas l'identification directe des personnes concernées. Cette procédure, qui n'est pas sans analogie avec celle dite « des normes simplifiées », prévue par l'actuel article 17 de la loi et reprise à l'article 24 nouveau, est destinée, en particulier, à permettre un allègement de l'activité de la CNIL dans le domaine des essais cliniques de nouveaux médicaments.
Elle repose sur la possibilité pour la commission d'homologuer et de publier des méthodologies de référence, les traitements correspondants pouvant ensuite faire l'objet d'une procédure d'autorisation simplifiée moyennant la souscription d'un engagement de conformité.
Par ailleurs, la directive, qui pose un principe général d'interdiction du transfert de données vers des Etats n'appartenant pas à la Communauté européenne et n'offrant pas un niveau de protection suffisant, et qui prévoit que ce niveau fait l'objet d'appréciations au niveau communautaire (cf. ci-après l'article 12 du projet), conduit à un aménagement de l'article 61 nouveau (actuel article 40-9 de la loi de 1978).
* *
*
L'article 10 du projet de loi opère des adaptations de détail du chapitre V ter, introduit dans la loi du 6 janvier 1978 par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle. Ce chapitre, qui est désormais intitulé : « Traitements de données de santé à caractère personnel à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention », devient le chapitre X nouveau.
* *
*
L'article 11 du projet de loi insère dans un chapitre spécifique (chapitre XI limité à un article) les dispositions relatives aux traitements ayant pour finalité le journalisme et l'expression littéraire et artistique.
Le nouvel article 67 de la loi de 1978 élargit les dérogations dont bénéficient actuellement les traitements mis en oeuvre dans le cadre de la presse écrite et audiovisuelle.
Alors que l'actuel article 33 de la loi du 6 janvier 1978 permet seulement aux organismes de presse de déroger aux dispositions encadrant le traitement des données de nature sensible et de nature pénale, il est prévu d'étendre ces dérogations :
- à l'obligation de déclaration applicable aux traitements non soumis à un contrôle préalable (article 22 nouveau) ;
- au principe de limitation de la durée de conservation des données (5° de l'article 6 nouveau) ;
- aux obligations d'information incombant au responsable du traitement (article 32 nouveau) ;
- au droit d'accès et de rectification (articles 39 et 40 nouveaux) ;
- aux dispositions encadrant les transferts de données vers des pays tiers à la Communauté européenne (articles 68 à 70 nouveaux).
Ces dérogations sont par ailleurs étendues, en application de la directive, aux traitements aux fins d'expression littéraire et artistique.
Plusieurs garanties ont été aménagées en contrepartie de cette extension des dérogations.
Tout d'abord, les dérogations dont bénéficie la presse ne s'appliqueront qu'aux traitements répondant à une finalité exclusive de journalisme et sous réserve que ceux-ci soient mis en oeuvre dans le respect des règles déontologiques.
Ensuite, l'absence d'obligation de déclaration des traitements n'est applicable, en matière de journalisme, que si le responsable concerné procède à la désignation d'un délégué à la protection des données, chargé d'un contrôle interne à l'organe de presse ainsi que de la tenue d'un registre de ces traitements.
Enfin, il est rappelé que les dérogations ainsi ménagées ne font pas obstacle à l'application des dispositions civiles et pénales ayant pour objet la protection de la vie privée, ainsi que la protection des personnes contre les atteintes à leur réputation.
* *
*
L'article 12 du projet de loi introduit dans la loi du 6 janvier 1978 un chapitre XII intitulé « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » et comportant les articles 68 à 70 nouveaux.
L'article 68 nouveau énonce le principe, emprunté à l'article 25 de la directive, selon lequel le transfert de données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne ne peut avoir lieu que si le pays destinataire assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement envisagé.
Cet article nouveau détermine par ailleurs les critères à partir desquels un tel niveau de protection peut être apprécié (dispositions en vigueur dans le pays considéré, mesures de sécurité appliquées, caractéristiques du traitement quant à sa finalité et à sa durée et quant à la nature et à la destination des données traitées).
L'article 69 nouveau de la loi de 1978 précise, en application de l'article 26 de la directive, les exceptions au principe interdisant le transfert de données en considération de l'insuffisance du niveau de protection (sauvegarde de la vie de la personne concernée, sauvegarde de l'intérêt public, obligations juridiques liées à la constatation, l'exercice ou la défense d'un droit en justice, transfert à partir d'un registre public, conclusion ou exécution d'un contrat).
Cet article prévoit par ailleurs, ainsi que le permet la directive, la possibilité de dérogations supplémentaires, en considération du niveau de protection correspondant spécifiquement au traitement considéré et, en particulier au caractère protecteur des clauses contractuelles dont celui-ci peut faire l'objet.
Il est prévu que ces dérogations soient accordées sur décision de la CNIL ou, s'il s'agit de traitements liés à des activités de souveraineté de l'Etat, par décret en Conseil d'Etat pris après avis motivé et publié de la commission.
L'article 70 nouveau de la loi de 1978 définit les mesures que la CNIL est habilitée à prendre lorsque lui est notifié un projet de traitement incluant des transferts vers un Etat où le niveau de protection est estimé insuffisant par les autorités communautaires ou, si celles-ci ne se sont pas encore prononcées, par la commission elle-même.
* *
*
L'article 13 du projet de loi réunit dans un chapitre final de la loi de 1978 (chapitre XIII) les articles 71 et 72 nouveaux.
L'article 71 prévoit que la détermination des modalités d'application de la loi seront fixées par des décrets en Conseil d'Etat, pris après avis de la CNIL.
L'article 72 concerne l'application du texte dans les collectivités d'outre-mer.
* *
*
Le titre II du projet de loi, qui correspond à ses articles 14 et 15, contient les dispositions modifiant des textes législatifs autres que la loi du 6 janvier 1978. Il s'agit, d'une part, de la section V du chapitre VI du titre II du livre deuxième du code pénal et, d'autre part, de l'article 10 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité, lequel fixe le régime propre aux enregistrements visuels de vidéosurveillance réalisés dans les lieux publics.
L'article 14 du projet comporte l'ensemble des aménagements introduits dans le code pénal.
D'une manière générale, il est procédé, conformément aux suggestions du rapport de M. Braibant, à un abaissement du niveau des sanctions, le maximum de la peine encourue se trouvant limité à trois ans d'emprisonnement et à 45 000 € d'amende.
Les articles 226-16, 226-17, 226-18, 226-19, 226-20, 226-21 et 226-22 du code pénal ne connaissent que des adaptations mineures dans leur portée, résultant de la nouvelle formulation des dispositions de la loi qu'ils ont pour but de sanctionner.
L'article 226-16-1 nouveau codifie, en l'adaptant, l'article 42 de la loi en vigueur, lequel a pour objet de sanctionner les utilisations irrégulières du répertoire national d'immatriculation des personnes physiques.
L'article 226-19-1 nouveau confère une autonomie rédactionnelle aux infractions concernant les traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, alors que celles-ci se trouvent présentement incluses dans l'article 226-18 du code pénal.
L'article 226-22-1 nouveau réprime la violation des dispositions régissant les transferts de données vers des Etats non membres de la Communauté européenne (articles 68 à 70 nouveaux).
L'article 226-22-2 nouveau permet au juge pénal, lorsqu'il prononce une condamnation pour l'une des infractions prévues aux articles 226-16 à 226-22-1, d'ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement.
L'article 226-23 nouveau étend la portée de l'infraction prévue par l'article 226-19 aux fichiers manuels.
L'article 15 du projet de loi adapte la rédaction de l'article 10 de la loi du 21 janvier 1995 relatif aux enregistrements visuels de vidéosurveillance, afin de tenir compte de la nouvelle définition des traitements de données à caractère personnel. Il n'en modifie nullement la portée.
* *
*
Le titre III du projet de loi, qui correspond à ses articles 16 et 17, a pour objet des dispositions transitoires.
L'article 16 du projet, qui transpose l'article 32 de la directive, prévoit les conditions de mise en conformité des traitements existants avec le régime issu de la transposition.
Il est ainsi prévu que les responsables des traitements régulièrement mis en _uvre avant la publication de la loi disposent d'un délai de trois ans pour effectuer leur mise en conformité avec le nouveau texte.
Cependant, les dispositions nouvelles relatives au droit d'opposition (qui acquiert un caractère discrétionnaire pour les traitements de prospection) et celles concernant les échanges de données transfrontières seront, tout comme les dispositions relatives aux nouveaux pouvoirs d'investigation et de sanction attribués à la CNIL, immédiatement applicables.
S'agissant des règles de procédure, il a été prévu, dans le souci d'éviter à la Commission nationale de l'informatique et des libertés un afflux de dossiers de régularisation, de dispenser de toute formalité les traitements qui basculeront d'un régime de déclaration à un régime d'autorisation à condition qu'ils aient été régulièrement mis en _uvre sous l'empire des textes antérieurs et que leurs caractéristiques n'aient pas été modifiées à l'occasion de leur mise en conformité.
Par ailleurs, les responsables de fichiers manuels bénéficieront, conformément à l'article précité de la directive, d'un délai allant jusqu'au 24 octobre 2007 pour se mettre en conformité avec les principes généraux de licéité des traitements et avec les dispositions régissant les traitements de données sensibles et les traitements de données pénales.
L'article 17 du projet de loi est essentiellement destiné à permettre à la CNIL, dans sa formation actuelle, d'exercer l'ensemble des nouvelles prérogatives dévolues à l'autorité de protection dès la publication de la loi, sans attendre que des décrets d'application soient pris ou qu'une nouvelle commission soit instituée.
PROJET DE LOI
Le Premier ministre,
Sur le rapport de la garde des sceaux, ministre de la justice,
Vu l'article 39 de la Constitution,
Décrète :
Le présent projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, délibéré en Conseil des ministres après avis du Conseil d'Etat, sera présenté à l'Assemblée nationale par la garde des sceaux, ministre de la justice qui est chargée d'en exposer les motifs et d'en soutenir la discussion.
TITRE Ier
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE A L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTES
Article 1er
Les articles 2 à 5 du chapitre Ier de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont remplacés par les dispositions suivantes :
« Art. 2.- La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en _uvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
« Constitue un traitement de données à caractère personnel toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
« Est la personne concernée par un traitement de données à caractère personnel celle à laquelle se rapportent les données qui font l'objet du traitement.
« Art. 3.- I.- Est responsable d'un traitement de données à caractère personnel, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine ses finalités et ses moyens.
« II.- Est destinataire d'un traitement de données à caractère personnel toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.
« Art. 4.- Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.
« Art. 5.- I.- Sont soumis à la présente loi les traitements de données à caractère personnel :
« 1° Dont le responsable est établi sur le territoire français ;
« 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.
« Est considéré comme établi sur le territoire français le responsable d'un traitement qui y exerce une activité effective dans le cadre d'une installation stable, quelle que soit la forme juridique de celle-ci.
« II.- Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »
Article 2
Le chapitre II de la même loi est remplacé par les dispositions suivantes :
« CHAPITRE II
« Conditions de licéité des traitements de données
à caractère personnel
« Section 1
« Dispositions générales
« Art. 6.- Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes, qu'il incombe au responsable du traitement de faire respecter :
« 1° Les données sont collectées et traitées de manière loyale et licite ;
« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;
« 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;
« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
« 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
« Des données à caractère personnel ne doivent pas faire l'objet d'un traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique n'est pas considéré comme incompatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées.
« Art. 7.- Un traitement de données à caractère personnel doit, soit avoir reçu le consentement de la ou des personnes concernées, soit être nécessaire :
« 1° Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
« 2° Ou à la sauvegarde de la vie de la ou des personnes concernées ;
« 3° Ou à l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
« 4° Ou à l'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
« 5° Ou à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, à condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
« Section 2
« Dispositions propres à certaines catégories de données
« Art. 8.- I.- Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci.
« II.- Ne sont pas soumis à l'interdiction prévue au I, dans la mesure où la finalité du traitement l'exige pour certaines catégories de données :
« 1° Le traitement qui est nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d'un tiers, mais auquel la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;
« 2° Le traitement qui est mis en _uvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, pour les seules données mentionnées au I correspondant à l'objet dudit organisme, sous réserve qu'il ne concerne que les membres de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité, et qu'il ne porte que sur des données qui ne sont pas communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;
« 3° Le traitement qui porte sur des données rendues publiques par la personne concernée ;
« 4° Le traitement qui est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;
« 5° Le traitement qui est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et qui est mis en _uvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal.
« III.- D'autres traitements peuvent être exceptés de l'interdiction prévue au I, lorsque l'intérêt public l'impose et dans les conditions prévues, selon le traitement, au I de l'article 25 ou au II de l'article 26.
« Art. 9.- Peuvent seuls procéder au traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté :
« 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.
« Art. 10.- Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
« Aucune décision administrative ou privée produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.
« Une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat et pour laquelle la personne concernée a été mise à même de présenter ses observations n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé. »
Article 3
Le chapitre III de la même loi est remplacé par les dispositions suivantes :
« CHAPITRE III
« La Commission nationale de l'informatique et des libertés
« Art. 11.- La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :
« 1° Elle veille à ce que les traitements de données à caractère personnel soient mis en _uvre conformément aux dispositions de la présente loi.
« A ce titre :
« a) Elle autorise les traitements mentionnés aux articles 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;
« b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;
« c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en _uvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;
« d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en _uvre ou envisagent de mettre en _uvre des traitements automatisés de données à caractère personnel ;
« e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;
« f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l'article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;
« g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l'égard d'un responsable de traitement l'une des mesures prévues à l'article 45 ;
« h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;
« 2° A la demande des organismes professionnels regroupant des responsables de traitements :
« a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, qui lui sont soumis ;
« b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;
« c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi ;
« 3° Elle se tient informée de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés mentionnées à l'article 1er ;
« A ce titre :
« a) Elle est consultée, hormis les cas mentionnés au a) du 1°, sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques ;
« b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;
« c) Elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel.
« Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.
« La commission présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission.
« Art. 12.- La Commission nationale de l'informatique et des libertés dispose des crédits nécessaires à l'accomplissement de ses missions. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.
« Art. 13.- I.- La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :
« 1° Deux députés et deux sénateurs, élus respectivement par l'Assemblée nationale et par le Sénat ;
« 2° Un membre du Conseil économique et social, élu par cette assemblée ;
« 3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;
« 4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;
« 5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;
« 6° Quatre personnalités nommées par décret, dont deux qualifiées pour leur connaissance de l'informatique ;
« 7° Deux personnalités qualifiées pour leur connaissance de l'informatique, désignées respectivement par le président de l'Assemblée Nationale et par le président du Sénat.
« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué.
« II.- Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° sont désignés après chaque renouvellement de l'assemblée à laquelle ils appartiennent ; ils peuvent être membres de la commission pendant une durée maximum de dix ans.
« Le membre de la commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.
« Sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.
« III.- La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.
« Art. 14.- I.- La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.
« II.- Aucun membre de la commission ne peut :
« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, exerce des fonctions ou détient un mandat ;
« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des dix-huit mois précédant la délibération ou les vérifications, détenu un intérêt, exercé des fonctions ou détenu un mandat.
« III.- Tout membre de la commission doit informer le président des intérêts qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou vient à détenir au sein d'une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.
« Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant de l'alinéa précédent.
« Art. 15.- Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.
« En cas de partage égal des voix, la voix du président est prépondérante.
« La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :
« - au troisième alinéa du I de l'article 23 ;
« - aux e) et f) du 1° de l'article 11.
« Art. 16.- Le bureau de la commission est composé du président et des deux vice-présidents.
« Il peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :
« - au troisième alinéa de l'article 19 ;
« - aux articles 41, 63 et 64 ;
« - au second alinéa de l'article 70.
« Le bureau peut aussi être chargé de prendre, en cas d'urgence, les décisions mentionnées au premier alinéa du I de l'article 45.
« Art. 17.- La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l'article 45.
« Cette formation est composée du président, du vice-président délégué et de trois membres élus par la commission en son sein pour la durée de leur mandat.
« En cas de partage égal des voix, la voix du président est prépondérante.
« Art. 18.- Un commissaire du gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.
« Le commissaire du gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations ; il est rendu destinataire de tous ses avis et décisions.
« Il peut, sauf en matière de sanctions, provoquer une seconde délibération.
« Art. 19.- La commission dispose de services qui sont dirigés par le président ou le vice-président délégué et placés sous son autorité.
« Les agents de la commission sont nommés par le président ou le vice-président délégué.
« Ceux d'entre eux qui peuvent être appelés à participer à la mise en _uvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.
« Art. 20.- Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel, à l'article 226-13 du code pénal.
« Art. 21.- Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.
« Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f) du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions. »
Article 4
Le chapitre IV de la même loi est remplacé par les dispositions suivantes :
« CHAPITRE IV
« Formalités préalables à la mise en _uvre des traitements
« Art. 22.- I.- A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26, et 27, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.
« II.- Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :
« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
« 2° Les traitements mentionnés au 2° du II de l'article 8.
« Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.
« Section 1
« Déclaration
« Art. 23.- I.- La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.
« Elle peut être adressée à la Commission nationale de l'informatique et des libertés par voie électronique.
« La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en _uvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités.
« II.- Les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique. Dans ce cas, les informations requises en application de l'article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.
« Art. 24.- I.- Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en _uvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l'obligation de déclaration.
« Ces normes précisent :
« 1° Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;
« 2° Les données ou catégories de données traitées ;
« 3° La ou les catégories de personnes concernées ;
« 4° Les destinataires ou catégories de destinataires auxquels les données sont communiquées ;
« 5° La durée de conservation des données.
« Les traitements qui correspondent à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.
« II.- La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.
« Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l'article 23.
« Section 2
« Autorisation
« Art. 25.- I.- Sont mis en _uvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :
« 1° Les traitements, automatisés ou non, mentionnés au III de l'article 8 ;
« 2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en _uvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;
« 3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en _uvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
« 4° Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;
« 5° Les traitements automatisés ayant pour objet :
« - l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
« - l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;
« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes, et ceux qui portent sur la totalité ou la quasi-totalité de la population de la France ;
« 7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
« 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
« II.- Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
« Art. 26.- I.- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en _uvre pour le compte de l'Etat et :
« 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;
« 2° Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.
« L'avis de la commission est publié avec l'arrêté autorisant le traitement.
« II.- Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.
« III.- Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.
« IV.- Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
« Art. 27.- I.- Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en _uvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :
« 1° Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques :
« 2° Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.
« II.- Sont autorisés par arrêté pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :
« 1° Les traitements qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;
« 2° Ceux des traitements mentionnés au I :
« - qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;
« - qui n'ont pas pour objet une interconnexion entre des fichiers ayant des fins correspondant à des intérêts publics différents ;
« - et qui sont mis en _uvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques.
« III.- Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.
« Art. 28.- I.- La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 25, 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président lorsque la complexité du dossier le justifie.
« II.- La demande d'autorisation d'un traitement présentée à la commission, qui n'a pas fait l'objet d'une décision expresse de celle-ci à l'expiration du délai prévu au I, est réputée rejetée.
« L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.
« Art. 29.- Les actes autorisant la création d'un traitement en application des articles 25, 26 et 27 précisent :
« 1° La dénomination et la finalité du traitement ;
« 2° Le service auprès duquel s'exerce le droit d'accès défini au chapitre VII ;
« 3° Les catégories de données à caractère personnel enregistrées ;
« 4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
« 5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 32.
« Section 3
« Dispositions communes
« Art. 30.- I.- Les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :
« 1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;
« 2° La finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements relevant des articles 25, 26 et 27, ses caractéristiques ;
« 3° Le cas échéant, les interconnexions avec d'autres traitements ;
« 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
« 5° La durée de conservation des informations traitées ;
« 6° Le ou les services chargés de mettre en _uvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
« 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
« 8° L'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;
« 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;
« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne, sous quelque forme que ce soit.
« II.- Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la commission :
« - de tout changement affectant les informations mentionnées au I ;
« - de toute suppression du traitement.
« Art. 31.- I.- La commission met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26.
« Cette liste précise pour chacun de ces traitements :
« 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
« 2° La dénomination et la finalité du traitement ;
« 3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celles de son représentant ;
« 4° La personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;
« 5° Les données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;
« 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.
« II.- La commission tient à la disposition du public ceux de ses avis, décisions ou recommandations dont la connaissance est utile à l'application ou à l'interprétation de la présente loi. »
Article 5
L'intitulé du chapitre V de la même loi devient « Chapitre V-Obligations incombant aux responsables de traitements et droits des personnes. » Ce chapitre comprend les articles 32 à 42 ci-après ainsi que l'article 40 actuel qui devient l'article 43 nouveau. Il est divisé en deux sections rédigées comme suit :
« Section 1
« Obligations incombant aux responsables de traitements
« Art. 32.- I.- La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Du caractère obligatoire ou facultatif des réponses ;
« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
« 5° De l'identité du ou des destinataires des données ;
« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre.
« II.- Lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
« Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent également pas quand l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.
« III.- Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en _uvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.
« IV.- Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche ou la poursuite d'infractions pénales.
« Art. 33.- Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.
« Art. 34.- Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 1° et au 5° du II de l'article 8.
« Art. 35.- Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.
« Est regardé comme sous-traitant, au sens de la présente loi, toute personne traitant des données à caractère personnel pour le compte du responsable d'un traitement.
« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en _uvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
« Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
« Art. 36.- Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des informations ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.
« Toutefois, il peut être procédé à un traitement à d'autres finalités que celles mentionnées à l'alinéa premier soit avec l'accord exprès de la personne concernée, soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ou, lorsque les données conservées sont au nombre de celles qui sont mentionnées au I de l'article 8, dans les conditions prévues au III du même article.
« Art. 37.- Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 sur les archives.
« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois du 17 juillet 1978 et du 3 janvier 1979 précitées.
« Section 2
« Droits des personnes à l'égard des traitements de données à caractère personnel
« Art. 38.- Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant fassent l'objet d'un traitement.
« Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.
« Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.
« Art. 39.- I.- Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
« 1° La confirmation que des données la concernant font ou ne font pas l'objet de ce traitement ;
« 2° Des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
« 3° La communication, sous une forme accessible, des données qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé lorsque les résultats de celui-ci lui sont opposés.
« Une copie des données est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.
« En cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.
« II.- Le responsable du traitement peut ne pas tenir compte des demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.
« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées pendant une durée n'excédant pas celle qui est nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques.
« Art. 40.- Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
« Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.
« En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.
« Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.
« Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de notifier à ce tiers les opérations qu'il a effectuées conformément au premier alinéa.
« Art. 41.- Par dérogation aux articles 39 et 40, les demandes d'accès relatives aux traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique sont adressées à la Commission nationale de l'informatique et des libertés, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.
« Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat des opérations effectuées en application du premier alinéa de l'article 40 ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant.
« Dans les autres cas, la commission informe le requérant qu'il a été procédé aux vérifications.
« Art. 42.- Les dispositions de l'article 41 sont applicables aux traitements mis en _uvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27. »
Article 6
Le chapitre VI de la même loi est remplacé par les dispositions suivantes :
« CHAPITRE VI
« Le contrôle de la mise en _uvre des traitements
« Art. 44.- I.- Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au troisième alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en _uvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.
« Le procureur de la République territorialement compétent en est préalablement informé.
« II.- En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance ou du juge délégué par lui.
« Ce magistrat est saisi à la requête du président de la commission. Il statue par une ordonnance motivée, conformément aux dispositions prévues aux articles 493 à 498 du nouveau code de procédure civile. La procédure est sans représentation obligatoire.
« La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Celui-ci peut se rendre dans les locaux durant l'intervention. A tout moment, il peut décider l'arrêt ou la suspension de la visite.
« III.- Les membres de la commission et les agents mentionnés au premier alinéa peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux logiciels et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.
« Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent.
« Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement.
« Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article. »
Article 7
Le chapitre VII de la même loi est remplacé par les dispositions suivantes :
« CHAPITRE VII
« Sanctions infligées par la Commission nationale de l'informatique et des libertés
« Art. 45.- I.- La Commission nationale de l'informatique et des libertés peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.
« Si le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :
« 1° Une sanction pécuniaire ;
« 2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.
« II.- En cas d'urgence, lorsque la mise en _uvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er, la commission peut, après une procédure contradictoire :
« 1° Décider l'interruption de la mise en _uvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;
« 2° Saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ; le Premier ministre fait alors connaître à la commission et rend publiques les suites qu'il a données à cette saisine au plus tard quinze jours après l'avoir reçue.
« III.- En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
« Art. 46.- Les sanctions prévues au I et au 1° du II de l'article 45 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations. Le rapporteur peut présenter des observations orales à la commission mais ne prend pas part à ses délibérations. La commission peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information.
« La commission peut décider de rendre publiques les sanctions qu'elle prononce.
« Les décisions prises par la commission au titre de l'article 45 sont motivées et notifiées au responsable du traitement. Les décisions infligeant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat.
« Art. 47.- Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.
« Lors du premier manquement, il ne peut excéder 150 000 €. En cas de manquement réitéré, il ne peut excéder 300 000 € ou 5 % du chiffre d'affaires.
« Lorsque la Commission nationale de l'informatique et des libertés a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.
« Les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
« Art. 48.- La commission peut exercer les pouvoirs prévus à l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 à l'égard des traitements dont les opérations sont mises en _uvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la Communauté européenne.
« Art. 49.- La commission peut, à la demande d'une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de la Communauté européenne, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à l'article 45, sauf s'il s'agit d'un traitement mentionné au I ou au II de l'article 26.
« La commission est habilitée à communiquer les informations qu'elle recueille ou qu'elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d'autres Etats membres de la Communauté européenne. »
Article 8
La même loi est complétée par un chapitre VIII ainsi rédigé :
« CHAPITRE VIII
« Dispositions pénales
« Art. 50.- Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.
« Art. 51.- Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :
« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 et définies aux articles 45 et 49 ;
« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
« Art. 52.- Le procureur de la République avise le président de la Commission nationale de l'informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.
« La juridiction d'instruction ou de jugement peut appeler le président de la Commission nationale de l'informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l'audience. »
Article 9
I.- Le chapitre V bis de la même loi devient le chapitre IX et son intitulé est remplacé par l'intitulé suivant : « Chapitre IX-Traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé ».
II.- Les articles 40-1 à 40-8 de la même loi deviennent les articles 53 à 61 et sont modifiés comme suit :
1° Au premier alinéa des articles 40-1, 40-3 et 40-8, le mot : « automatisés » est supprimé ;
2° Au premier alinéa des articles 40-1, 40-2, 40-3 et 40-5, ainsi qu'à l'article 40-7, les mots : « données nominatives » sont remplacés par les mots : « données à caractère personnel » ;
3° Au premier alinéa de l'article 40-1, les mots : « à l'exception des articles 15, 16, 17, 26 et 27 » sont remplacés par les mots : « à l'exception des articles 23 à 26, 32 et 38 » ;
4° Le quatrième alinéa de l'article 40-2 est remplacé par quatre alinéas ainsi rédigés :
« La mise en _uvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui se prononce dans les conditions prévues à l'article 28.
« Pour les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et portant sur des données ne permettant pas une identification directe des personnes concernées, la commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif ainsi qu'avec les organismes publics et privés représentatifs, et destinées à simplifier la procédure prévue aux quatre premiers alinéas du présent article.
« Ces méthodologies précisent, eu égard aux caractéristiques mentionnées à l'article 30, les normes auxquelles doivent correspondre les traitements pouvant faire l'objet d'une demande d'avis et d'une demande d'autorisation simplifiées.
« Pour les traitements répondant à ces normes, seul un engagement de conformité à l'une d'entre elles est envoyé au comité consultatif, puis à la commission. Le président de la commission peut autoriser ces traitements à l'issue d'une procédure simplifiée d'examen. » ;
5° La dernière phrase du deuxième alinéa de l'article 40-3 est remplacée par les deux phrases suivantes :
« La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 36. » ;
6° Le premier alinéa de l'article 40-4 est remplacé par les dispositions suivantes :
« Toute personne a le droit de s'opposer à ce que les données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux qui sont visés à l'article 53. » ;
7° Au cinquième alinéa de l'article 40-5, les mots : « institué au chapitre V » sont remplacés par les mots : « institué aux articles 39 et 40 » ;
8° A l'article 40-6, le mot : « tuteur » est remplacé par les mots : « représentant légal » et les mots : « protection légale » par le mot : « tutelle » ;
9° Au second alinéa de l'article 40-8, les mots : « au contrôle prévu par le 2° de l'article 21 » sont remplacés par les mots : « aux vérifications prévues par le f) du 1° de l'article 11 ».
III.- Les articles 40-9 et 40-10 sont abrogés.
IV.- Le chapitre IX nouveau comprend un article 61 ainsi rédigé :
« Art. 61.- La transmission vers un Etat n'appartenant pas à la Communauté européenne de données à caractère personnel non codées faisant l'objet d'un traitement ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 54, que sous réserve du respect des règles énoncées au chapitre XII. »
Article 10
I.- Le chapitre V ter de la même loi devient le chapitre X et son intitulé est remplacé par l'intitulé suivant : « Chapitre X-Traitements de données de santé à caractère personnel à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention ».
II.- Les articles 40-11 à 40-15 de la même loi deviennent les articles 62 à 66 et sont modifiés comme suit :
1° Au premier alinéa de l'article 40-11, les mots : « traitements de données personnelles de santé » sont remplacés par les mots : « traitements de données de santé à caractère personnel », et au deuxième alinéa de ce même article, les mots : « données personnelles » sont remplacés par les mots : « données à caractère personnel ». La référence à l'article L. 710-6 du code de la santé publique est remplacée par une référence à l'article L. 6113-7 ;
2° Au premier alinéa de l'article 40-13, les mots : « données personnelles » sont remplacés par les mots : « données à caractère personnel » ;
3° La dernière phrase du premier alinéa de l'article 40-14 est supprimée ;
4° Au premier alinéa de l'article 40-15, les mots : « lorsqu'ils demeurent indirectement nominatifs » sont remplacés par les mots : « lorsqu'ils permettent indirectement d'identifier les personnes concernées ».
Article 11
La même loi est complétée par un chapitre XI ainsi rédigé :
« CHAPITRE XI
« Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique
« Art. 67.- Le 5° de l'article 6, les articles 8, 9, 22, 32, 39, 40 et 68 à 70 ne s'appliquent pas aux traitements de données à caractère personnel mis en _uvre aux seules fins :
« 1° D'expression littéraire et artistique ;
« 2° D'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession.
« Toutefois, pour les traitements mentionnés au 2°, la dispense de l'obligation de déclaration prévue par l'article 22 est subordonnée à la désignation par le responsable du traitement d'un délégué à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en _uvre par ce responsable et d'assurer, d'une manière indépendante, l'application des dispositions de la présente loi. Cette désignation est portée à la connaissance de la Commission nationale de l'informatique et des libertés.
« Les dispositions des alinéas précédents ne font pas obstacle à l'application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d'exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes. »
Article 12
La même loi est complétée par un chapitre XII ainsi rédigé :
« CHAPITRE XII
« Transferts de données à caractère personnel vers des Etats
« n'appartenant pas à la Communauté européenne
« Art. 68.- Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
« Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
« Art. 69.- Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti à leur transfert ou si le transfert est nécessaire :
« 1° A la sauvegarde de la vie de cette personne ;
« 2° Ou à la sauvegarde de l'intérêt public ;
« 3° Ou au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;
« 4° Ou à la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
« 5° Ou à l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
« 6° Ou à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.
« Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles dont il fait l'objet.
« La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent.
« Art. 70.- Si la Commission des Communautés européennes a constaté qu'un Etat n'appartenant pas à la Communauté européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel, la Commission nationale de l'informatique et des libertés, saisie d'une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, délivre le récépissé avec mention de l'interdiction de procéder au transfert des données.
« Lorsqu'elle estime qu'un Etat n'appartenant pas à la Communauté européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données, la Commission nationale de l'informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu'elle est saisie d'une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, la Commission nationale de l'informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l'Etat vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l'Etat vers lequel le transfert est envisagé n'assure pas un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement l'interdiction de procéder au transfert de données à caractère personnel à destination de cet Etat. »
Article 13
La même loi est complétée par un chapitre XIII ainsi rédigé :
« CHAPITRE XIII
« Dispositions diverses
« Art. 71.- Des décrets en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixent les modalités d'application de la présente loi.
« Art. 72.- La présente loi est applicable en Polynésie française, dans les îles Wallis-et-Futuna, dans les Terres australes et antarctiques françaises, en Nouvelle-Calédonie et à Mayotte.
« Par dérogation aux dispositions du deuxième alinéa de l'article 54, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur lorsque celui-ci réside dans l'une de ces collectivités. En cas d'urgence, ce délai peut être ramené à un mois. »
TITRE II
DISPOSITIONS MODIFIANT D'AUTRES TEXTES LEGISLATIFS
Article 14
I.- Les articles 226-16 à 226-23 du code pénal sont remplacés par les dispositions suivantes :
« Art. 226-16.- Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en _uvre prévues par la loi est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« Art. 226-16-1.- Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population de la France, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Art. 226-17.- Le fait de procéder ou de faire procéder à un traitement automatisé de données à caractère personnel sans mettre en _uvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est puni de deux ans d'emprisonnement et de 30 000 € d'amende.
« Art. 226-18.- Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Art. 226-18-1.- Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Art. 226-19.- Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.
« Art. 226-19-1.- En cas de traitement automatisé de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de trois ans d'emprisonnement et de 45 000 € d'amende le fait de procéder à un traitement :
« 1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ;
« 2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.
« Art. 226-20.- Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de deux ans d'emprisonnement et de 30 000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
« Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.
« Art. 226-21.- Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en _uvre de ce traitement, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« Art. 226-22.- Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de trois ans d'emprisonnement et de 45 000 € d'amende.
« La divulgation prévue à l'alinéa précédent est punie d'un an d'emprisonnement et de 15 000 € d'amende lorsqu'elle a été commise par imprudence ou négligence.
« Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
« Art. 226-22-1.- Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est puni de deux ans d'emprisonnement et de 30 000 € d'amende.
« Art. 226-22-2.- Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.
« Art. 226-23.- Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en _uvre ne se limite pas à l'exercice d'activités exclusivement personnelles. »
II.- Au premier alinéa de l'article 226-24 du code pénal, les mots: « aux articles 226-16 à 226-21 et 226-23 ainsi qu'au premier alinéa de l'article 226-22 » sont remplacés par les mots: « à la présente section ».
Article 15
Le I de l'article 10 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité est ainsi rédigé :
« I.- Les enregistrements visuels de vidéosurveillance sont soumis aux dispositions ci-après, à l'exclusion de ceux qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques, qui sont soumis à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »
TITRE III
DISPOSITIONS TRANSITOIRES
Article 16
I.- Les responsables de traitements de données à caractère personnel dont la mise en _uvre est régulièrement intervenue avant la publication de la présente loi, disposent, à compter de cette date, d'un délai de trois ans pour mettre leurs traitements en conformité avec les dispositions de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi. Lorsque cette mise en conformité n'a pas pour effet de modifier les caractéristiques des traitements mentionnées à l'article 30 de la loi du 6 janvier 1978, dans sa rédaction issue de la présente loi, les traitements sont réputés avoir satisfait aux formalités préalables prévues au chapitre IV, et, le cas échéant, disposer de l'autorisation prévue, selon le cas, aux articles 25, 26 ou 27 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi.
Les dispositions de la loi du 6 janvier 1978, dans sa rédaction antérieure à la présente loi, demeurent applicables aux traitements qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité avec les dispositions de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, et, au plus tard, jusqu'à l'expiration du délai de trois ans prévu à l'alinéa précédent. Toutefois, les dispositions des articles 38, 44 à 49 et 68 à 70 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, leur sont immédiatement applicables.
II.- Par dérogation aux dispositions du I, les responsables de traitements non automatisés de données à caractère personnel dont la mise en _uvre est régulièrement intervenue avant la date de publication de la présente loi, disposent, pour mettre leurs traitements en conformité avec les articles 6 à 9 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, d'un délai allant jusqu'au 24 octobre 2007.
Les dispositions de l'article 25, du I de l'article 28 ainsi que des articles 30, 31 et 37 de la loi du 6 janvier 1978, dans leur rédaction antérieure à la présente loi, demeurent applicables aux traitements non automatisés qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité avec les dispositions des articles 6 à 9 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi et, au plus tard, jusqu'au 24 octobre 2007.
Article 17
I.- Les membres de la Commission nationale de l'informatique et des libertés en exercice au moment de la publication de la présente loi demeurent en fonction jusqu'au terme normal de leur mandat.
II.- Lors de la première cessation, pour quelque cause que ce soit, du mandat de l'un des deux membres de la Commission nationale de l'informatique et des libertés élus par le Conseil économique et social, ce membre est remplacé par une personne mentionnée au 6° du I de l'article 13, pour la durée restant à courir du mandat des autres membres mentionnés à ce 6°.
III.- Les désignations de membres de la Commission nationale de l'informatique et des libertés intervenues moins de deux ans avant la publication de la présente loi ne sont pas prises en compte pour l'application des règles mentionnées au premier alinéa du II de l'article 13 de la loi du 6 janvier 1978 dans sa rédaction issue de la présente loi.
Fait à Paris, le 18 juillet 2001.
Signé : LIONEL JOSPIN
Par le Premier ministre :
La garde des sceaux, ministre de la justice,
Signé : MARYLISE LEBRANCHU
_______________
N° 3250.- Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
© Assemblée nationale |
