Document mis

en distribution

le 22 janvier 2002

graphique

N° 3526

--

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

ONZIÈME LÉGISLATURE

Enregistré à la Présidence de l'Assemblée nationale le 9 janvier 2002.

RAPPORT

FAIT

AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L'ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE (1) SUR LE PROJET DE LOI (N° 3250), relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,

PAR M. GÉRARD GOUZES,

Député.

--

(1) La composition de cette commission figure au verso de la présente page.

Droits de l'homme et libertés publiques.

La Commission des lois constitutionnelles, de la législation et de l'administration générale de la République est composée de : M. Bernard Roman, président ; M. Pierre Albertini, Mme Nicole Feidt, M. Gérard Gouzes, vice-présidents ; M. Richard Cazenave, M. André Gerin, M. Arnaud Montebourg, secrétaires ; M. Léon Bertrand, M. Jean-Pierre Blazy, M. Émile Blessig, M. Jean-Louis Borloo, M. Michel Bourgeois, Mme Danielle Bousquet, M. Michel Buillard, M. Dominique Bussereau, M. Christophe Caresche, M. Patrice Carvalho, Mme Nicole Catala, M. Jean-Yves Caullet, M. Olivier de Chazeaux, M. Pascal Clément, M. Jean Codognès, M. François Colcombet, M. François Cuillandre, M. Henri Cuq, M. Jacky Darne, M. Camille Darsières, M. Francis Delattre, M. Bernard Derosier, M. Franck Dhersin, M. Marc Dolez, M. Renaud Donnedieu de Vabres, M. René Dosière, M. Jean-Pierre Dufau, Mme Laurence Dumont, M. René Dutin, M. Renaud Dutreil, M. Jean Espilondo, M. Roger Franzoni, M. Pierre Frogier, M. Claude Goasguen, M. Louis Guédon, Mme Cécile Helle, M. Philippe Houillon, M. Michel Hunault, M. Henry Jean-Baptiste, M. Jérôme Lambert, Mme Christine Lazerges, Mme Claudine Ledoux, M. Jean Antoine Leonetti, M. Bruno Le Roux, M. Jacques Limouzy, M. Noël Mamère, M. Thierry Mariani, M. Jean-Pierre Michel, M. Ernest Moutoussamy, Mme Véronique Neiertz, M. Robert Pandraud, M. Dominique Perben, Mme Catherine Picard, M. Henri Plagnol, M. Didier Quentin, M. Dominique Raimbourg, M. Jean-Pierre Soisson, M. Frantz Taittinger, M. André Thien Ah Koon, M. Jean Tiberi, M. Alain Tourret, M. André Vallini, M. Michel Vaxès, M. Alain Vidalies, M. Jean-Luc Warsmann, M. Kofi Yamgnane.

INTRODUCTION 7

I. - LA LOI « INFORMATIQUE ET LIBERTÉS » : UN TEXTE FONDATEUR DONT L'ADAPTATION EST AUJOURD'HUI NÉCESSAIRE 8

A. 6 JANVIER 1978 : LA FRANCE MONTRE LA VOIE 8

1. Le cadre légal des traitements 9

a) La gestion des données sensibles 9

b) La déclaration de traitement auprès de la CNIL 10

c) L'information et les droits des personnes 11

d) La sécurité et la confidentialité des données 12

e) Les obligations liées à la cession des informations 12

2. La création d'une autorité de contrôle 12

a) Une mission d'information et de conseil 13

b) Une mission de contrôle 13

c) Un pouvoir réglementaire 14

d) Une action au service des libertés 14

B. LES ÉVOLUTIONS TECHNOLOGIQUES AINSI QUE L'ADOPTION D'UNE DIRECTIVE EUROPÉENNE IMPOSENT LA REFONTE DE LA LOI ACTUELLE 16

1. L'extension des technologies informatiques aux activités marchandes altère le bien-fondé de la distinction « organique » du régime applicable aux traitements automatisés 16

2. La nécessité de transposer en droit interne la directive 95/46 du 24 octobre 1995 implique une réforme d'ensemble du droit en vigueur 17

a) Une égalité de principe entre secteur public et privé 18

b) Un contrôle a posteriori privilégié 18

c) Des flux internationaux de données à caractère personnel mieux pris en considération 19

II. - LE PROJET DE LOI CONFIRME LES PRINCIPES FONDATEURS DE LA LOI DU 6 JANVIER 1978 MAIS EN ADAPTE LE DIPOSITIF 19

A. UN CHOIX SYMBOLIQUE : LE MAINTIEN DE LA LOI DU 6 JANVIER 1978 19

B. UNE AMÉLIORATION DU NIVEAU GLOBAL DE PROTECTION 20

1. Un régime de droit commun déclaratif pour la mise en _uvre des traitements 21

2. Une commission de contrôle aux pouvoirs d'investigations et de sanctions renforcés 21

3. Une amélioration de la protection des droits des personnes 22

4. Des modifications ponctuelles de certains régimes spécifiques 23

5. Une réglementation des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne 23

DISCUSSION GÉNÉRALE 25

EXAMEN DES ARTICLES 29

TITRE IER - DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS 29

Article 1er (art. 2 à 5 de la loi n° 78-17 du 6 janvier 1978) : Détermination du champ d'application de la loi 29

Article 2 (Chapitre II de la loi n° 78-17 du 6 janvier 1978) : Conditions de licéité des traitements de données à caractère personnel 33

Article 3 (Chapitre III de la loi n° 78-17 du 6 janvier 1978) : Dispositions relatives à la CNIL 38

Article 11 (nouveau) : Missions de la CNIL 38

Article 12 (nouveau) : Dispositions financières 42

Article 13 (nouveau) : Dispositions relatives à ses membres 43

Article 14 (nouveau) : Incompatibilités 46

Articles 15,16 et 17 (nouveaux) : Pouvoirs des différentes instances de la CNIL 47

Article 18 (nouveau) : Commissaire du Gouvernement 49

Article 19 (nouveau) : Services de la CNIL 49

Article 20 : Secret professionnel des membres et agents de la CNIL 50

Article 21 : Collaboration des personnes contrôlées 50

Article 4 (Chapitre IV de la loi n° 78-17 du 6 janvier 1978) : Formalités préalables à la mise en _uvre des traitements - Régime de la déclaration et régime de l'autorisation 51

Article 5 (Chapitre V de la loi n° 78-17 du 6 janvier 1978) : Obligations des responsables des traitements et droits des personnes concernées 57

Article 6 (Chapitre VI de la loi n° 78-17 du 6 janvier 1978) : Pouvoirs de contrôle sur place et sur pièces de la CNIL 63

Article 7 (Chapitre VII de la loi n° 78-17 du 6 janvier 1978) : Pouvoirs de sanction administrative de la CNIL 65

Article 8 (Chapitre VIII de la loi n° 78-17 du 6 janvier 1978) : Sanctions pénales et délit d'entrave à l'action de la CNIL - Information de la CNIL par le procureur de la République 69

Article 9 (chapitre IX de la loi n° 78-17 du 6 janvier 1978) : Adaptation du régime appliqué aux traitements ayant pour fins la recherche dans le domaine de la santé 70

Article 10 (chapitre X de la loi n° 78-17 du 6 janvier 1978) : Adaptation des dispositions relatives aux traitements des données à des fins d'évaluation des pratiques de santé 75

Article 11 (Chapitre XI de la loi n° 78-17 du 6 janvier 1978) : Traitements de données aux fins de journalisme et d'expression littéraire et artistique 78

Article 12 (Chapitre XII de la loi n° 78-17 du 6 janvier 1978) : Transfert de données à caractère personnel vers des Etats tiers 80

Article 13 (Chapitre XIII de la loi n° 78-17 du 6 janvier 1978) : Conditions et champ d'application de la loi 86

Article 14 (art. 226-16 à 226-24 du code pénal) : Sanctions pénales 87

TITRE II - DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS 91

Article 15 (art. 10 de la loi n° 95-73 du 21 janvier 1995) : Adaptation du régime spécifique applicable à la vidéosurveillance 91

Articles additionnels après l'article 15 : Statistiques relatives au pacte civil de solidarité ; mention du pacte civil de solidarité en marge de l'état civil 91

Coordination 92

TITRE III - DISPOSITIONS TRANSITOIRES 93

Article 16 : Mise en conformité des traitements existants avec le nouveau régime 93

Article 17 : Mandat des membres en fonction de la CNIL 94

TABLEAU COMPARATIF 97

ANNEXE AU TABLEAU COMPARATIF 211

ANNEXE : Tableau récapitulatif des formalités préalables à l'entrée en vigueur des traitements prévues par le projet de loi, élaboré par Mme Ariane Mole, avocate 245

AMENDEMENTS NON ADOPTÉS PAR LA COMMISSION 247

LISTE DES PERSONNES AUDITIONNÉES PAR LE RAPPORTEUR 249

MESDAMES, MESSIEURS,

Le 6 janvier 1978, la France a innové. En se dotant d'une loi relative à « l'informatique, aux fichiers et aux libertés », notre pays a été l'un des premiers à percevoir les dangers résultant pour les libertés des citoyens du développement de l'informatique et des fichiers par les pouvoirs publics ou le secteur privé, et, en conséquence, à encadrer la collecte et le traitement des données. En effet, au moment de l'adoption de la loi du 6 janvier 1978, seuls la Suède et le land de Hesse, respectivement depuis 1973 et 1970, possédaient en Europe une législation relative aux traitements automatisés des informations nominatives.

Ces initiatives nationales isolées ont rapidement entraîné un mouvement plus général de réflexion en cette matière, y compris au sein d'organisations internationales. Il en fut ainsi, tout d'abord, de l'OCDE qui adopta, le 23 septembre 1980, « les lignes directrices régissant la vie privée et le flux transfrontières des données à caractère personnel ». Dépourvu de toute valeur contraignante, ce document retenait une approche privilégiant la libre circulation des données, se fondant sur la crainte que les disparités entre les législations nationales ne conduisent à limiter les flux d'échanges entre les pays et, de ce fait, ne perturbent ou n'entravent la croissance de certains secteurs industriels. Par la suite, le Conseil de l'Europe adopta la convention 108 du 28 janvier 1981 qui, dans le dernier alinéa de son préambule, évoque « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et la libre circulation de l'information entre les peuples ». Enfin, l'Union européenne bénéficie désormais d'un cadre législatif commun grâce à la directive 95/46 CE du 25 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Ainsi, l'Union européenne se dote progressivement d'un système complet, cohérent et harmonisé de protection des données à caractère personnel, dont le caractère attractif séduit au-delà de ses frontières. En effet, à titre d'exemple, au cours de l'année 2000, deux importants partenaires commerciaux de l'Europe, le Canada et l'Australie, ont adopté une législation fédérale qui a notamment pour objet la protection des personnes à l'égard des traitements de données à caractère personnel mis en _uvre par le secteur privé. De même, l'Argentine bénéficie, depuis le 2 novembre 2000, d'une loi relative à la protection des données dont le champ d'application recouvre indifféremment les traitements effectués au profit du secteur public ou du secteur privé.

L'existence d'un « modèle européen » est désormais reconnue par l'article 7 de la Charte des droits fondamentaux, proclamée au Conseil européen de Nice le 7 décembre 2000, qui dispose que : « Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. » Ainsi que l'écrit le président de la CNIL dans l'avant propos du vingt et unième rapport d'activité de la commission, « on ne saurait trouver, 23 ans après l'adoption de la loi française " informatique et libertés ", meilleure consécration de la protection des données personnelles et de la vie privée ».

Pour autant, cette loi fondatrice est désormais confrontée à des changements technologiques qui en fragilisent la portée. En outre, son dispositif doit être modifié conformément aux exigences de la directive 95/46. Une adaptation était donc nécessaire à plus d'un titre : tel est l'objet du présent projet de loi.

I. - LA LOI « INFORMATIQUE ET LIBERTÉS » : UN TEXTE FONDATEUR DONT L'ADAPTATION EST AUJOURD'HUI NÉCESSAIRE

A. 6 JANVIER 1978 : LA FRANCE MONTRE LA VOIE

La protection des données à caractère personnel est une préoccupation inhérente aux sociétés démocratiques. Or, dans ce domaine, comme le relevait Mme Elisabeth Guigou, alors garde des sceaux, en introduction aux rencontres parlementaires sur la société de l'information (5 octobre 1999) : « La France a montré la voie dès le milieu des années 1970, par une prise de conscience précoce des dangers potentiels de l'informatique administrative » (1).

Les premiers travaux ayant trait au développement de l'informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques. En France, le Conseil d'Etat adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l'usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d'un identifiant unique, le numéro de sécurité sociale. Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d'une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l'informatique se réalise dans le respect de la vie privée et des libertés (2), puis sur la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés.

Ce texte, communément appelé « loi Informatique et libertés », fut l'un des premiers au monde à encadrer l'usage des données à caractère personnel ; il a d'ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français. Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles. De fait, c'est bien sur ce terrain que le législateur s'est placé en affirmant, d'emblée, dès l'article 1er, que : « L'informatique doit être au service de chaque citoyen. (...) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

1. Le cadre légal des traitements

La loi du 6 janvier 1978 réglemente la collecte et l'utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d'identifier, directement ou indirectement, des personnes physiques. Elle s'applique à deux types de procédés :

-  Le « traitement automatisé » desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l'article 5, comme : « tout ensemble d'opérations réalisées par les moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives ».

-  Les « fichiers manuels ou mécanographiques », qui n'étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d'ailleurs référence qu'à « l'informatique », tant à l'article 1er (« L'informatique doit être au service de chaque citoyen ») que dans le titre de l'institution de contrôle qu'elle crée par ailleurs (« Commission nationale de l'informatique et des libertés »). Cette extension a été réalisée à l'initiative du Parlement, qui a modifié, en conséquence, l'intitulé de la loi (« relative à l'informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu'à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l'enregistrement et la conservation des informations, ainsi que le droit d'accès ou d'opposition), à l'exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.

a) La gestion des données sensibles

Certaines données nominatives, dites sensibles, font l'objet, tout d'abord, d'une réglementation spécifique. Il s'agit :

-  du numéro de sécurité sociale, dont l'utilisation à des fins de traitement nominatif est soumise à autorisation par décret en Conseil d'Etat, après avis de la CNIL (article 18) ;

-  des informations sur les condamnations pénales, qui ne peuvent être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public (article 30) ;

-  des indications relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux m_urs, dont l'exploitation requiert l'accord exprès de l'intéressé ou un motif d'ordre public sur proposition ou avis conforme de la CNIL par décret en Conseil d'Etat (article 31) ;

-  des données médicales, qui ne sont pas, en soi, des données sensibles interdites mais bénéficient de garanties particulières lorsqu'elles sont traitées à des fins de recherche (chapitre V bis) ou d'évaluation et d'analyse des activités de soins et de prévention (chapitre V ter).

Le non-respect de ces dispositions expose le contrevenant à une peine de cinq ans d'emprisonnement et deux millions de francs d'amende. Des régimes particuliers sont cependant prévus, aux articles 31 et 33, au bénéfice des églises ou des groupements à caractère religieux, philosophique, politique ou syndical, ainsi que pour les organismes de la presse écrite ou audiovisuelle.

b) La déclaration de traitement auprès de la CNIL

Tout traitement automatisé d'informations nominatives doit faire l'objet, de surcroît, avant sa mise en _uvre, en application du chapitre III de la loi, d'une demande d'avis ou d'une déclaration auprès de la CNIL. Cette réglementation repose sur une distinction « organique » entre les personnes publiques et privées :

-  les sociétés civiles ou commerciales, ainsi que les associations et syndicats professionnels ne gérant pas un service public, sont soumis à un simple régime de déclaration, associé à un engagement de conformité du traitement aux exigences de la loi (article 16) ;

-  l'Etat, les établissements publics, les collectivités territoriales et les personnes morales de droit privé gérant un service public sont soumis à une procédure plus contraignante, qui requiert un avis de la CNIL puis un acte réglementaire. Cet avis est réputé favorable au terme d'un délai de deux mois, renouvelable une fois. S'il est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant des collectivités territoriales, en vertu d'une décision de l'organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat (article 15).

La déclaration et la demande d'avis doivent préciser le nom du responsable, les caractéristiques et la « finalité » du traitement, le service chargé de sa mise en _uvre, les catégories de personnes qui ont accès aux informations, les dispositions prises pour assurer la sécurité du dispositif, les transferts éventuels de données nominatives vers l'étranger, etc.

Toutefois, la loi établit une seconde distinction, matérielle cette fois, entre les données, en prévoyant que les formalités précitées pourront être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés ». Dans cette hypothèse, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL est exigée (article 17).

Le non-respect de ces formalités préalables expose la personne physique ou morale reconnue coupable du délit de création d'un traitement automatisé « clandestin » à une peine de trois ans d'emprisonnement et 300 000 francs d'amende (article 226-16 du code pénal).

Par la suite, le déclarant est tenu d'informer la CNIL de l'évolution du traitement par le biais d'une déclaration de modification ou de suppression. Le fait de détourner un traitement d'informations nominatives de sa finalité initiale est passible de cinq ans d'emprisonnement et deux millions de francs d'amende (article 226-21 du code pénal).

c) L'information et les droits des personnes

A l'exception des données sensibles, et sous réserve des formalités déclaratives préalables auprès de la CNIL, la constitution de fichiers nominatifs ainsi que le traitement informatique des données sont libres. Il est précisé, toutefois, que la collecte des données par des moyens frauduleux, déloyaux ou illicites est interdite (article 25), sous peine de cinq ans d'emprisonnement et deux millions de francs d'amende (article 226-18 du code pénal). De plus, la loi impose aux personnes qui mettent en _uvre des traitements nominatifs un certain nombre d'obligations en termes d'information (article 27).

Ainsi, toute collecte de données nominatives, quel que soit le moyen ou le système de conservation utilisé, doit informer les personnes concernées, par une inscription figurant sur les questionnaires utilisés à cet effet et sous peine d'une contravention de 5e classe, du caractère obligatoire ou facultatif de leurs réponses, des conséquences à leur égard d'un défaut de réponse et de la liste des personnes physiques ou morales destinataires des informations. Elle doit également leur préciser les droits dont elles disposent :

-  Le droit d'accès : toute personne a le droit de savoir si des informations nominatives la concernant figurent dans un traitement et d'en obtenir communication (articles 34 et 35). Ce droit est indirect, toutefois, en ce qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique : l'intéressé doit alors s'adresser à la CNIL, qui l'exerce pour son compte, par l'intermédiaire d'un de ses membres ayant la qualité de magistrat (article 39).

-  Le droit de rectification : le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont erronées ou illégalement enregistrées (article 36).

-  Le droit d'opposition : toute personne physique peut s'opposer, pour des raisons « légitimes », à ce que des informations nominatives la concernant fassent l'objet d'un traitement, à l'exclusion de ceux qui sont mis en _uvre par les autorités publiques ou par les personnes privées gérant un service public (article 26). Les contrevenants s'exposent à une peine de cinq ans d'emprisonnement et deux millions de francs d'amende (article 226-18 du code pénal).

A ces droits s'ajoute le fait que tout traitement doit être limité dans le temps, l'article 28 de la loi du 6 janvier 1978 disposant que : « Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques ».

d) La sécurité et la confidentialité des données

La loi « Informatique et libertés » impose également à ceux qui traitent des informations nominatives d'assurer la sécurité et la confidentialité de leur dispositif, pour garantir la vie privée des personnes concernées (article 29). Le non-respect de cette obligation de précaution est puni de cinq ans d'emprisonnement et deux millions de francs d'amende (article 226-17 du code pénal).

Les mesures techniques requises pour assurer la sécurité des systèmes peuvent faire l'objet de règlements types édictés par la CNIL. A ce jour, seule une recommandation à caractère général a été formalisée (délibération n° 81-94 du 21 juillet 1981). Le degré de sécurité fait néanmoins l'objet d'un examen attentif au stade de la déclaration du traitement, ainsi qu'à l'occasion des contrôles sur place effectués par la CNIL, comme en témoignent les avertissements qu'elle adresse régulièrement à cet effet.

e) Les obligations liées à la cession des informations

La cession d'informations nominatives à des tiers (sous la forme de rapprochements ou d'interconnexions) n'est licite que sous réserve d'être prévue dans la déclaration initiale ou d'avoir fait l'objet d'un avis de modification. Cette mention est impérative et revêt une importance particulière, la commercialisation des fichiers étant devenue une des activités essentielles de nombreuses entreprises. Celle-ci est soumise à des principes fondamentaux, tels que le respect de la vie privée, ainsi qu'aux obligations prévues par la loi du 6 janvier 1978, qui s'imposent également à l'acquéreur : licéité du traitement, droit d'opposition, d'accès et de rectification des personnes concernées, protection du fichier, etc.

La transmission des informations vers l'étranger est également possible sous réserve, comme on l'a vu, d'être mentionnée dans la déclaration initiale ou la demande d'avis. Certes, l'article 24 de la loi prévoit que le transfert des données contenues dans certains traitements soumis à déclaration peut être assujetti à un régime particulier, y compris d'autorisation préalable, mais le décret en Conseil d'Etat prévu à cet effet n'a jamais été publié et la CNIL n'a pas jugé nécessaire, jusqu'à présent, de limiter les flux transfrontaliers.

2. La création d'une autorité de contrôle

Le législateur ne s'est pas contenté, en 1978, d'instituer ce cadre légal pour le traitement des informations nominatives ; il a également créé, pour la première fois sous la forme d'une « autorité administrative indépendante », une instance de contrôle : la Commission nationale de l'informatique et des libertés (CNIL) (3).

La CNIL compte 17 membres, nommés pour cinq ans ou pour la durée de leur mandat : deux députés et deux sénateurs élus par l'Assemblée nationale et le Sénat ; deux membres, respectivement, du Conseil économique et social, du Conseil d'Etat, de la Cour de cassation et de la Cour des comptes ; deux personnalités qualifiées nommées par décret sur proposition des présidents des assemblées parlementaires ; trois personnalités désignées par décret en conseil des ministres en raison de leur autorité et de leur compétence. Elle élit, en son sein, pour cinq ans, un président et deux vice-présidents (article 8). Un commissaire du gouvernement siège auprès d'elle (article 9) et elle dispose de services administratifs (article 10).

De façon générale, aux termes de l'article 6, la CNIL est chargée « de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives ». Ses missions et pouvoirs sont définis de façon très large, notamment par les articles 6, 21, 22, 39 et 45.

a) Une mission d'information et de conseil

L'information et le conseil font partie, comme on vient de le voir, des principales attributions de la CNIL, qui doit tenir à la disposition du public le registre des traitements déclarés avec leurs principales caractéristiques, ainsi que ses décisions, avis ou recommandations (article 22). Cette publicité s'exerce sous réserve de l'exception prévue par l'article 20, qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique.

La CNIL remet, chaque année, au Président de la République, ainsi qu'aux présidents des deux assemblées parlementaires, un rapport qui rend compte de l'exécution de sa mission et décrit les procédures et les méthodes de travail qu'elle met en _uvre (article 23).

Elle conseille, par ailleurs, les personnes et organismes qui ont recours au traitement automatisé d'informations nominatives ou procèdent à des essais ou expériences de nature à aboutir à de tels traitements (article 1er du décret n° 78-774 du 17 juillet 1978).

b) Une mission de contrôle

La CNIL exerce également une mission générale de contrôle des applications de l'informatique aux traitements des informations nominatives. A cet effet, elle reçoit, comme on l'a vu, les demandes d'avis et les déclarations portant sur la mise en _uvre des traitements automatisés. Elle dispose d'autres prérogatives : elle prend des décisions individuelles ou réglementaires ; elle peut charger un ou plusieurs de ses membres ou agents de contrôler sur place les conditions de mise en _uvre d'un traitement ; elle édicte des règlements types et peut prescrire des mesures de sécurité ; elle adresse des avertissements et dénonce au parquet les infractions dont elle a connaissance ; elle reçoit les réclamations, pétitions et plaintes.

La Commission peut se faire communiquer tout renseignement et complément utile à sa mission, recueillir des témoignages et lever l'obligation de confidentialité des informaticiens (article 13). Les ministres, autorités publiques, dirigeants d'entreprises, responsables de groupements divers et, plus généralement, les détenteurs ou utilisateurs de fichiers nominatifs, ne peuvent s'opposer à son action et doivent prendre toutes mesures utiles afin de faciliter sa tâche (article 21). Le délit d'entrave à l'action de la CNIL est puni d'un an d'emprisonnement et 100 000 francs d'amende (article 43).

c) Un pouvoir réglementaire

La CNIL peut aussi prendre des décisions réglementaires dans les cas prévus par la loi, c'est-à-dire pour :

-  l'établissement de son règlement intérieur (article 8) ;

-  l'élaboration de normes simplifiées, textes réglementaires généraux qui concernent, comme on l'a vu, les catégories les plus courantes de traitements, ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés (article 17) ;

-  la définition de règlements types tendant à assurer la sécurité des systèmes, la CNIL n'ayant pas jusqu'à présent fait usage de cette compétence (article 21).

d) Une action au service des libertés

Depuis sa création et sur le fondement des prérogatives précitées, la CNIL développe une activité soutenue au service des libertés individuelles. Elle a reçu, en un peu plus de vingt ans, selon les informations publiées dans son dernier rapport d'activité :

-  5 423 demandes de droit d'accès indirect, qui ont donné lieu à 8 978 investigations ; la progression est particulièrement forte sur la période récente (+ 67 % en 1999 et + 21 % en 2000), les fichiers des services de police (notamment le système de traitement des infractions constatées - STIC - et le système Schengen) et de renseignement étant concernés au premier chef ;

-  plus de 10 000 demandes de conseil portant, par ordre décroissant, sur les secteurs suivants : le travail, la santé, les collectivités locales et le commerce (notamment électronique) ;

-  plus de 33 000 plaintes relatives, notamment, à des difficultés à exercer les droits reconnus par la loi, notamment le droit d'opposition.

Elle a délivré 47 avertissements et opéré 17 dénonciations au parquet.

SAISINES DE LA CNIL

Nature des saisines

1995

1996

1997

1998

1999

2000

Variation
1999/2000

Demandes de droit d'accès indirect

243

320

385

401

671

817

+ 21,75 %

Plaintes

1 636

2 028

2 348

2 671

3 508

3 399

- 3,11 %

Demandes de conseil

985

1 008

821

1 115

1 061

1 049

- 1,13 %

Demandes de radiation des fichiers commerciaux

263

277

263

204

186

144

- 22,58 %

Demandes d'information générale

365

347

480

477

396

319

- 19,44 %

Demandes d'extraits du fichier des fichiers

122

170

155

154

133

208

+ 56,39 %

Total

3 614

4 150

4 452

5 022

5 955

5 936

- 0,32 %

Source : 21e rapport d'activité (2000) de la CNIL.

Au 31 décembre dernier, le nombre de traitements enregistrés par la CNIL, depuis 1978, était de 753 676, la plupart d'entre eux relevant de la procédure simplifiée. En 2000, 55 450 nouveaux dossiers de formalités préalables ont été traités, dont 2 607 relatifs à des déclarations de modification ; deux avis défavorables ont été rendus (et plusieurs assortis de réserves) ; 73 autorisations au titre du chapitre V ter de la loi du 6 janvier 1978 ont été délivrées. Par ailleurs, 8 702 sites Internet étaient recensés auprès de la CNIL au 31 décembre dernier, 4 943 déclarations ayant été déposées au cours de la seule année 2000.

FORMALITÉS PRÉALABLES À LA MISE EN _UVRE DES TRAITEMENTS

 

1995

1996

1997

1998

1999

2000

Variation
1999/2000

Déclarations simplifiées

46 549

60 355

53 953

50 735

43 571

33 657

- 22,75 %

Demandes d'avis

2 765

3 269

2 724

3 002

3 538

3 577

+ 1,1 %

Déclarations ordinaires

7 812

9 727

10 326

11 333

12 200

15 249

+ 24,99 %

Demandes d'autorisation
(chap. V bis - depuis 1997)

-

-

133

244

352

287

- 18,47 %

Demandes d'autorisation
(chap. V ter - depuis 1999)

-

-

-

-

8

73

+ 812,5 %

Déclarations de modification

1 777

3 428

2 639

2 358

3 454

2 607

- 24,52 %

Totaux

58 903

76 779

69 775

67 672

63 123

55 450

- 12,16 %

Source : 21e rapport d'activité (2000) de la CNIL.

En 2000, également, la CNIL a procédé à une trentaine de contrôles sur place et a effectué de nombreuses missions de vérification.

Au total, le fait que la loi du 6 janvier 1978 ait pu s'adapter, jusqu'à présent, sans ajustement notable, à l'évolution des techniques informatiques, témoigne de son efficacité. Pour autant, cette capacité d'adaptation a aujourd'hui atteint ses limites, la législation française devant, de surcroît, s'harmoniser avec celle des autres Etats membres de l'Union européenne.

B. LES ÉVOLUTIONS TECHNOLOGIQUES AINSI QUE L'ADOPTION D'UNE DIRECTIVE EUROPÉENNE IMPOSENT LA REFONTE DE LA LOI ACTUELLE

1. L'extension des technologies informatiques aux activités marchandes altère le bien-fondé de la distinction « organique » du régime applicable aux traitements automatisés

L'émergence de ce qu'il est convenu d'appeler « la société de l'information » entraîne plusieurs évolutions qui contribuent à affaiblir la pertinence du dispositif de la loi du 6 janvier 1978.

Alors que son dispositif est, en grande partie, fondé sur la différence entre les traitements automatisés d'informations nominatives mis en _uvre par les pouvoirs publics et ceux relevant du secteur privé, le développement considérable de l'informatique au sein des entreprises en affaiblit considérablement la portée.

En effet, si les éventuels dangers d'une « mise en fiches » généralisée par les services régaliens de l'Etat subsistent, continuant à justifier l'attention de l'autorité de contrôle et la vigilance des citoyens, nombre d'entreprises possèdent aujourd'hui des fichiers de données à caractère personnel, dont l'innocuité pour les libertés individuelles n'est pas davantage garantie.

Ces traitements de données permettent, notamment, aux entreprises de mettre en _uvre des systèmes de gestion simplifiée des rémunérations, de contrôler l'accès à des locaux ou à l'information, de décider d'accorder ou non une prestation ou un service à une personne en fonction des données qu'elles possèdent, ou d'améliorer leur démarche commerciale grâce à des techniques de « profilage » de leur clientèle, actuelle ou prospective. Dans cette dernière hypothèse, ces données possèdent une valeur marchande certaine et leur achat, cession, ou revente constitue une activité fort lucrative et concurrentielle, alors même que leur traitement demeure soumis à une simple déclaration auprès de la CNIL.

Inadapté au passage à la micro-informatique privée et démocratisée, le dispositif de la loi du 6 janvier 1978 a, en conséquence, souffert d'un « déficit d'effectivité » ainsi que l'a souligné M. Guy Braibant dans son rapport au Premier ministre, intitulé Données personnelles et société de l'information (4).

En effet, ce rapport souligne que nul n'est en mesure, en France, d'estimer précisément le nombre des traitements automatisés d'informations nominatives, alors que l'objet de la loi est précisément de les réglementer. Le rapport poursuit : « La CNIL en a enregistré 500 000 environ. Encore ce chiffre doit-il être minoré d'environ 20 %, pour tenir compte des traitements qui ont disparu sans que leur suppression ait été déclarée. De toute façon, le nombre actuel de traitements en fonctionnement est sans commune mesure avec celui des traitements déclarés ou autorisés. Trois millions d'entreprises sont dotées d'un ou plusieurs traitements, parfois des centaines..[..] Au total et même en tenant compte des traitements dispensés de déclaration, on peut avancer sans grand risque d'exagération que quelques millions de traitements ont échappé » au contrôle de la CNIL.

Par ailleurs, comme le relève fort justement la CNIL dans son rapport d'activité pour 2000, la « convergence technologique » constitue une évolution récente dont les conséquences doivent être prises en considération.

En effet, Internet, qui véhicule indifféremment du texte, de l'image et du son, est l'illustration la plus évidente de ce phénomène, tout comme le sont, par ailleurs, les architectures en réseau, le développement des cartes à puces, la vidéosurveillance et les nouveaux services de téléphonie fixe ou mobile qui reposent sur l'exploitation de données de connexion aux réseaux numériques. Or, ainsi que l'indique la CNIL, la conséquence de ces multiples développements est « que les valeurs à protéger ne le sont plus uniquement à l'égard de l'informatique stricto sensu, c'est à dire d'une technique prise isolément, ni des fichiers traditionnels ». Ce constat explique le glissement sémantique opéré par la directive européenne qui substitue à l'expression « d'informations nominatives » celle de « données à caractère personnel ». Il conduit également la commission à exprimer le souhait que les législations européennes affichent, comme principal objectif, la garantie de la protection des données à caractère personnel et de la vie privée « quelles que soient les techniques concernées » et adoptent, en la matière, une neutralité technologique préservant la loi d'évolutions aujourd'hui imprévisibles.

2. La nécessité de transposer en droit interne la directive 95/46 du 24 octobre 1995 implique une réforme d'ensemble du droit en vigueur

Selon l'article 189 du traité instituant la Communauté européenne, « la directive lie tout Etat membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ». De surcroît, les directives de l'Union imposent généralement aux Etats la mise en _uvre de leurs dispositions dans des délais qu'elles déterminent : en l'espèce, l'article 32 de la directive 95/46 impliquait que « les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires. Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d'information, de rectification ou d'opposition des personnes, ainsi que la nécessité de l'existence d'une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.

On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes : elle s'attache, en effet, à définir d'abord les conditions générales de licéité des traitements, puis les droits fondamentaux des personnes concernées et les restrictions qu'il est possible de leur apporter, pour, finalement, déterminer les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel. Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les Etats membres possédant davantage de marge de man_uvre pour transposer les secondes que les premières. Or, tel n'est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.

a) Une égalité de principe entre secteur public et privé

A la différence des dispositions de la loi du 6 janvier 1978, qui détermine si le responsable du traitement relève de la procédure de la déclaration préalable ou de l'autorisation selon qu'il appartient au secteur privé ou public, la directive 95/46 a retenu un critère « horizontal », que le rapport de M Guy Braibant au Premier ministre qualifie de « conceptuel ».

En effet, si elle maintient la distinction de principe entre le régime de « notification » et celui « d'examen préalable » par l'autorité indépendante, elle prévoit, dans son article 20, que les Etats membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en _uvre ». Ce faisant, la directive bouleverse le fondement même de la loi du 6 janvier 1978 en mettant sur un pied d'égalité le secteur public et le secteur privé. Tous deux seront désormais soumis aux mêmes régimes juridiques : celui de droit commun prévoyant une simple déclaration préalable des traitements ; celui, exceptionnel, de l'autorisation préalable, uniquement pour les traitements qui peuvent présenter un danger pour les libertés.

A cet égard, la directive constitue un indéniable progrès car, si la menace du « Léviathan informatique » demeure, comme en 1978, certains usages privés des traitements de données à caractère personnel n'apparaissent pas moins menaçant, de sorte qu'un examen préalable par l'autorité de contrôle semble également justifié.

Toutefois, l'assimilation des secteurs privé et public n'est pas totale puisque les traitements de données dits de « souveraineté », comme ceux mis en _uvre par les ministères de la défense ou de l'intérieur, qui soulèvent des difficultés particulières, tenant, notamment, à la nécessité du secret, ne sont pas concernés par les dispositions de la directive. En effet, celle-ci ne s'applique qu'aux traitements qui relèvent du champ de compétence de l'Union européenne, ce qui exclut, notamment, les traitements de cette nature.

b) Un contrôle a posteriori privilégié

En limitant aux seuls traitements générateurs de risques pour les libertés le champ de l'autorisation préalable de l'autorité de contrôle, la directive implique un recentrage des missions de celle-ci en direction du contrôle a posteriori. C'est pourquoi l'article 28 de la directive consacré aux prérogatives de l'autorité de contrôle stipule qu'elle doit disposer, en particulier, de pouvoirs d'investigations ou d'accès aux données ainsi que de pouvoirs « effectifs d'intervention » lui permettant, le cas échéant, d'ordonner le verrouillage, l'effacement ou la destruction des données.

La CNIL dispose, d'ores et déjà, de certains pouvoirs de contrôle a posteriori mais, comme le faisait remarquer M. Guy Braibant dans son rapport, « ce contrôle a peu joué ». Il sera, à l'avenir, d'autant plus nécessaire de les renforcer et de les mettre en _uvre que la réduction des interventions a priori de la CNIL pourrait signifier, à défaut, un abaissement du niveau global de la protection, ce qui ne serait évidemment pas souhaitable.

c) Des flux internationaux de données à caractère personnel mieux pris en considération

Par ce qu'elle est récente, la directive 95/46 comprend un chapitre consacré au « transfert de données à caractère personnel vers des Etats tiers ». Or, cette dimension, déjà présente mais dans une moindre mesure dans le dispositif de la loi du 6 janvier 1978, est aujourd'hui déterminante. En effet, les nouvelles technologies de la communication permettent de transférer et, le cas échéant, de vendre, presque instantanément, des données d'un endroit à l'autre de la planète. Cette mondialisation de la circulation des données est d'ailleurs encouragée par la directive qui affirme, dans son article premier, le principe de la libre circulation des données au sein des Etats membres de l'Union européenne.

Les articles 25 et 26 de la directive 95/46 précisent, notamment, les conditions applicables aux transferts de données en direction des Etats non membres de l'Union européenne, les modalités d'intervention en la matière de l'autorité nationale de contrôle ainsi que leur articulation avec les prérogatives de la Commission européenne. Ces dispositions qui n'ont pas d'équivalent dans la loi du 6 janvier 1978 doivent donc y être insérées.

II. - LE PROJET DE LOI CONFIRME LES PRINCIPES FONDATEURS DE LA LOI DU 6 JANVIER 1978 MAIS EN ADAPTE LE DIPOSITIF

A. UN CHOIX SYMBOLIQUE : LE MAINTIEN DE LA LOI DU 6 JANVIER 1978

La transposition de la directive 95/46 a fait l'objet d'un travail préparatoire qui a débuté dès la fin de l'année 1995 et s'est heurté à quelques difficultés. En effet, un premier rapport rédigé par deux membres du Conseil d'Etat et remis au Gouvernement en 1996, qui n'avait pas vocation à être diffusé, a néanmoins été publié et contesté sur Internet et dans certains journaux, ce qui a conduit le Gouvernement à suspendre le processus engagé. A la suite de la dissolution de l'Assemblée nationale, le Gouvernement actuel a repris la tâche ainsi interrompue en confiant à M. Guy Braibant une mission de préparation de la transposition en droit interne de la directive.

Fallait-il, pour transposer la directive, modifier la loi actuelle ou, à l'inverse, rédiger une loi intégralement nouvelle ? Dans la lettre de transmission de son rapport au Premier ministre, le 26 février 1998, M. Guy Braibant écrit ceci :

« Au terme de ces travaux je suis en mesure de vous proposer les orientations suivantes :

« 1. Modification de la loi de 1978, qui a un caractère historique et symbolique et dont une bonne moitié peut être conservée en l'état, plutôt que l'élaboration d'une loi entièrement nouvelle ;

« 2. Maintien, avec les adaptations nécessaires, de la trentaine de lois spécifiques qui s'appliquent à ce secteur à côté de la loi générale ;

« 3. Limitation des formalités administratives imposées aux citoyens et aux entreprises, afin tout à la fois d'accroître l'effectivité du contrôle et d'alléger leurs charges, compte tenu de l'existence de millions de traitements automatisés apparus avec le développement de l'informatique ainsi que de l'extension du régime aux fichiers manuels ;

« 4. Mise en place d'une « nouvelle CNIL », renforcée dans ses pouvoirs et ses moyens et mieux adaptée au contrôle a posteriori prévu par la directive et appelé à remplacer dans une large mesure l'actuel contrôle a priori ;

« 5. Applications aux territoires d'outre-mer, qui n'est pas de plein droit en raison de la nature de la directive, mais qui est opportune s'agissant d'une loi de protection des libertés et qui se situerait dans la ligne de la loi de 1978 elle-même expressément applicable à ces territoires. »

A la lecture du projet de loi qui nous est soumis, force est de constater que le Gouvernement a largement tenu compte de ces suggestions et, notamment, de la première d'entre elles. Ce choix symbolique se concrétise, tout particulièrement, par le maintien de l'article premier de la loi, dont la dernière phrase dispose que l'informatique « ne doit porter atteinte ni à l'identité humaine ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Ce choix, fort légitime, explique la complexité de la présentation du présent projet de loi qui, parce qu'il suit l'ordre particulier des différents chapitres de la directive précédemment examinés, substitue aux chapitres existants de la loi du 6 janvier 1978, de nouvelles dispositions dont certaines reprennent ou déplacent des articles figurant déjà, par ailleurs, dans la loi en vigueur.

B. UNE AMÉLIORATION DU NIVEAU GLOBAL DE PROTECTION

Le projet de loi comprend trois titres : le premier modifie la loi du 6 janvier 1978 (articles 1er à 13), le deuxième regroupe les dispositions modifiant d'autres textes législatifs (articles 14 et 15) et le troisième concerne les dispositions transitoires (articles 16 et 17).

Après la définition, par l'article premier du présent projet, des notions, de fichier, de données à caractère personnel, des traitements les concernant ainsi que de leurs responsables et destinataires qui s'inspirent fidèlement du dispositif communautaire, l'article 2 regroupe les règles relatives aux conditions de licéité des traitements de données à caractère personnel. Il s'agit, notamment, d'affirmer les principes de la loyauté de la collecte des données, de la finalité du traitement et de sa proportionnalité aux buts recherchés (article 6 nouveau). L'article 8 nouveau de la loi du 6 janvier prévoit, en outre, que les traitements portant sur les données dites « sensibles » - dont la liste est plus large que celle en vigueur puisqu'elle comprend désormais, outre les données relatives aux origines raciales, aux opinions politiques ou religieuses, celles concernant la santé - sont interdits. Toutefois, des exceptions à cette règle sont prévues : il en est ainsi notamment lorsque la sauvegarde de la personne l'exige ou quand le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

1. Un régime de droit commun déclaratif pour la mise en _uvre des traitements

L'article 4 du projet pose, en premier lieu, le principe selon lequel tous les traitements automatisés, publics ou privés, sont soumis à un régime de déclaration préalable auprès de la CNIL (article 22 nouveau de la loi du 6 janvier 1978). Toutefois, certains traitements sont soumis, en raison des risques qu'ils comportent pour les libertés, à l'autorisation préalable de la commission : il en ainsi, par exemple, de ceux comportant des données relatives aux difficultés sociales ou biométriques des personnes (article 25 nouveau).

Par ailleurs, l'articles 26 nouveau détermine le régime spécifique applicable aux traitements dits de « souveraineté » qui ont pour fins la sécurité, la sûreté publiques ou la défense nationale. Ces traitements seront mis en _uvre par décret, après l'avis de la CNIL, qui sera désormais publié en même temps que l'acte réglementaire auquel il se rattache, sauf disposition contraire expresse.

2. Une commission de contrôle aux pouvoirs d'investigations et de sanctions renforcés

L'article 3 du projet de loi traite de la CNIL, des modalités de son financement, du régime d'incompatibilités applicable à ses membres et des attributions de ses différentes formations, plénières ou restreintes. Sa composition ne serait pas modifiée puisqu'elle comprendrait toujours 17 membres, le Conseil économique et social, qui désigne aujourd'hui deux commissaires n'en désignant plus qu'un, tandis que l'autre serait remplacé par une personnalité qualifiée pour sa connaissance en informatique, désignée par décret (article 13 nouveau).

Le renouveau de la CNIL tient surtout aux pouvoirs d'investigations accrus dont elle est dotée mais aussi à la compétence qui lui est reconnue de prononcer des sanctions administratives.

Ainsi, l'article 6 du projet de loi autorise les membres de la CNIL et ses agents à se rendre, entre 6 heures et 21 heures, dans tout local servant à la mise en _uvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affecté au domicile privé, et à se faire communiquer toute pièce utile à leur mission. En outre, l'opposition du responsable des lieux peut être constitutive du délit d'entrave, puni d'un an d'emprisonnement et de 15 000 € d'amende, comme le prévoit l'article 8 du projet, le président de la CNIL pouvant saisir le président du tribunal d'instance, ou son délégué, selon la procédure du référé.

Ces pouvoirs de contrôle accrus sont confortés par la possibilité pour la CNIL de prononcer des sanctions administratives graduées. En effet, l'article 7 confère à la commission le pouvoir de prononcer des avertissements, des mises en demeure ou des injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi. En outre, à l'issue d'une procédure contradictoire, la CNIL pourra prononcer une sanction pécuniaire, dont le montant doit être proportionné à la gravité des manquements commis et aux avantages qui en ont été retirés. En tout état de cause, l'amende ne pourra pas excéder 150 000 € lors du premier manquement et 300 000 € en cas de réitération, dans la limite de 5 % du chiffre d'affaires.

Toutefois, en contrepartie de l'accroissement du pouvoir de sanction administrative de la CNIL, on observera que l'article 14 du projet de loi propose d'abaisser le quantum des sanctions pénales encourues par les responsables de traitements contrevenant aux dispositions de la loi du 6 janvier 1978 - qui n'étaient, en pratique, jamais prononcées - conformément aux recommandations du rapport de M. Guy Braibant. Désormais, le maximum de la peine encourue serait limité à trois ans d'emprisonnement et 45 000 € d'amende, contre cinq ans d'emprisonnement et 2 millions de francs d'amende aujourd'hui.

Votre rapporteur tient, par ailleurs, à souligner que, pour être en mesure d'exercer ses prérogatives nouvelles, la CNIL devra bénéficier de moyens financiers et humains adéquats.

3. Une amélioration de la protection des droits des personnes

L'article 5 regroupe les dispositions relatives aux obligations des responsables des traitements et aux droits des personnes concernées.

S'agissant du responsable du traitement, il doit notamment informer la personne auprès de laquelle sont collectées les données de son identité, de la finalité poursuivie par le traitement, du caractère facultatif ou obligatoire de ses réponses ainsi que du destinataire des informations. Sauf si elles se révèlent impossibles à mettre en _uvre, ces obligations sont également applicables en cas de collecte indirecte, ce qui est nouveau et plus protecteur. Elles ne s'imposent pas, cependant, en matière de traitements de souveraineté (article 32 nouveau).

Concernant le droit des personnes concernées par les données collectées, le projet confirme le droit en vigueur qui prévoit qu'elles peuvent s'opposer à ce qu'elles fassent l'objet d'un traitement, sauf si celui-ci répond à une obligation légale (article 38 nouveau). De même, les articles 39 et 40 nouveaux de la loi du 6 janvier 1978 reconnaissent aux personnes le droit d'accéder aux données les concernant et, le cas échéant, de les rectifier lorsqu'elles sont inexactes ou périmées.

Toutefois, lorsqu'il s'agit de traitements relevant de la souveraineté, ce droit d'accès ne peut être mis en _uvre. C'est pourquoi l'article 41 nouveau prévoit une procédure spécifique « d'accès indirect » aux données. Les personnes concernées peuvent saisir la CNIL afin qu'elle procède aux vérifications nécessaires et, le cas échéant, aux modifications. Il faut ajouter que, lorsque la CNIL constate, en accord avec le responsable, que la communication des données à l'intéressé ne met pas en cause les finalités du traitement, celles-ci sont mises à sa disposition, ce qui constitue une avancée pour le droit des personnes.

4. Des modifications ponctuelles de certains régimes spécifiques

Les articles 9 et 10 du projet procèdent à des ajustements de coordination, de forme ou de simplification procédurale, concernant, respectivement, les traitements ayant pour fin la recherche dans le domaine de la santé régis par l'actuel chapitre V bis de la loi du 6 janvier 1978 en vigueur, qui deviendrait le chapitre IX, ainsi que les traitements mis en _uvre pour évaluer les pratiques de soins et de prévention, prévus par la loi du 27 juillet 1999 portant création de la couverture maladie universelle. En outre, l'article 15 apporte également des aménagements d'ordre rédactionnel au régime des enregistrements visuels de vidéo-surveillance, organisé par la loi du 21 janvier 1995.

Quant à l'article 11, il insère dans la loi du 6 janvier 1978 des dispositions spécifiques relatives aux traitements ayant pour finalité le journalisme et l'expression littéraire et artistique. Il prévoit d'élargir les dérogations dont bénéficient ces traitements en les dispensant, notamment, du principe de la limitation de la durée de conservation des données et du droit d'accès et de rectification de la personne concernée (article 67 nouveau). En contrepartie, plusieurs garanties sont prévues, dont la désignation d'un délégué à la protection des données, chargé de tenir un registre des traitements et d'effectuer un contrôle interne de l'application des dispositions de la loi du 6 janvier 1978.

5. Une réglementation des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne

La liberté de circulation des données à l'intérieur de l'Union européenne est justifiée par le haut niveau de protection qui y existe. Le projet de loi encadre, en revanche, les transferts de données en direction des Etats non-membres. A cet effet, l'article 12 prévoit qu'ils ne peuvent avoir lieu que si ceux-ci assurent un niveau de protection « suffisant », les critères d'appréciation en étant précisés par l'article 68 nouveau.

Toutefois, des dérogations à cette règle sont prévues par l'article 69 nouveau, notamment lorsque la sauvegarde de la vie de la personne ou de l'intérêt public l'exige. Par ailleurs, il peut également être dérogé à cette interdiction par décision de la CNIL. En outre, lorsqu'il s'agit d'un traitement relevant de la souveraineté nationale, le transfert ne peut être autorisé que par un décret en Conseil d'Etat, pris après avis motivé et publié de la commission.

Enfin, en matière de transfert de données, il importe que les pays membres adoptent des attitudes identiques et cohérentes ; c'est pourquoi l'organisation de l'information et de l'intervention de la Commission européenne est prévue par l'article 70 nouveau.

*

* *

Après l'exposé du rapporteur, plusieurs commissaires sont intervenus dans la discussion générale.

Soulignant l'urgence qui s'attache à moderniser une législation datant de 1978, dans un contexte de développement sans précédent des technologies, M. Jean Codognès a indiqué que le texte proposé permettrait de répondre, de façon adéquate, à la question de la protection des citoyens, en facilitant la saisine de la CNIL et en lui conférant des pouvoirs accrus. Il a notamment émis le souhait que le dispositif proposé puisse mettre un terme à une tendance récente consistant à traiter les fichiers de données personnelles comme des marchandises négociables entre entreprises. Il a également insisté sur un autre aspect du projet de loi, qui permet de sanctionner de manière plus efficace les infractions à la loi de 1978.

Rappelant, en préambule, que le projet de loi se limitait à transposer en droit interne une directive communautaire, M. Pascal Clément a exprimé sa satisfaction que le Gouvernement ait pris, pour procéder à cette transposition, la loi de 1978 comme texte de référence plutôt que d'élaborer un texte totalement nouveau. Il a, en effet, jugé qu'il convenait de rendre hommage au législateur de l'époque, qui a su élaborer un texte véritablement pionnier, dans un contexte où l'état des technologies n'était en rien comparable à ce qu'il est aujourd'hui. S'agissant du projet de loi présenté à la commission, il s'est interrogé sur le décalage entre l'objectif poursuivi de protection du citoyen et le contexte international qui exige, en matière de lutte contre le terrorisme, l'exploitation de fichiers de police performants. Rappelant ensuite qu'il avait siégé, en tant que représentant du Parlement, au sein de la CNIL, il a déploré que cette autorité administrative indépendante soit si prompte à sanctionner les petites entreprises se livrant au commerce, somme toute bien anodin, de fichiers de clientèle, alors qu'elle s'abstient trop souvent, au nom de la raison d'Etat, de contrôler de manière véritablement approfondie les fichiers détenus par les autorités de l'Etat, et notamment le ministère de l'intérieur. Il a regretté, enfin, que le projet de loi ne réduise davantage les sanctions pénales, estimant que, si elles sont nécessaires et indispensables, ces sanctions doivent rester réalistes pour pouvoir être appliquées à bon escient par le juge.

Évoquant son expérience de membre de la CNIL, M. Alain Vidalies a jugé très difficile de légiférer dans un domaine où les technologies et la jurisprudence vont toujours beaucoup plus vite que le législateur. Il a évoqué notamment la récente jurisprudence de la Cour de cassation portant sur l'utilisation des moyens informatiques par les salariés d'une entreprise à des fins personnelles, ainsi que le développement, en matière de santé, des « infomédiaires », entreprises chargées de stocker les données médicales pour les mettre à disposition des médecins traitants. Dans les deux cas, qu'il s'agisse de l'organisation des rapports collectifs au sein de l'entreprise ou du domaine de la santé, il a regretté que l'on s'en remette à des chartes de déontologie, qui n'offrent absolument pas les garanties nécessaires, aucun cadre législatif n'existant pour déterminer qui doit élaborer ces chartes et quelle est l'autorité chargée d'en assurer le respect. Estimant, en l'occurrence, que le texte proposé ne pouvait apporter pour chacun de ces sujets une réponse adéquate, il a souhaité que les principes de protection de l'individu que le projet défend puissent être déclinés dans chaque projet traitant de secteurs sensibles au regard du développement des technologies.

M. Jean-Pierre Michel s'est étonné qu'il soit nécessaire de modifier la loi du 6 janvier 1978 pour transposer une directive européenne, alors que les traités institutifs de l'Union européenne ne lui donnent pas de compétence dans le domaine des droits de l'Homme. Il a souligné que la directive avait, en fait, avant tout pour objet de libéraliser l'usage de l'informatique à des fins commerciales. Regrettant que le législateur se trouve ainsi contraint de modifier une loi protégeant les personnes qui présentait lors de son adoption un caractère précurseur en Europe, il a estimé que la Commission européenne n'aurait pas dû se saisir de cette question. Tout en reconnaissant que le projet de loi constituait un texte d'équilibre, il a indiqué qu'il était opposé à l'affaiblissement du régime de l'autorisation préalable des fichiers par la CNIL, jugeant que le contrôle a posteriori était moins protecteur. Il a, par ailleurs, insisté sur le danger de renoncer à la distinction entre les fichiers selon qu'ils sont constitués par des services publics ou des personnes de droit privé, soulignant que le contrôle de ces dernières était particulièrement difficile à mettre en _uvre et nécessitait, en conséquence, des instruments particuliers. Pour ces raisons il a estimé que le projet de loi soumis à la Commission constituait une régression par rapport à la loi du 6 janvier 1978.

M. Emile Blessig a souligné les risques résultant de la capacité croissante de traitement des données par les ordinateurs et s'est interrogé sur les moyens d'organiser la protection des citoyens face à des réseaux informatiques qui dépassent le cadre des frontières nationales.

En réponse au différents intervenants, le rapporteur a apporté les précisions suivantes :

-  Il est faux d'affirmer que le projet de loi constitue une régression par rapport au texte de 1978 puisque, en remplaçant le système de déclaration préalable par une procédure d'autorisation, il permet d'exercer un réel contrôle sur les données personnelles exploitées par les entreprises privées, ce que ne faisait pas la loi de 1978, essentiellement centrée sur le contrôle du secteur public. Même si l'un des objectifs, à l'origine, était de faciliter la circulation des données personnelles, le projet, en renforçant les pouvoirs de la CNIL, permettra d'améliorer sensiblement le dispositif de 1978.

-  Il ne s'agit pas de la première tentative pour transposer la directive d'octobre 1995, puisque le Gouvernement dirigé par M. Alain Juppé avait confié au Conseil d'Etat la rédaction d'un rapport sur les modalités de transposition de cette directive. La dissolution a mis fin à ce premier projet de transposition, trop axé sur la liberté de circulation de données personnelles. Le nouveau Gouvernement a chargé M. Guy Braibant d'élaborer un nouveau rapport, dont la qualité mérite d'être soulignée, qui a largement inspiré le présent projet de loi.

-  Si le projet de loi propose de remplacer l'avis conforme de la CNIL par un avis simple pour les fichiers du secteur public portant sur des données « sensibles » et mis en _uvre dans le domaine de la défense, de la sûreté ou de la sécurité publiques, il n'affaiblit pas, pour autant, les pouvoirs de cette autorité, car la publicité donnée à cet avis sera telle qu'il sera difficile pour l'administration de s'en affranchir. Le texte facilite, par ailleurs, l'accès des citoyens aux données touchant à la souveraineté de l'Etat.

-  Les sanctions prévues par le projet de loi étant nettement inférieures à celles actuellement en vigueur, il n'est pas possible de les maintenir en l'état et, a fortiori, de les diminuer, la directive exigeant des sanctions équivalentes. Ce durcissement des peines encourues est d'autant plus nécessaire que celles-ci doivent être dissuasives vis-à-vis d'entreprises privées brassant des sommes d'argent importantes.

-  Les citoyens français pourront obtenir l'application des dispositions de la directive dans chacun des pays de l'Union européenne. S'agissant du transfert des données personnelles hors de l'Union, un accord de la Commission européenne est exigé.

-  Il existe un risque de contradiction entre le droit d'accès aux fichiers publics garanti par la CADA et la protection de la vie privée à laquelle tout citoyen a également droit, qu'il faudra peut-être régler par l'adoption d'un amendement, qui pourra être présenté dans le cadre de la réunion que la Commission tiendra au titre de l'article 88 du Règlement.

La Commission est ensuite passée à l'examen des articles du projet de loi.

EXAMEN DES ARTICLES

TITRE IER

DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

Article 1er

(art. 2 à 5 du chapitre Ier de la loi n° 78-17 du 6 janvier 1978)

Détermination du champ d'application de la loi

Cet article a pour objet de transposer, en droit interne, les dispositions des articles 2 à 4 de la directive européenne 95/46 CE qui définissent les données personnelles, les responsables ainsi que les destinataires de leur traitement et, ce faisant, déterminent le champ d'application du dispositif communautaire.

A cet effet, le présent article du projet de loi substitue quatre nouvelles dispositions aux articles 2 à 5 actuels de la loi du 6 janvier 1978, les dispositions des articles 2 et 3 relatives aux règles de fond applicable aux traitements des données personnelles étant reprises dans le chapitre II nouveau, inséré dans la loi du 6 janvier 1978 par l'article 2 du présent projet de loi.

1. La substitution de la notion de données à caractère personnel à celle d'informations nominatives

Conformément à l'article 3 de la directive 95/46 CE, le premier alinéa de l'article 2 (nouveau) de la loi du 6 janvier 1978 définit le champ d'application matériel de ses dispositions.

A ce titre, il prévoit que la loi s'applique aux traitements, automatisés ou non, de données à caractère personnel « contenues ou appelées à figurer dans des fichiers », dès lors que le responsable du traitement est établi en France ou justiciable de la loi française en application de l'article 5 (nouveau) de la loi. Sur cette disposition, la Commission a adopté un amendement d'ordre rédactionnel du rapporteur (amendement n° 1).

Toutefois, on observera que les nouvelles dispositions de la loi ne s'appliquent pas aux traitements mis en _uvre pour l'exercice « d'activités exclusivement personnelles ». Cette exclusion, qui découle des dispositions du dernier alinéa de l'article 3 de la directive 95/46 CE, reprend celle figurant dans l'actuel article 45 de la loi du 6 janvier 1978 - dont les dispositions seraient désormais relatives aux sanctions susceptibles d'être infligées par la CNIL, aux termes de l'article 7 du projet de loi - qui excluait du champ d'application de certaines dispositions de la loi, les fichiers manuels « dont l'usage relève du strict exercice du droit à la vie privée ».

La notion de « données à caractère personnel » se substitue à celle « d'informations nominatives ». Alors que l'actuel article 4 de la loi du 6 janvier 1978 définit ces dernières par le fait qu'elles permettent, « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent », le présent article, conformément à l'article 2 de la directive, définit la donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». On observera toutefois que, contrairement aux dispositions de la directive, la rédaction proposée ne prévoit pas que la personne concernée par le traitement puisse être identifiée « directement ou indirectement » par les éléments ou numéro qui lui sont propres, ce qui pourrait apparaître plus restrictif. C'est pourquoi, suivant son rapporteur, la Commission a adopté un amendement ayant cet objet (amendement n° 2).

Pour autant, les définitions restent proches et semblent fonctionnellement équivalentes sachant que, dans la pratique, la CNIL a estimé, à titre d'exemple, que les numéros de téléphone, les plaques d'immatriculation ou les numéros de certains badges ainsi que les clichés permettant d'identifier une personne, constituaient des informations nominatives. De surcroît, la rédaction proposée par le projet de loi préserve la définition des données à caractère personnel des imprévisibles évolutions technologiques futures en adoptant des termes suffisamment généraux et neutres pour que sa pertinence soit durablement assurée.

Le troisième alinéa de l'article 2 (nouveau) de la loi du 6 janvier 1978 poursuit la définition des notions employées en s'attachant à celle de « traitement automatisé » en précisant qu'il s'agit de « toute opération portant sur de telles données, quel que soit le procédé utilisé, et notamment, la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ».

Cette définition exhaustive recouvre intégralement celle figurant à l'article 5 actuel de la loi du 6 janvier 1978, tout en la complétant utilement par la référence à des notions nouvelles correspondant à l'apparition de procédés techniques liés au développement des technologies de l'information, comme ceux de « communication par transmission », de « consultation » ou de « diffusion » des données à caractère personnel.

Pour prendre en compte les spécificités d'Internet et des réseaux numériques, on observera que sont exclues du champ d'application de la loi, en application des dispositions de l'article 4 (nouveau) de la loi du 6 janvier 1978, les copies temporaires faites dans le cadre des activités de transmission et de fourniture d'accès à un réseau numérique en vue du « stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises ». Cette dérogation, qui n'était pas prévue par la directive, dont la formulation semble quelque peu complexe, vise notamment le recours, par les fournisseurs d'accès, aux serveurs « proxys », également qualifiés de serveurs « mandataires ».

Ces derniers ont, schématiquement, pour fonction d'économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu'il ne soit pas nécessaire d'accéder au serveur initial, parfois éloigné et distant, en cas de nouvelle requête. Ces opérations d'optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l'exclusion du champ d'application de la loi se justifie pleinement, puisqu'il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs « proxys ».

Enfin, les deux derniers alinéas de l'article 2 (nouveau) de la loi du 6 janvier 1978 disposent, respectivement, qu'un fichier de données à caractère personnel est un ensemble structuré et stable de données de cette nature accessible selon des critères déterminés et que la personne concernée par ledit traitement est celle à laquelle se rapportent les données à caractère personnel.

2. Le responsable du traitement et son destinataire

La loi du 6 janvier 1978, dans sa rédaction actuelle, ne comporte aucune précision sur la personne à laquelle incombe l'obligation de déclarer le traitement auprès de la CNIL alors même que celle qui omet de le faire encourt des sanctions pénales, en application des dispositions de l'article 226-16 du code pénal.

Néanmoins, la notion de personne responsable transparaît implicitement à l'article 19 de la loi, qui prévoit que la demande d'avis ou de déclaration doit préciser « la personne qui présente la demande et celle qui a le pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ». Si, dans la pratique, la CNIL estime, en application de sa délibération n° 87-25 du 10 février 1987, que le formulaire de déclaration d'un traitement relevant du secteur privé doit être signé par la personne physique, ou son représentant, ou par le représentant de la personne morale, qui a le pouvoir de décider de la mise en _uvre du traitement, une clarification législative en la matière n'en est pas moins opportune.

C'est pourquoi, conformément aux dispositions de l'article 2 paragraphe d) de la directive 95/46, le paragraphe I de l'article 3 (nouveau) dispose que le responsable du traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires contraires, « la personne, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine ses finalités et ses moyens. »

A cet égard, la Commission a adopté un amendement du rapporteur supprimant les dispositions qui prévoient que le responsable du traitement est la personne qui, « seule ou conjointement », détermine les finalités et les moyens du traitement, le rapporteur ayant, en effet, souligné le caractère imprécis de la notion de « co-responsabilité » (amendement n° 3).

S'agissant du destinataire du traitement des données à caractère personnel, le paragraphe II de l'article 3 (nouveau) le définit comme « toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions sont chargées de traiter les données ». La dernière phrase de cet article précise cependant que les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données, comme la CNIL, ne constituent pas des destinataires. La Commission a adopté sur cette disposition un amendement d'ordre rédactionnel présenté par le rapporteur (amendement n° 4).

3. Les règles de compétences territoriales

Il est évident qu'à la fin des années 70, la question de la dimension mondiale de la circulation des fichiers de données à caractère personnel n'était pas aussi prégnante qu'aujourd'hui. Cette différence de contexte explique que l'actuelle loi du 6 janvier 1978 ne comporte aucune disposition spécifique relative à la compétence territoriale applicable aux opérations de traitement de données à caractère personnel. Dans le silence de la loi, les règles de droit commun sont donc applicables. Or, le sujet est d'une particulière importance en matière contentieuse.

C'est pourquoi, afin de clarifier le régime applicable aux traitements et à leurs responsables, et conformément aux dispositions de l'article 4 de la directive 95/46 CE, le paragraphe I de l'article 5 (nouveau) de la loi du 6 janvier 1978 prévoit que la loi s'applique :

-  Au responsable établi sur le territoire français (critère de territorialité de la personne), sachant que le dernier alinéa de ce paragraphe indique qu'est considéré comme tel, le responsable qui y exerce une activité « effective » dans le cadre d'une « installation stable », quelle que soit sa forme juridique. Cette référence n'est pas connue en droit français bien que certaines dispositions fiscales s'en approchent en évoquant « l'installation permanente » de l'entreprise (article 182 B du code général des impôts) ou encore « l'installation fixe » d'un contribuable (article 1470 du même code). Comme il ne semble pas souhaitable de laisser au juge le soin de définir la portée de la loi, ce qui peut être la source de nombreux contentieux, la Commission a adopté à l'initiative du rapporteur un amendement supprimant ces termes imprécis (amendement n° 5).

-  Au responsable qui, à défaut d'être installé sur le territoire français ou sur celui d'un autre Etat membre de l'Union européenne, recourt à des moyens de traitement situés sur le territoire français (critère de territorialité du moyen utilisé). Toutefois, sont exclus de l'application de cette règle, les traitements qui ne sont utilisés qu'à des fins de transit, comme ceux existants dans les réseaux numériques. Enfin, dans l'hypothèse d'un responsable sis à l'étranger, celui-ci doit désigner à la CNIL un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi, sans que cette désignation ne fasse obstacle aux actions pouvant être introduites contre ledit responsable.

On ajoutera que, dans l'hypothèse où le responsable du traitement sis à l'étranger ne désignerait pas de représentant, il ne serait pas en mesure de respecter les obligations qui lui incombent en application de l'article 30 (nouveau) de la loi du 6 janvier 1978 (article 4 du présent projet) et encourrait, en conséquence, les sanctions pénales prévues par l'article 226-16 (nouveau) du code pénal (cf infra article 14).

La Commission a adopté l'article 1er ainsi modifié.

Article 2

(Chapitre II de la loi n° 78-17 du 6 janvier 1978)

Conditions de licéité des traitements de données à caractère personnel

Cet article a pour objet de transposer, en droit interne, les dispositions des articles 6 et 7 de la directive 95/46 CE, relatifs aux conditions générales de licéité des traitements de données à caractère personnel, et de ses articles 8 et 15, qui précisent les conditions particulières applicables aux traitements des données dites « sensibles » en raison de la nature des informations concernées.

A cette fin, il remplace l'actuel chapitre II de la loi du 6 janvier 1978 relatif à la CNIL, par un nouveau chapitre intitulé « Conditions de licéité des traitements de données à caractère personnel ». La section 1 de ce chapitre nouveau est intitulée « Dispositions générales » et regroupe les articles 6 et 7 (nouveaux). Quant à la section 2, elle concerne les « Dispositions propres à certaines catégories de données » et comprend les articles 8 à 10 (nouveaux).

1. Les obligations de droit commun applicables à la collecte et au traitement des données

La loi du 6 janvier 1978 déterminait déjà, au travers de dispositions figurant dans ses chapitres IV et V, les règles fondamentales de licéité des traitements des informations nominatives en imposant, notamment, le respect de principes de loyauté et d'exactitude.

Ainsi, l'actuel article 25 de la loi « informatique et libertés » dispose que la collecte de données « par tout moyen frauduleux, déloyal ou illicite, est interdite. » En outre, le responsable du traitement est tenu de veiller à l'exactitude des données, puisque l'article 37, dans sa rédaction en vigueur, dispose : « Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier ».

L'article 6 (nouveau), tel qu'il résulte du présent article, reprend l'essentiel de ces dispositions, qui figurent dans ses trois premiers paragraphes. Il précise, cependant, ce qui ne ressortait pas explicitement du texte antérieur, que les données doivent être collectées « pour des finalités déterminées » et ajoute qu'elles ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

En outre, le texte proposé ajoute, expressément, une exigence supplémentaire, en imposant que les collectes de données respectent ce que l'on pourrait qualifier de principe de « proportionnalité ». En effet, le 4° de l'article 6 prévoit que le traitement ne doit porter que sur des données qui sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».

On observera que, s'il est formellement nouveau, ce principe de proportionnalité, comme l'écrit M. Alain Bensoussan, « sous-tend néanmoins, à l'appui du principe de finalité, toute l'action de la CNIL » (5).

S'agissant de la conservation des données, le 5° de l'article 6 (nouveau), qui dispose qu'elles ne peuvent l'être que « pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées », n'apporte guère de modifications au dispositif en vigueur, puisque l'actuel article 37 prévoit que les « informations ne doivent pas être conservées sous une forme nominative au-delà de la durée prévue à la demande d'avis ou de déclaration, à moins que leur conservation ne soit autorisée par la commission ».

Le dernier paragraphe de l'article 6 (nouveau) apporte, en revanche, une innovation importante en évoquant la question de l'utilisation future des données collectées. Pour écarter le risque d'un usage injustifié, même décalé dans le temps, des informations recueillies, il pose d'abord le principe de l'interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ». Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou à des fins scientifiques ou historiques, sous réserve qu'ils respectent les conditions de licéité définies par le présent chapitre, les formalités préalables à la mise en _uvre des traitements prévus au chapitre IV et les obligations imposées aux responsables de traitements définies à la section 1 du chapitre V et à la condition, enfin, qu'ils ne soient pas utilisés pour prendre des décisions à l'égard des personnes concernées.

Après avoir adopté deux amendements d'ordre rédactionnel présentés par le rapporteur (amendements nos 6 et 8), la Commission a adopté un amendement du même auteur tendant à regrouper l'ensemble des dispositions relatives au respect du principe de finalité des traitements, y compris celles concernant les traitements à des fins statistiques ou historiques (amendement n° 7). Elle a, en revanche, rejeté un amendement de M. Pascal Clément prévoyant que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être mis en _uvre à cette fin par le responsable ou par une autre personne, le rapporteur ayant considéré qu'il était satisfait par l'amendement n° 2 adopté à l'article premier qui précise que toute information qui permet l'identification, directe ou indirecte, de la personne concernée constitue une donnée personnelle.

Il faut souligner que le non respect des prescriptions légales relatives à la collecte et au traitement des données est passible de sanctions pénales prévues par l'article 226-18 du code pénal. Le quantum des peines encourues est, par ailleurs, modifié par l'article 14 du projet de loi (cf infra).

L'article 7 (nouveau) de la loi précise ensuite les conditions permettant la création d'un traitement de données à caractère personnel.

Il pose d'abord le principe selon lequel le consentement des personnes concernées par un traitement de données à caractère personnel est nécessaire. Il s'agit d'une innovation puisque, actuellement, ce consentement n'est pas requis, la seule disposition protectrice résultant de l'article 26 de la loi du 6 janvier 1978, qui permet à toute personne de s'opposer « pour des raisons légitimes » à ce que des informations la concernant fassent l'objet d'un traitement, cette disposition étant d'ailleurs reprise par l'article 5 du projet de loi dans l'article 38 (nouveau) de la loi.

Cependant, compte tenu du caractère extrêmement restrictif que représente l'exigence du consentement des personnes concernées, le dispositif proposé pour l'article 7 (nouveau) énumère, de manière limitative, conformément à l'article 7 de la directive 95/46 CE, différentes hypothèses dans lesquelles, nonobstant le consentement de la personne, le traitement est licite. Il en est ainsi lorsque celui-ci est nécessaire :

- au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

- à la sauvegarde de la vie de la ou des personnes concernées, ce qui correspond, notamment, au cas des traitements de données dans le domaine de la santé ;

- à l'exécution d'une mission de service public dont le responsable ou le destinataire du traitement est investi ; on peut notamment évoquer, à cet égard, les fichiers existant en matière de police ou de justice, sous réserve qu'ils ne comprennent pas de données sensibles, ce qui les soumettrait au régime dérogatoire prévu par l'article 7 (nouveau) (cf infra) ;

- à l'exécution d'un contrat auquel la personne concernée est partie ; on peut considérer qu'il s'agit, en l'occurrence, d'une extension du principe du consentement sous une forme implicite ;

- à la réalisation de l'intérêt légitime poursuivie par le responsable du traitement ou par le destinataire « à condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée ». Cette rédaction, d'une portée particulièrement générale peu habituelle en droit français, reprend fidèlement les termes du paragraphe f) de l'article 7 de la directive 95/46 ; elle devrait permettre aux responsables du secteur privé de procéder, pour des raisons commerciales, au traitement automatisé d'informations, sous réserve de respecter l'équilibre entre leurs intérêts légitimes et les libertés fondamentales des personnes concernées ; bien évidement, il appartiendra à la CNIL de veiller au respect de cet équilibre, au travers de son contrôle a priori ou a posteriori, sans préjudice de l'éventuelle appréciation ultérieure du juge, en cas de contentieux. On observera toutefois que cette dérogation, en raison même de son caractère général, fragilise substantiellement la portée du principe du consentement de la personne qui ne saurait donc être considéré comme constituant la règle en matière de traitement de données. La Commission a adopté quatre amendements d'ordre rédactionnel présentés par le rapporteur (amendements nos 9, 10, 11 et 12).

2. Les régimes dérogatoires prévus pour la collecte et le traitement des données « sensibles »

Parce que l'informatique doit être au service de chaque citoyen, elle « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques » affirme solennellement l'article premier de la loi du 6 janvier 1978, que le présent projet de loi laisse inchangé.

C'est pourquoi le premier alinéa de l'actuel article 31 de la loi « informatique et libertés » interdit de mettre en mémoire, sauf accord exprès de l'intéressé, des données dites « sensibles », qui font apparaître « les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les m_urs des personnes ».

Toutefois, à titre dérogatoire, le deuxième alinéa du même article autorise les Eglises et groupements à caractère religieux, philosophique, politique ou syndical à « tenir registre de leurs membres sous forme automatisée ». Le dernier alinéa, enfin, permet également de conserver en mémoire informatique des données « sensibles » pour « des motifs d'intérêt public », sous réserve que l'autorisation en soit donnée sur proposition ou avis conforme de la CNIL et par décret en Conseil d'Etat. En pratique, cette dernière possibilité concerne, à titre principal, les traitements mis en _uvre par les ministères de la défense ou de l'intérieur. A titre d'exemple, la CNIL a estimé, par sa délibération n° 82-205 du 7 décembre 1982, que le recueil d'informations sur le « type racial » d'individus par la direction centrale des renseignements généraux était d'intérêt public, dès lors que ces informations constituaient des éléments de signalement des personnes.

L'article 8 (nouveau) reprend la liste des données « sensibles » actuellement en vigueur. S'inspirant des dispositions de l'article 8 de la directive, il la complète cependant par une référence aux données relatives à la santé et à l'orientation sexuelle. Cette dernière disposition, qui s'inscrit dans le prolongement de la réglementation européenne interdisant toute discrimination fondée sur ce motif, semble particulièrement opportune

S'agissant des dérogations à l'interdiction de collecter et de traiter des données sensibles, le paragraphe II de l'article 8 (nouveau) reprend d'abord les dispositions de l'actuel article 31 pour exclure du dispositif les associations ou groupements à caractère religieux, philosophique, politique ou syndical. Il précise, cependant, que les informations traitées, qui ne peuvent concerner que les membres de l'organisme concerné ou les personnes qui entretiennent avec lui des relations régulières dans le cadre de son activité, ne peuvent être communiquées à des tiers sans le consentement des personnes concernées. En outre, sans que la portée de cette suppression ne soit évidente, il n'est plus mentionné qu'aucun contrôle ne peut être exercé sur les organismes concernés. On observera, cependant, que l'article 22 (nouveau) précise que les traitements effectués par ces organismes ne sont pas soumis à une déclaration préalable (cf. infra article 4).

Par ailleurs, la faculté de collecter et de traiter des données sensibles pour un motif « d'intérêt public » est également maintenue. Dans ce dernier cas, on précisera, toutefois, que le traitement devra être autorisé par la CNIL, selon la procédure particulière prévue par les articles 25 et 26 (nouveaux) de la loi (cf. infra article 4).

Au-delà de la reprise des dispositions existantes, le paragraphe II de l'article 8 (nouveau) retient, conformément aux exigences de l'article 8 de la directive 95/46 CE, un champ de dérogations plus large que celui prévu aujourd'hui. En effet, il prévoit que l'interdiction ne s'applique pas lorsque le traitement :

- porte sur des données rendues publiques par la personne concernée ;

- est nécessaire :

· à la sauvegarde de la vie de la personne concernée ou d'un tiers, la personne concernée n'étant pas en mesure de donner son consentement en raison d'une incapacité juridique ou d'une impossibilité matérielle ;

· aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou à la gestion de services de santé, sous la réserve qu'il soit mis en _uvre par un membre d'une profession de santé ou une personne soumise à l'obligation de secret professionnel ;

· à la constatation, à l'exercice ou à la défense d'un droit en justice.

Après avoir adopté trois amendements d'ordre rédactionnel présentés par le rapporteur (amendements nos 13, 14 et 16), la Commission a adopté un amendement du même auteur autorisant également le secteur de la recherche médicale à procéder à des traitements de données dites « sensibles » selon les modalités prévues au chapitre IX de la loi du 6 janvier 1978 (amendement n° 15).

Par ailleurs, l'article 9 (nouveau), reprenant, presque à l'identique, les dispositions de l'article 30 de la loi en vigueur, prévoit des garanties spécifiques pour le traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté. Il dispose, en effet, que seules peuvent y procéder les juridictions, les autorités publiques et les personnes morales gérant un service public ainsi que les auxiliaires de justice, pour les stricts besoins de l'exercice de leurs missions légales. La Commission a adopté sur ce point un amendement d'ordre rédactionnel présenté par le rapporteur (amendement n° 17).

Enfin, l'article 10 (nouveau), qui reprend également, pour l'essentiel, les dispositions de l'actuel article 2 de la loi, prévoit qu'aucune décision de justice impliquant une appréciation sur le comportement d'une personne ou aucune décision administrative ou privée produisant des effets juridiques à son égard ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel. La Commission a adopté un amendement du rapporteur tendant à préciser la formulation de ce principe pour qu'il ne puisse être détourné (amendement n° 18).

Le dernier paragraphe de cet article ajoute cependant, conformément aux dispositions de l'article 15 de la directive 95/46 CE, qu'une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat « n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé » si la personne a été mise à même de présenter ses observations. En pratique, il s'agit, notamment de garantir que les entreprises d'assurance ou bancaires, qui pratiquent le crédit par des méthodes d'évaluation du profil du client, dites de « credit scoring », ne fondent pas leurs décisions sur le seul examen de fichiers de données personnelles en leur possession, mais procèdent à un examen de la situation individuelle de la personne en lui permettant de faire valoir son point de vue.

La Commission a adopté l'article 2 ainsi modifié.

Article 3

(Chapitre III de la loi n° 78-17 du 6 janvier 1978)

Dispositions relatives à la CNIL

Le présent article rétablit sous la forme d'un chapitre III les dispositions sur la CNIL qui figurent dans la loi de 1978 dans un chapitre II et insère donc neuf articles (de 11 nouveau à 21 nouveau) au lieu et place des articles 6 à 13 actuels. L'article 28 de la directive prévoit l'institution dans chaque Etat membre « d'une ou plusieurs autorités de contrôle » chargées de surveiller l'application des nouvelles dispositions qu'elle crée. C'est à la CNIL, acteur incontournable dans le domaine de la protection des données personnelles et devenue familière aux citoyens, aux entreprises privées et aux autorités publiques, qu'il appartiendra de remplir cette mission. Sa composition, son rôle, ses méthodes sont modifiées pour prendre en compte les mutations profondes imposées par le texte communautaire.

Article 11 (nouveau)

Missions de la CNIL

La Commission nationale de l'informatique et des libertés, même si son rôle est appelé à évoluer, conserve son nom.

On observera que, dans le texte de 1978, elle aurait pu être qualifiée de commission nationale de l'informatique, « des fichiers » et des libertés puisque, par amendement, la protection instituée s'est appliquée, au moins partiellement, aux fichiers non automatisés - champ d'application que confirme la directive - mais il est de fait que la Commission a pu travailler sous cette appellation et a forgé au fil des ans une véritable doctrine d'interprétation et d'application de la loi de 1978. Le maintien de son titre s'explique par la volonté de marquer la continuité de son _uvre, même si elle est appelée à revoir ses modes d'intervention, conformément aux nouvelles règles qui lui sont imposées.

La CNIL est une « autorité administrative indépendante », précision qui est donnée par l'article 28 de la directive et figurait déjà dans l'article 8 de la loi de 1978 (6).

Les missions de la CNIL sont précisées dans le 1°, 2° et 3° de cet article qui s'inspirent des dispositions de la directive quant aux nouvelles formes de protection des données personnelles et reprennent, pour partie, les mentions figurant aux articles 21, 22, 23 de la loi de 1978.

· Le 1° reprend la disposition générale de l'article 6 de la loi de 1978 qui prévoyait que la CNIL était chargée de veiller aux dispositions de la loi, référence étant ici faite aux traitements de données à caractère personnel, objet de la directive.

Les missions qu'elle exerce à ce titre sont au nombre de huit.

- La première compétence (a) a trait au nouveau régime de protection instauré par la directive : la Commission autorise les traitements qui relèvent de l'article 25 nouveau de la loi de 1978, donne un avis pour les traitements intéressant les actes de souveraineté de l'Etat et les traitements à finalité publique prévus aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements.

- La deuxième (b) permet à la CNIL d'établir et de publier des normes simplifiées prévues à l'article 24 nouveau de la loi, pour les catégories les plus courantes de traitement dont la mise en _uvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. Une telle disposition était déjà prévue par l'article 17 de la loi de 1978. Le présent article reprend également la disposition de l'article 21 de la loi de 1978 qui prévoyait la possibilité d'édicter des « règlements types » en vue d'assurer la sécurité des systèmes.

- La troisième (c) prévoit que la CNIL reçoit les réclamations, pétitions et plaintes relatives à la mise en _uvre des traitements et informe les auteurs des suites données à celles-ci. Il s'agit là de la traduction du 4) de l'article 28 de la directive et il faut observer que l'article 21 de la loi de 1978, dans le cadre du chapitre consacré aux formalités préalables à la mise en _uvre des traitements automatisés, prévoyait, sous une forme moins détaillée, cette possibilité de recevoir « réclamations, pétitions et plaintes ».

- La quatrième (d) charge la CNIL d'un rôle consultatif auprès des pouvoirs publics et, le cas échéant, des juridictions. La même disposition figurait à l'article premier du décret d'application de la loi de 1978 (7). La CNIL peut donc intervenir en quelque sorte en amont de l'avis qu'elle sera appelée à donner, par exemple sur les projets de loi ou de décret (mission formellement inscrite sous le a) du 3° de cet article), comme elle a du reste été amenée fréquemment à le faire depuis sa création. Il est également prévu qu'elle conseille les personnes ou organismes qui mettent en _uvre des traitements automatisés de données à caractère personnel ou envisagent de le faire. Il s'agit, là aussi, de la reprise d'une disposition qui figure aujourd'hui dans l'article premier du décret d'application précité. Depuis sa création, la CNIL a ainsi reçu près de 10 000 demandes de conseil, dont 1 049 pour l'année 2000, qui ont concerné, par ordre décroissant d'importance, la santé, le travail, la fiscalité, les collectivités locales et le commerce.

- La cinquième (e), qui correspond à une mission figurant à l'article 21 4°) de la loi de 1978, prévoit que la CNIL informe sans délai le procureur de la République des informations dont elle a connaissance, conformément à l'article 40 du code de procédure pénale. S'y ajoute désormais la possibilité nouvelle de présenter des observations dans les procédures pénales relatives aux infractions informatiques. Référence est faite à l'article 52 nouveau de la loi qui prévoit que le procureur de la République avise le président de la CNIL de toutes les poursuites en ce domaine et peut l'appeler (ou son représentant) à déposer ses observations ou à les développer oralement lors des audiences. Cette nouvelle possibilité découle de l'article 28 de la directive qui prévoit pour les autorités de contrôle « le pouvoir d'ester en justice en cas de violation des dispositions nationales » prises pour son application ou celui de « porter ces violations à la connaissance de l'autorité judiciaire ». Cette mission pourra être exercée par le président ou le vice-président délégué conformément au nouvel article 15 de la loi de 1978 inséré par le présent article.

- La sixième compétence (f) s'explique par les nouveaux modes de contrôle a posteriori prévus pour les traitements de données à caractère personnel et donne à la CNIL la possibilité de charger un ou plusieurs de ses membres de procéder à des vérifications et, le cas échéant, d'obtenir des copies de tous documents utiles. On observera que la loi de 1978 prévoyait déjà une disposition analogue dans son 2° de l'article 21 mais ces vérifications prendront bien évidemment une nouvelle dimension puisqu'elles jouent un rôle essentiel dans les nouveaux modes d'intervention de la CNIL. La référence à des experts qui pourraient assister les membres ou agents de la Commission, qui figurait à l'article 21 précité, est transposée au deuxième alinéa du III de l'article 44 nouveau de la loi, lequel détaille les nouveaux pouvoirs d'investigation et de contrôle sur place de la CNIL. La possibilité qui lui est donnée par l'article 11 de la loi de 1978 de demander auprès des juridictions des magistrats délégués pour des mesures d'investigation et de contrôle est supprimée. C'est bien à la CNIL qu'appartient désormais pleinement ce pouvoir de contrôle a posteriori, le présent article se référant à l'article 44 nouveau précité. Le président ou le vice-président délégué pourront procéder à la désignation de ses membres ou agents préposés aux vérifications, conformément à ce que prévoit le nouvel article 15 de la loi de 1978 (inséré par le présent article).

- La septième (g) traduit le nouveau pouvoir de sanctions dont est investie la CNIL par l'article 45 nouveau de la loi de 1978 (inséré par l'article 7 du présent projet). Cette disposition est conforme à l'article 28 de la directive qui prévoit que les autorités de contrôle disposent de « pouvoirs effectifs d'intervention ». On observera que ces sanctions sont décidées par la formation restreinte de la CNIL, conformément à ce que prévoit le nouvel article 17 de la loi de 1978, inséré par le présent article.

- La huitième (h) mission assignée à la CNIL correspond aux demandes d'accès indirect prévues par les nouveaux articles 41 et 42 de la loi de 1978 (insérés par l'article 5 du présent projet) pour les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique (droit prévu par l'article 39 actuel de la loi de 1978) ou ceux constitués à des fins de recherche et de constatation des infractions ou à des fins fiscales. En revanche, la disposition de l'article 40 de la loi de 1978 qui prévoyait un accès indirect - par l'intermédiaire d'un praticien - en cas d'information à caractère médical n'est pas reprise. En effet, le projet de loi sur les droits des malades et la qualité du système de santé, adopté en première lecture par l'Assemblée le 4 octobre dernier, réforme les modalités d'information des malades, en organisant notamment un droit d'accès direct aux dossiers médicaux (nouvel article L. 1111-1 du code de la sécurité sociale) (8).

A l'initiative du rapporteur, la Commission a adopté un amendement rappelant la mission d'information générale auprès du citoyen qui incombe à la CNIL (amendement n° 19).

·  Le 2° de cet article traite des fonctions que peut exercer la CNIL « à la demande des organismes professionnels regroupant les responsables de traitements ». Trois mesures sont ainsi détaillées, qui confirment les pratiques actuelles de la CNIL :

- la CNIL donne un avis sur la conformité à la loi des projets de règles, systèmes et procédures qui lui sont soumis ;

- elle porte une appréciation sur les garanties offertes par les règles ;

- elle délivre un label à des produits ou des procédures ; c'est ainsi que la CNIL a élaboré un code de déontologie à l'usage des professionnels du marketing qui a incontestablement eu de fortes répercussions sur ces activités.

·  Le 3° de cet article 11 reprend l'esprit d'une disposition qui figurait à l'article 21 de la loi de 1978 en prévoyant qu'elle se tient informée « de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés qu'elle se doit de protéger ». Trois missions sont précisées à ce titre :

- la consultation sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques ; on observera que le Gouvernement s'est rangé à bon nombre des observations de la CNIL sur le présent projet de loi ; cette disposition est d'ailleurs conforme aux prescriptions du 2) de l'article 28 de la directive. A l'initiative de son rapporteur, la Commission a adopté un amendement levant une ambiguïté de rédaction pouvant laisser penser que la CNIL n'a pas à donner un avis sur les projets de lois ou de décrets concernant les traitements les plus importants (amendement n° 20) ;

- la possibilité de proposer au Gouvernement les mesures d'adaptation, compte tenu de l'évolution de la technologie ; cette disposition figure à l'article premier du décret d'application de 1978 ;

- l'association, à la demande du Premier ministre, à la position française dans les négociations internationales relatives au traitement de données à caractère personnel ; cette disposition répond justement à une demande de la CNIL dans son avis sur le projet de loi ; la formule de l'association répond au statut particulier de la CNIL qui, autorité administrative indépendante, ne peut recevoir d'injonction du Gouvernement, ni le représenter, celui-ci étant le seul responsable de la conduite de la politique étrangère. La Commission a rejeté un amendement de M. Emile Blessig rendant systématique cette association.

·  L'avant-dernier alinéa du nouvel article 11 de la loi de 1978 reprend les dispositions qui figurent actuellement aux articles 6 et 21 de ladite loi. C'est ainsi qu'il prévoit qu'elle peut prendre des décisions « individuelles ou réglementaires ». Les décisions individuelles peuvent porter sur des problèmes d'organisation ou de fonctionnement de la commission (constatation des incompatibilités par exemple) ou concerner des tiers (en particulier dans le cadre des pouvoirs de sanction et d'investigation). Parmi les mesures réglementaires figurent par exemple le règlement intérieur, l'élaboration des normes simplifiées ou de règlements types en vue d'assurer la sécurité des systèmes. La CNIL peut également procéder par voie de recommandations, lesquelles n'ont pas d'effet contraignant mais orientent - on l'a vu au cours de ces dernières années - l'action et les méthodes des pouvoirs publics et des responsables de traitements.

·  Le dernier alinéa confirme l'obligation imposée annuellement à la CNIL de présenter un rapport public au Président de la République et au Parlement, qui rend compte de l'exécution de sa mission. Il s'agit là d'une reprise des dispositions figurant au premier alinéa de l'article 23 actuel de la loi de 1978. Le second alinéa qui évoquait le contenu dudit rapport en prévoyant notamment des informations sur l'organisation de la Commission est supprimé, car il pourrait aujourd'hui être considéré comme trop limitatif, compte tenu du caractère très substantiel et plus large des rapports annuels de la CNIL.

Article 12 (nouveau)

Dispositions financières

L'article 6 de la loi de 1978 prévoyait, dans un premier alinéa, que la CNIL serait financée par des crédits inscrits au budget du ministère de la justice. Il indiquait que les dispositions de la loi du 10 avril 1922 qui organisent le contrôle financier a priori n'étaient pas applicables à leur gestion et que les comptes de la commission étaient présentés a posteriori à la Cour des Comptes, conformément à ce qui est prévu, par exemple, pour le Médiateur de la République.

La rédaction de l'article 12 nouveau, que propose le présent article 3 du projet de loi, reprend ses dispositions en ne faisant toutefois pas référence à l'inscription au sein du budget du ministère de la justice. Les crédits figurent pourtant aux articles 37-94 et 37-96 de ce budget. Ils sont pour 2001 de l'ordre de 33,7 millions de francs (9), dont plus de la moitié est consacrée à la rémunération du personnel. En revanche, le présent article ne reprend pas le dernier alinéa de l'article 7 de la loi de 1978 qui prévoyait la possibilité pour la CNIL de percevoir des redevances pour certains actes, comme ceux attachés à l'accomplissement des formalités de déclaration. Cette disposition n'a, de fait, jamais été mise en _uvre.

Il sera sans doute nécessaire d'augmenter les moyens financiers et humains de la CNIL, compte tenu des nouvelles missions qui lui sont assignées. D'ores et déjà, en 2001, les emplois budgétaires ont été portés de 58 à 70. Les services de la CNIL devraient compter, en 2003, 76 personnes.

Article 13 (nouveau)

Dispositions relatives à ses membres

Le présent article comporte trois paragraphe : le premier (I) fixe le nombre et le profil des membres de la CNIL, le second (II) précise la durée de leur mandat, le dernier (III) évoque le règlement intérieur de la commission.

1. Composition et profil des membres de la CNIL

Le nombre des membres de la CNIL, fixé à dix-sept par la loi de 1978, demeure inchangé, là encore notamment par souci de ne pas trop modifier le fonctionnement d'une institution qui a fait ses preuves. La CNIL comporte certes plus de membres que d'autres autorités administratives indépendantes - la Commission des opérations de bourse et le Conseil supérieur de l'audiovisuel n'en comptent que neuf - ou que les institutions homologues des autres pays européens (10). Mais elle a démontré qu'elle pouvait fonctionner ainsi, M. Guy Braibant l'ayant qualifiée dans son rapport au Premier ministre en 1998 de « petit parlement ou académie des libertés ». Le maintien de ce nombre important implique tout de même que des formations plus restreintes soient envisagées au quotidien comme le prévoient les articles 16 et 17 nouveaux de la loi de 1978.

Si le nombre reste donc inchangé, la répartition des membres de la CNIL entre les différents corps et institutions prévue en 1978 est modifiée pour laisser plus de place aux « praticiens » de l'informatique. La loi de 1978 prévoyait en effet que la CNIL est composée de :

-  Deux députés et sénateurs élus respectivement par l'Assemblée nationale et par le Sénat. Il serait préférable d'utiliser l'adjectif « désignés » plutôt qu'« élus » : c'est ainsi que, conformément à l'article 26 du règlement de l'Assemblée, les députés sont désignés formellement par la commission des Lois. La Commission a adopté un amendement en ce sens (amendement n° 21).

-  Deux membres du Conseil économique et social élus par cette assemblée.

-  Deux membres ou anciens membres du Conseil d'Etat dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat.

-  Deux membres ou anciens membres de la Cour de cassation dont l'un d'un grade au moins égal à celui de conseiller élus par l'assemblée générale de la Cour de cassation.

-  Deux membres ou anciens membres de la Cour des comptes dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes.

-  Deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat.

-  Trois personnalités désignées en raison de leur compétence par décret en conseil des ministres.

La loi de 1978 précisait également que la Commission élisait en son sein pour cinq ans un président et deux vice-présidents.

On constate qu'au fil du temps, les diverses nominations ont abouti à une place plus importante que prévu sans doute des membres des grands corps de l'Etat. On compte trois membres du Conseil d'Etat dont le président et trois membres de la Cour des comptes (au lieu de deux pour chaque catégorie formellement prévus en 1978).

Compte tenu de l'évolution de l'informatique et notamment de sa technicité toujours grandissante, le projet de loi prévoit de modifier ce schéma. Il propose que le Conseil économique et social ne désigne plus qu'un seul membre (au lieu de deux). Le profil des personnalités désignées en raison de leur compétence ou de leur autorité est modifié. Les deux personnes « qualifiées pour leur connaissance des applications de l'informatique et nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat » devront être désormais, plus simplement, qualifiées « pour leur connaissance de l'informatique »
- formulation plus large qu'en 1978, le but n'étant pas de nommer uniquement des techniciens - et désignées, respectivement, directement par le président de l'Assemblée et celui du Sénat, formule plus ramassée que celle de 1978 et qui correspond à la pratique suivie.

La modification concernant les personnalités nommées par décret est plus substantielle. Du fait de la suppression d'un des membres du Conseil économique et social, leur nombre sera désormais de quatre, le présent projet de loi prévoyant que deux d'entre elles devront, là encore, être qualifiées « pour leur connaissance de l'informatique ».

Votre rapporteur est extrêmement réservé sur la modification proposée : s'il s'agit d'élargir le spectre des compétences des membres de la CNIL, la diminution de représentation du Conseil économique et social paraît peu adéquate ; cette institution peut justement apporter à la Commission le point de vue des consommateurs, des salariés, des associations familiales... Il n'est pas sûr qu'un cercle d'informaticiens très spécialisés soit le mieux à même de protéger les données personnelles... La Commission a adopté en conséquence un amendement maintenant la composition actuelle de la CNIL (amendement n° 22).

Le texte prévoit, par ailleurs, l'élection du président et de deux vice-présidents par la Commission comme l'indiquait déjà le texte de 1978 mais institutionnalise la fonction de vice-président délégué qui peut être chargé de fonctions spécifiques, conformément aux dispositions du nouvel article 15 de la loi de 1978.

2. Durée du mandat des membres de la CNIL

Le paragraphe II du nouvel article 13 de la loi de 1978 conserve, comme le texte d'origine, une durée de cinq ans pour tous les membres autres que les parlementaires et les membres du Conseil économique et social. Il innove toutefois en précisant que ce mandat n'est renouvelable qu'une fois alors que le texte ne prévoyait à l'origine aucune limitation. La désignation des parlementaires et de membres du Conseil économique et social se fera après chaque renouvellement de l'assemblée à laquelle ils appartiennent (11), le projet de loi indiquant qu'ils ne peuvent être membres de la Commission qu'au maximum pendant dix ans.

Le nouvel article 13 reprend deux dispositions qui figuraient à l'article 8 du texte de 1978 : un membre de la Commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé dans les mêmes conditions pour la durée du mandat restant à courir. La formulation adoptée lève l'ambiguïté du texte de 1978 qui pouvait laisser penser qu'un président empêché serait remplacé directement par le nouveau membre désigné, pour la durée restant à courir de son mandat. C'est après la désignation éventuelle de ce nouveau membre que la CNIL sera amenée à élire un nouveau président, pour une durée de cinq ans. Le présent article reprend, pour conserver à l'institution toute son indépendance, l'alinéa qui disposait que « sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la Commission dans les conditions qu'elle définit. »

La situation des membres actuels de la CNIL et notamment des membres du Conseil économique et social est réglée par l'article 17 du présent projet de loi.

3. Règlement intérieur de la CNIL

Le paragraphe III du nouvel article 13 reprend la disposition d'origine qui donnait à la CNIL le pouvoir d'établir un règlement intérieur (article 8 actuel de la loi). Il précise qu'il porte sur les « règles relatives à l'organisation et au fonctionnement de la Commission » et qu'y figurent « notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la Commission », de façon à encadrer quelque peu le contenu de ce document.

De fait, la CNIL n'a fait usage que tardivement de cet aspect de son pouvoir réglementaire puisqu'elle n'a établi un règlement intérieur qu'en 1987 (délibération n° 87-25 du 10 février 1987) qu'elle a d'ailleurs modifié à plusieurs reprises par de nouvelles délibérations (n° 92-087 du 22 septembre 1992, n° 93-048 du 8 juin 1993 et n° 99-43 du 9 septembre 1999). Le présent projet de loi conduira probablement à modifier en profondeur ce texte, notamment sur les pouvoirs d'investigation, de contrôle et de vérification sur place.

Article 14 (nouveau)

Incompatibilités

Pour garantir l'indépendance de l'institution nouvelle qu'elle créait, la loi de 1978 avait prévu l'incompatibilité de la qualité de membre de la CNIL avec celle de membre du gouvernement. Elle avait également prévu une incompatibilité avec « l'exercice de fonctions ou la détention de participations dans les entreprises concourant à la fabrication du matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication ». C'était à la Commission qu'il appartenait d'apprécier « dans chaque cas les incompatibilités qu'elle peut opposer à ses membres ».

Le projet de loi, dans ce nouvel article 14 de la loi de 1978, assouplit quelque peu ce dispositif. Si son paragraphe I reprend les règles d'incompatibilité avec la qualité de membre du gouvernement, son II institue un régime moins strict pour les membres qui pourraient exercer une compétence dans le secteur de l'informatique.

Il est seulement prévu qu'un membre de la Commission ne peut participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, exerce des fonctions ou détient un mandat. La même interdiction s'applique s'il a exercé ces fonctions ou détenu ces participations au cours des dix-huit mois précédant la délibération ou les vérifications en cause. Cet assouplissement s'explique par la volonté du Gouvernement de voir siéger au sein de la Commission en quelque sorte des « professionnels » de l'informatique, dans le droit fil du réaménagement de la composition de la CNIL visant à lui donner une compétence plus technique. Le régime est proche de celui qui figure à l'article L. 621-4 du code monétaire et financier pour les membres de la Commission des opérations de bourse, selon lequel lesdits membres ne peuvent participer à une délibération pour une affaire dans laquelle ils détiennent (ou ont détenu moins de trente-six mois auparavant) un intérêt.

Le paragraphe III du nouvel article 14 proposé par le présent article rend effective la disposition que l'on vient d'exposer en prévoyant une obligation pour tout membre de la CNIL d'informer le président des intérêts qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer, des mandats qu'il détient ou vient à détenir au sein d'une personne morale.

Une obligation similaire d'information figure pour les membres de la COB à l'article L. 621-4 du code monétaire et financier précité.

Le présent article précise que ces informations sont tenues à la disposition des membres de la Commission. Le président prend les « mesures appropriées » pour s'assurer du respect de ces nouvelles obligations.

Articles 15,16 et 17 (nouveaux)

Pouvoirs des différentes instances de la CNIL

Le maintien à dix-sept du nombre des membres de la CNIL s'accompagne de la création d'une formation restreinte et de l'institutionnalisation d'un bureau chargé de fonctions spécifiques.

Article 15 : règles relatives à la formation plénière

Cet article dispose que, sous réserve, des compétences du bureau (mentionnées à l'article 16 nouveau) et de la formation restreinte (mentionnées à l'article 17 nouveau), la Commission se réunit en formation plénière.

Il reprend une disposition figurant à l'article 8 de la loi de 1978 qui prévoyait qu'en cas de partage égal des voix, la voix du président est prépondérante.

Son troisième alinéa reprend, lui, pour partie, une disposition figurant dans l'article 10 de la loi de 1978 qui prévoyait que la Commission pouvait charger le président ou le vice-président délégué d'un certain nombre de ses attributions :

-  réception des déclarations de traitement automatisées émanant de personnes privées ;

-  établissement et publication de normes simplifiées pour les catégories les plus courantes de traitement (à caractère public ou privé) ;

-  dénonciation au parquet des infractions, conformément à l'article 40 du code de procédure pénale ;

-  mise en _uvre du droit d'accès et de rectification ;

-  réception des réclamations, pétitions et plaintes.

Le présent article adapte ces dispositions en se référant, désormais, d'une part, au troisième alinéa du I de l'article 23 nouveau de la loi de 1978, tel que prévu par l'article 4 du présent projet de loi et qui traite du régime de la déclaration et, d'autre part, au e) et f) du 1° de l'article 11 nouveau de la loi de 1978, inséré par le présent article du projet de loi et qui a trait à l'information du procureur de la République et à la désignation de certains membres de la CNIL pour procéder à des vérifications portant sur les traitements. A l'initiative de son rapporteur, la Commission a adopté un amendement étendant les attributions que la CNIL peut déléguer à son président ou son vice-président : celles relatives au droit d'accès indirect (articles 41 et 42 nouveaux), celles relatives aux autorisations en matière de recherche (article 59 nouveau), celles relatives aux transmissions d'information à des fins d'évaluation des pratiques de soins (articles 63 et 64 nouveaux), celles relatives aux modalités de transmission des données vers un pays extérieur à l'Union (premier alinéa de l'article 70 nouveau) (amendement n° 23).

Article 16 : pouvoirs du bureau

Le projet de loi institue formellement un bureau de la CNIL, composé du président et de deux vice-présidents. On observera que l'article 9 du règlement intérieur de la CNIL le prévoyait déjà mais il apparaissait alors comme une simple instance d'information intervenant éventuellement préalablement à une décision de la Commission concernant, par exemple, une incompatibilité ou un empêchement d'un membre.

Le présent article lui confère la possibilité d'exercer plusieurs attributions :

- Habilitation des membres appelés à participer à la mise en _uvre des missions de vérification qui peuvent être décidées par la CNIL dans le cadre de ses nouvelles fonctions ;

- Modalités d'exercice du droit d'accès indirect pour les données des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique ; autorisations des transmissions d'information à des fins d'évaluation des pratiques de soins, contrôle des transferts de données vers un pays extérieur à la communauté. A l'initiative du rapporteur, la Commission a adopté un amendement de conséquence par rapport à l'amendement n° 23 (amendement n° 24).

Le présent article prévoit enfin que le bureau peut être chargé, en cas d'urgence, de prononcer l'avertissement à l'égard du responsable d'un traitement qui ne respecte pas les nouvelles obligations et de le mettre en demeure « de faire cesser le manquement constaté » (dans un délai que la Commission fixe : référence au premier alinéa du I de l'article 45 nouveau de la loi de 1978 introduit par l'article 7 du présent projet).

Article 17 : pouvoirs de la formation restreinte

Le présent article prévoit, dans son second alinéa, que la formation restreinte de la CNIL est composée « du président, du vice-président délégué et de trois membres élus par la Commission en son sein pour la durée de leur mandat ». On peut regretter que ne figure pas en son sein l'autre vice-président. La Commission a adopté un amendement en sens (amendement n° 25).

Le premier alinéa charge la formation de prononcer les sanctions prévues à l'article 45 nouveau de la loi de 1978 (hors le cas d'urgence où le bureau peut intervenir, comme on l'a déjà indiqué).

Référence est faite au I de l'article 45 qui concerne l'avertissement, la mise en demeure, la sanction pécuniaire et l'injonction de cesser les traitements. La formation restreinte pourra également, dans le cadre de la procédure prévue au 1° du II de cet article 45, c'est-à-dire en cas d'urgence lorsque la mise en _uvre d'un traitement entraîne la violation des droits et libertés protégés par la CNIL, décider l'interruption de cette mise en _uvre ou le verrouillage de certaines données. Elle ne pourra, en revanche, saisir le Premier ministre de problèmes analogues qui pourraient concerner les traitements de données à caractère personnel mis en _uvre pour le compte de l'Etat. Cette saisine du Premier ministre pour qu'il fasse cesser la violation constatée reste donc de la compétence de la Commission dans sa formation plénière.

Le présent article précise enfin, en cas de partage égal des voix au sein de la formation restreinte, que la voix du président est prépondérante, comme c'est le cas en formation plénière.

Article 18 (nouveau)

Commissaire du Gouvernement

L'article 9 de la loi de 1978 disposait qu'un « commissaire du Gouvernement, désigné par le Premier ministre, » siégerait auprès de la Commission et pourrait dans les dix jours d'une délibération provoquer une seconde délibération. Le nouvel article 18 proposé par le présent article 3 confirme cette institution en la précisant quelque peu.

Il indique tout d'abord que des commissaires-adjoints peuvent être désignés dans les mêmes conditions. On observera que le décret modifié n° 78-774 du 17 juillet 1978, pris pour l'application de la loi, prévoyait déjà, en son article 4, la faculté de désigner un commissaire-adjoint, « en cas d'absence ou d'empêchement ». Le même décret disposait que le commissaire du Gouvernement était convoqué « à toutes les séances de la Commission dans les mêmes conditions que les membres de celle-ci ». Le présent article, pour tenir compte des différentes nouvelles formations de la CNIL (bureau, formation restreinte), précise que le commissaire du Gouvernement assistera « à toutes les délibérations de la Commission dans ses différentes formations » et sera « rendu destinataire de tous ses avis et décisions ». Le dernier alinéa de l'article 18 nouveau dispose que le pouvoir de provoquer une seconde délibération demeure « sauf en matière de sanctions ». On observera que cette faculté n'a jamais été utilisée jusqu'à présent. La fonction de commissaire du gouvernement est actuellement rattachée au Secrétariat général du Gouvernement.

Article 19 (nouveau)

Services de la CNIL

La loi de 1978 en son article 10 prévoyait la mise à disposition de la CNIL « de services » dirigés par le président ou sur délégation par un vice-président et placés sous son autorité. Il disposait également que les agents de la Commission étaient nommés par le président ou le vice-président délégué. Le chapitre II du règlement intérieur de la CNIL précisait ces dispositions en mentionnant l'existence d'un secrétaire général chargé de coordonner et d'animer les services.

Soixante-dix personnes travaillent aujourd'hui à la CNIL, réparties en cinq directions :

-  de l'administration et de la communication ;

-  de l'expertise informatique et des contrôles ;

-  des affaires européennes, internationales et de la prospective ;

-  des affaires publiques et sociales ;

-  des affaires économiques ;

auxquelles vient s'ajouter un service des plaintes et des requêtes générales.

Compte tenu des fonctions nouvelles que la Commission aura à assurer, notamment dans le domaine du contrôle a posteriori, le présent article adapte les dispositions de l'article 10 de la loi de 1978. C'est ainsi que le nouvel article 19, inséré par le présent article 3, indique que les services sont dirigés par le président ou le vice-président délégué, lesquels nomment les agents de la CNIL. Il prévoit un dispositif particulier d'habilitation par la Commission pour ceux amenés à participer à la mise en _uvre des missions de vérifications prévues à l'article 44 nouveau de la loi de 1978, qui figure à l'article 6 du présent projet de loi et souligne que cette habilitation « ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès au secret protégé par la loi ».

Article 20

Secret professionnel des membres et agents de la CNIL

Le dernier alinéa de l'article 28 de la directive européenne dispose que « les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès ».

La loi de 1978, dans son article 12, était plus précise puisqu'elle prévoyait cette astreinte au secret professionnel « sur les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions dans les conditions prévues à l'article 413-10 du code pénal (12) ».

Référence était également faite à l'article 226-13 du code pénal qui traite de l'atteinte au secret professionnel en punissant d'un an d'emprisonnement et de 100 000 francs d'amende la révélation d'une information à caractère secret par une personne qui en est dépositaire, « soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire », le même article 12 précisant que cette dernière astreinte s'applique « sans réserve de ce qui est nécessaire à l'établissement du rapport annuel » de la CNIL.

Le présent article reprend intégralement ces dispositions en supprimant simplement la référence à l'article 226-14 du code pénal inutile ici puisqu'elle traite des dérogations à la règle posée par l'article 226-13.

Article 21

Collaboration des personnes contrôlées

Le premier alinéa de cet article reprend le premier alinéa de l'actuel article 13 qui dispose que dans l'exercice de leurs attributions, les membres de la CNIL ne reçoivent d'instruction d'aucune autorité. En revanche, son deuxième alinéa élargit quelque peu les dispositions du deuxième alinéa du même article 13 qui prévoyait que les informaticiens appelés, soit à donner des renseignements à la CNIL soit à témoigner devant elle, « sont déliés en tant que de besoin de leur obligation de discrétion ».

Le présent article indique en effet que, sauf le cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications demandées par la CNIL « sont tenues de fournir les renseignements demandés par celle-ci dans l'exercice de ses missions ».

La Commission a adopté l'article 3 ainsi modifié.

Article 4

(Chapitre IV de la loi n° 78-17 du 6 janvier 1978)

Formalités préalables à la mise en _uvre des traitements -
Régime de la déclaration et régime de l'autorisation

Les craintes particulières que suscitait l'éventualité d'une utilisation attentatoire aux libertés des traitements automatisés d'informations nominatives par les pouvoirs publics ont conduit le législateur à distinguer, dans le cadre de la loi du 6 janvier 1978, deux procédures distinctes en fonction de la nature juridique du responsable des traitements. En effet, selon qu'il s'agit d'une personne privée (article 16 de la loi) ou d'une personne morale investie d'une mission de service public (article 15), le régime préalable à l'entrée en vigueur des traitements est respectivement celui de la simple déclaration ou celui de l'acte réglementaire, pris après avis motivé de la CNIL ou, en cas d'avis défavorable, après avis conforme du Conseil d'Etat.

C'est cette distinction fondée sur un critère « organique » que les articles 18 et 20 de la directive 95/46 CE remettent en cause, en lui substituant un régime juridique reposant sur un critère « matériel » qui différencie les obligations imposées au responsable du traitement en fonction de la nature des données concernées et du risque que leur traitement peut représenter pour les libertés individuelles.

En conséquence, cet article du projet de loi substitue au chapitre IV en vigueur, un nouveau chapitre relatif aux « Formalités préalables à la mise en _uvre des traitements » qui comprend trois sections : la première traite du contenu de la déclaration, qui constitue le régime de droit commun (articles 23 et 24) ; la deuxième concerne le champ d'application et la procédure de l`autorisation préalable applicable à certains types de traitement (articles 25 à 29) ; la troisième regroupe les dispositions communes applicables aux deux régimes (articles 30 et 31).

1. Le régime de droit commun de la déclaration

L'article 22 (nouveau) de la loi du 6 janvier 1978 dispose dans son paragraphe I que, à l'exception de ceux qui relèvent du régime d'autorisation prévu par les articles 25 à 27 (cf. infra), les traitements de données à caractère personnel doivent faire l'objet d'une déclaration auprès de la CNIL.

Cependant, le paragraphe II dispense de toute formalité préalable les traitements ayant pour seul objet la tenue d'un registre qui, en application de dispositions législatives ou réglementaires, est destiné à l'information du public et ouvert à sa consultation. Cette première dérogation, qui n'existait pas dans la loi actuelle, concerne notamment les registres du cadastre ou des hypothèques. Sont également dispensés de déclaration, les traitements mis en _uvre par les organismes à caractère religieux, philosophique, politique ou syndical visés par le 2° du II de l'article 8 (nouveau) de la loi.

Le dernier paragraphe de l'article précise toutefois que le responsable du traitement dispensé de déclaration doit communiquer à toute personne qui en fait la demande les informations relatives à la dénomination et à la finalité du traitement, à l'identité du responsable, aux données traitées, à leurs destinataires et, le cas échéant, aux transferts envisagés à destination d'un pays non membre de l'Union européenne, conformément aux dispositions des 2° à 6° de l'article 31 (nouveau).

S'agissant de la déclaration du traitement, l'article 23 (nouveau) indique, comme le prévoit déjà l'actuel article 16 de la loi du 6 janvier 1978, qu'elle doit comporter l'engagement qu'il satisfait aux exigences de la loi. Désormais susceptible d'être transmise par voie électronique, la déclaration est adressée à la CNIL, qui délivre sans délai un récépissé que le responsable doit avoir reçu afin de pouvoir mettre en _uvre le traitement. On rappellera que le défaut de déclaration est passible des sanctions prévues par l'article 226-16 (nouveau) du code pénal, modifié par l'article 14 du présent projet de loi.

Quant à l'article 24 (nouveau), il dispose, conformément au paragraphe 2 de l'article 18 de la directive et comme le prévoyait déjà l'article 17 actuel de la loi du 6 janvier 1978, que pour les catégories les plus courantes de traitement de données dont la mise en _uvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la CNIL établit et publie des « normes destinées à simplifier l'obligation de déclaration ». Celles-ci doivent notamment préciser les finalités du traitement, ses destinataires, les catégories de personnes ainsi que les données concernées et la durée de leur conservation.

La CNIL a largement fait usage de cette possibilité puisqu'une cinquantaine de normes simplifiées sont aujourd'hui en vigueur : à titre d'exemple, on mentionnera la délibération n° 94-112 du 20 décembre 1994 (JO du 3 janvier 1995) portant adoption d'une norme simplifiée concernant les traitements automatisés d'information nominative mis en _uvre à l'aide d'autocommutateurs téléphoniques desservant des postes téléphoniques mis à la disposition de la clientèle contre facturation.

2. Les traitements soumis à autorisation préalable

La directive 95/46 CE ne définit pas la nature des données dont les traitements doivent être soumis à l'examen préalable de l'autorité de contrôle. En effet, le 1° de l'article 20 de la directive dispose que les Etats membres « précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en _uvre ». La détermination de ces catégories de fichiers a donc été laissée à l'appréciation du Gouvernement français qui a largement tenu compte des propositions contenues dans le rapport de M. Guy Braibant (13), mais également des observations émises par la CNIL dans le cadre de son avis (14) sur le présent projet de loi.

Le dispositif proposé par l'article 25 (nouveau) de la loi du 6 janvier 1978 distingue huit catégories de traitements qui devront être soumis à l'autorisation préalable de la CNIL en se fondant, d'une part, sur la nature des données concernées et, d'autre part, sur la finalité des traitements.

Ainsi, à l'exclusion de ceux mentionnés aux articles 26 et 27, susceptibles de mettre en cause la souveraineté nationale, comportant des éléments d'identification particuliers ou d'une exceptionnelle ampleur, ne peuvent être mis en _uvre qu'après autorisation de la CNIL les traitements :

- des données dites « sensibles » définies à l'article 8 (nouveau) de la loi lorsque le consentement exprès de la personne n'est pas requis en raison du caractère « d'intérêt public » du traitement ;

- des données génétiques, à l'exception de ceux mis en _uvre par des personnels de santé et qui répondent à des fins médicales, qu'il s'agisse de la médecine préventive, des diagnostiques ou des soins ;

- des données portant sur les infractions, condamnations ou mesures de sûreté, à l'exception de ceux mis en ouvre par les auxiliaires de justice ;

- des données comportant le numéro d'inscription des personnes (NIR) au répertoire national d'identification des personnes physiques ou qui requièrent la consultation de ce répertoire sans inclure le numéro d'inscription ainsi que de ceux qui portent sur la totalité ou la presque totalité de la population française ;

- des données comportant des appréciations sur les difficultés sociales des personnes ;

- des données biométriques nécessaires au contrôle de l'identité des personnes, ces deux dernières catégories.

On observera que ces deux dernières catégories ont été introduites dans le projet à la suite des observations présentées par la CNIL.

Par ailleurs certains traitements sont également soumis à l'autorisation préalable de la CNIL en raison de leur finalité, il s'agit de ceux :

- qui ont pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, dès lors qu'elles n'en sont exclues par aucune disposition légale ou réglementaire ;

- qui ont pour objet de procéder à l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités d'intérêts publics sont différentes ou qui ont pour objet l'interconnexion de fichiers relevant d'autres personnes morales et dont les finalités principales sont différentes.

On observera que subsiste ici une différenciation entre les fichiers selon que leur responsable est une personne morale de droit public ou de droit privé.

Bien que le projet de loi ne le précise, on doit souligner que les autorisations délivrées par la CNIL constituent des actes administratifs, relevant donc pour leur contentieux éventuel du Conseil d'Etat.

Dans le souci de donner plus de clarté au texte de la loi du 6 janvier 1978 modifiée, en regroupant l'ensemble des règles relatives à l'autorisation préalable, la Commission a adopté un amendement présenté par le rapporteur reprenant, dans cet article, les dispositions figurant à l'article 28 (nouveau) prévoyant que la CNIL se prononce dans un délai de deux mois, renouvelable une fois, l'absence de décision étant considérée comme un rejet (amendement n° 26).

3. Les régimes spécifiques d'autorisation préalable

Aux termes des dispositions de l'actuel article 15 de la loi du 6 janvier 1978, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'une autre personne morale de droit public ou d'une personne morale de droit privé gérant un service public doivent être décidés par un acte réglementaire, pris après avis motivé de la CNIL. De surcroît, si cet avis est défavorable, il ne peut être pris ou approuvé que par un décret pris sur avis conforme du Conseil d'Etat.

En outre, le dernier alinéa de l'article 31 de la loi prévoit qu'il ne peut être dérogé au principe de l'interdiction de traitement des données sensibles faisant apparaître l'origine raciale, ou les opinions politiques des personnes que pour des motifs d'intérêt public et par décret en Conseil d'Etat pris après l'avis conforme de la CNIL.

Le projet de loi définit également des procédures d'autorisation particulières pour les traitements de données qui apparaissent le plus susceptibles de porter atteinte aux droits fondamentaux des citoyens.

Bien que le régime nouveau de l'autorisation préalable ne se fonde plus sur le critère « organique » du bénéficiaire, l'article 26 (nouveau) n'en maintient pas moins un régime spécifique, qui ne découle pas strictement des exigences de la directive 95/46, pour les traitements de données à caractère personnel mis en _uvre au profit de l'Etat qui relèvent de sa souveraineté parce qu'ils concernent la sûreté de l'Etat, la défense ou la sécurité publique ou qu'ils ont pour objet la prévention, la recherche ou la répression d'infractions.

Le paragraphe I dispose qu'ils doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL.

Cependant, en application du paragraphe II, ils ne peuvent être autorisés que par décret en Conseil d'Etat pris après avis motivé de la CNIL qui doit être publié avec le décret lorsque ces traitements portent sur des données « sensibles » mentionnées au I de l'article 8 (nouveau) de la loi, c'est-à-dire font référence à l'origine raciale ou aux opinions politiques ou religieuses des personnes concernées.

On observera que la procédure actuelle de l'avis conforme de la CNIL prévue par le dernier alinéa de l'article 31 de la loi en vigueur n'est pas reprise. Faut-il le regretter ? Peut-on craindre que la protection des droits des personnes concernées par certains traitements de données s'en trouve réduite ? Ce n'est pas l'analyse de votre rapporteur ni celle de la CNIL qui, dans son avis sur cette disposition, a estimé que « la publication de l'avis rendu par la CNIL, paraît de nature à assurer le maintien d'un haut niveau de garanties et, en tout état de cause, à préserver la portée qui doit s'attacher aux interventions d'une autorité administrative indépendante à l'égard de traitements particulièrement sensibles. »

Corrélativement, la procédure qui permettait au Gouvernement de passer outre l'avis défavorable de la CNIL par un décret pris sur avis conforme du Conseil d'Etat est également supprimée. En tout état de cause elle avait montré ses limites comme l'a clairement souligné le rapport de M. Guy Braibant au Premier ministre. En effet, dans l'hypothèse d'un avis défavorable de la CNIL, « les gouvernements hésitent à faire en quelque sorte " appel " de la CNIL au Conseil d'Etat et à se trouver ainsi enfermés entre deux avis d'autorités qui dans les deux cas et de façon inhabituelle dans notre droit, le lient ; ils préfèrent continuer à négocier avec la CNIL pour aboutir à un compromis hypothétique (15) ».

Par ailleurs, le dernier paragraphe de l'article 26 (nouveau), qui reprend les dispositions du dernier alinéa de l'actuel article 20, prévoit qu'un décret en Conseil d'Etat peut dispenser de publication l'acte réglementaire qui autorise les traitements relevant de la souveraineté nationale. Le dispositif proposé introduit toutefois davantage de publicité en la matière, puisqu'il prévoit que, concomitamment à la publication du décret autorisant la dispense de publication de l'acte réglementaire, « le sens de l'avis émis » par la CNIL sera publié. Compte tenu de la nature des données et des traitements en cause, cette mesure est appréciable car elle va dans le sens d'une plus grande transparence de l'Etat dans l'exercice de ses missions régaliennes.

Les modalités précises de la publication de l'avis de la CNIL ne sont pas précisées. Outre le nécessaire recours au Journal officiel, on ne peut que souhaiter l'utilisation de nouveaux moyens de diffusion et de communication, comme la mise en ligne par exemple.

L'article 27 (nouveau) dans son paragraphe I, qui reprend sur ce point les dispositions de l'actuel article 18 de la loi, prévoit que les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire d'identification des personnes physiques doivent être autorisés par décret en Conseil d'Etat après avis motivé et publié de la CNIL. Il en va de même des traitements concernant la totalité ou la quasi-totalité de la population française.

En revanche, en application des dispositions du paragraphe II, sont autorisés par simple arrêté, après avis motivé et publié de la CNIL, les traitements qui requièrent la consultation du répertoire national d'identification des personnes physiques sans inclure celle du numéro d'inscription des personnes ou, même lorsqu'ils incluent la consultation du NIR, les traitements qui ne comprennent pas de données dites « sensibles » , portant sur les origines raciales ou les opinions politiques ou religieuses et n'ont pas pour objet une interconnexion entre des fichiers ayant des fins correspondant à des intérêts publics différents, dès lors qu'ils sont mis en _uvre pour la mise à jour ou le contrôle de l'exactitude de données permettant de déterminer les droits des administrés, d'établir le montant d'une quelconque imposition ou de tenir des statistiques. A titre d'illustration, les organismes sociaux délivrant des prestations familiales ont besoin, pour l'exercice de leurs missions, de connaître le NIR des allocataires éventuels et de posséder des données relatives, notamment, à l'évolution de leurs revenus ainsi qu'au nombre de personnes dont ils ont la charge.

L'article 28 (nouveau) de la loi du 6 janvier 1978 précise que, pour rendre ses avis sur les traitements de données qui lui sont soumis, la CNIL dispose d'un délai de deux mois à compter de la réception de la demande, qui peut être renouvelé une fois sur décision du président de la commission lorsque la complexité du dossier le justifie, comme le prévoit déjà le troisième alinéa de l'article 15 en vigueur. Toujours conformément à ces dernières dispositions, en l'absence d'avis à l'expiration des délais impartis, celui-ci est réputé favorable.

En revanche, lorsque le traitement relève des catégories soumises à la procédure de l'autorisation préalable, le défaut de réponse de la CNIL dans les délais prévus vaut rejet de la demande. La Commission a adopté deux amendements présentés par le rapporteur (amendements nos 27 et 28) supprimant ces dispositions reprises par l'amendement n° 26 à l'article 25 (nouveau).

L'article 29 (nouveau) de la loi appelle peu de commentaires puisqu'il se limite à préciser les informations qui doivent figurer dans les actes autorisant les traitements dits de « souveraineté », reprenant sur ce point les dispositions figurant dans le quatrième alinéa de l'article 20 de la loi du 6 janvier 1978. Il s'agit, notamment, du service auprès duquel s'exerce le droit d'accès, des catégories de données concernées, des destinataires ainsi que de l'existence d'une dérogation au droit d'information de la personne concernée dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

4 Les règles communes à la déclaration et à l'autorisation préalables

La section 3 de ce chapitre IV, enfin, regroupe les dispositions communes concernant le régime de la déclaration comme les régimes d'autorisation et comprend les articles 30 et 31.

L'article 30 (nouveau) reprend, pour l'essentiel, les dispositions de l'actuel article 19 de la loi du 6 janvier 1978 et a pour objet de préciser les informations que doivent contenir les déclarations, demandes d'autorisation et demandes d'avis adressées à la CNIL. On rappellera qu'il s'agit : de l'identité et de l'adresse du responsable du traitement ; de la finalité de celui-ci ; des éventuelles interconnexions ; de la nature des données traitées ; du destinataire habilité à les recevoir ; des dispositions prises pour assurer la sécurité des traitements ; le cas échéant, enfin, des transferts envisagés à destination d'un Etat non-membre de la Communauté européenne.

Afin que tout citoyen puisse avoir connaissance de l'ensemble des traitements de données à caractère personnel existants, à l'exception de ceux de « souveraineté » créés par un acte réglementaire dont la publication n'est pas autorisée en application du paragraphe III de l'article 26, l'article 31 (nouveau) de la loi du 6 janvier 1978 prévoit que la CNIL doit mettre leur liste à la disposition du public. Celle liste doit préciser : l'acte décidant de la création du traitement ou sa date de déclaration, sa dénomination et sa finalité, les catégories de données concernées, la personne auprès de laquelle s'exerce le droit d'accès, ce qui est actuellement prévu par l'article 22 de la loi, mais également l'identité et l'adresse du responsable du traitement ainsi que, le cas échéant, les transferts de données à destination d'un Etat non-membre de la Communauté européenne.

La Commission a adopté l'article 4 ainsi modifié.

Article 5

(Chapitre V de la loi n° 78-17 du 6 janvier 1978)

Obligations des responsables des traitements

et droits des personnes concernées

Le chapitre V actuel de la loi du 6 janvier 1978 est consacré à l'exercice du droit d'accès des personnes à l'égard des traitements comportants des informations à caractère nominatif les concernant. L'article 5 du projet de loi le modifie substantiellement puisqu'il doit désormais regrouper les dispositions relatives aux obligations des responsables de traitements, qui font l'objet d'une première section comprenant les articles 32 à 37 nouveaux, ainsi que celles définissant les droits des personnes concernées par un traitement de données à caractère personnel, figurant dans une deuxième section, qui comprend les articles 38 à 42 nouveaux. L'article 40 actuel, qui précise que le droit d'accès à des informations à caractère médical ne peut être exercé que par l'intermédiaire d'un médecin, n'est pas modifié mais devient l'article 43.

1. L'obligation d'information

L'article 32 (nouveau) a pour objet de transposer en droit interne les dispositions des articles 10 et 11 de la directive 95/46 CE. Il propose une nouvelle rédaction de l'actuel article 27 de la loi du 6 janvier 1978 relatif au droit d'information des personnes.

Le paragraphe I reprend les dispositions de l'actuel article 27 et prévoit que la personne auprès de laquelle sont recueillies les données doit être informée : de l'identité du responsable du traitement ; de la finalité de ce dernier ; du caractère obligatoire ou facultatif des réponses ; des conséquences éventuelles à son égard d'un défaut de réponse ; de l'identité du destinataire du traitement ; de l'ensemble de ses droits, enfin, qu'il s'agisse du droit d'accès, d'opposition ou de rectification, qui sont définis par la section 2 du présent article. On observera, toutefois, que la personne doit être informée de « l'identité » du destinataire alors que lorsque celle-ci fait usage de son droit d'accès aux données, en application de l'article 39 nouveau, elle peut avoir communication des « catégories » de destinataires. Ces divergences ne sont pas satisfaisantes. Dans le souci d'harmoniser les différentes rédactions retenues par le présent projet, la Commission a donc adopté un amendement du rapporteur prévoyant que la personne auprès de laquelle sont recueillies les données est informée des « catégories » de destinataires (amendement n° 29).

Puis, elle a été saisie d'un amendement de M. Emile Blessig subordonnant l'utilisation sans consentement préalable des réseaux de communication électronique pour stocker ou obtenir un accès à des informations situées dans l'équipement terminal d'un abonné ou d'un utilisateur, notamment par la technique dite des « cookies », à l'information explicite des personnes concernées. Convenant que cet amendement abordait un véritable problème, dont l'acuité était renforcée par le développement des réseaux numériques, le rapporteur a indiqué qu'un projet de directive communautaire en cours d'élaboration prévoyait d'interdire le recours à ce type de technique de collecte de données sans consentement exprès des personnes concernées. Il a observé que le dispositif proposé était moins protecteur, puisqu'il maintenait la possibilité de recourir à de telles pratiques sans consentement des personnes concernées, sous la seule réserve qu'elles en soient préalablement informées. Jugeant comme le rapporteur que le dispositif proposé par cet amendement n'était pas suffisamment protecteur, M. Alain Vidalies a néanmoins considéré qu'il serait opportun de légiférer en cette matière dans le cadre du présent projet de loi. Le rapporteur ayant indiqué qu'il envisageait de proposer un dispositif alternatif avant la discussion en séance publique, la Commission a rejeté cet amendement.

Le paragraphe II étend les obligations prévues par le paragraphe I aux cas de collecte « indirecte », ce qui apparaît plus protecteur pour les personnes concernées. En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel qui sont ainsi recueillies de façon indirecte par le bénéficiaire sans que les personnes concernées n'en soit informées.

Toutefois, trois exceptions à cette nouvelle obligation sont prévues par le paragraphe II et le paragraphe III :

- lorsque l'information de la personne concernée se révèle impossible ou exigerait des efforts disproportionnés par rapport à l'intérêt de la démarche ; cette rédaction, qui relève du bon sens mais semble quelque peu imprécise, reprend les termes du paragraphe 2 de l'article 11 de la directive et introduit ainsi une notion de proportionnalité ; il appartiendra, le cas échéant, à la jurisprudence d'en préciser le contenu ;

- lorsque le traitement est nécessaire à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives ;

- lorsque les données recueillies sont utilisées au profit d'un traitement dit « de souveraineté » mis en _uvre pour l'Etat - qui intéresse la sûreté de l'Etat, la défense ou la sécurité publique ou qui a pour objet l'exécution de condamnations pénales ou de mesures de sûreté - dès lors qu'une telle limitation du droit à l'information est nécessaire au respect des fins poursuivies par ces traitements.

Enfin, le paragraphe IV de l'article 32 (nouveau) introduit une dérogation générale au droit d'information de la personne, quelle que soit la forme, directe ou indirecte, de la collecte des données la concernant, lorsque les traitements ont pour objet la prévention, la recherche ou la poursuite d'infractions pénales.

L'article 33 (nouveau) introduit un régime spécifique en matière de collecte de données à caractère personnel pour les prestataires de service de certification électronique des signatures électroniques.

En effet, si la loi n° 2000-230 du 13 mars 2000 relative à la signature électronique a, pour l'essentiel, assuré la transposition en droit interne des dispositions de la directive 1999/93 du 13 décembre 1999, il reste cependant à effectuer celle du paragraphe 2 de son article 8 concernant les règles applicables à la collecte de données. Plus exigeant que le régime droit commun résultant de la directive 95/46 CE, ce dispositif impose aux prestataires des services de certification de ne recueillir les données à caractère personnel nécessaires à la délivrance des certificats que directement auprès de la personne concernée ou avec son consentement exprès. Il précise, en outre, que les données recueillies ne peuvent être utilisées à d'autres fins que celles pour lesquelles elles l'ont été. L'article 33 reprend donc ces dispositions dans la loi du 6 janvier 1978.

2. L'obligation de sécurité

L'actuel article 29 de la loi du 6 janvier 1978 prévoit déjà que la personne qui ordonne ou effectue un traitement d'informations nominatives « s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ». Ces dispositions, similaires à celles figurant au paragraphe 1 de l'article 17 de la directive 95/46 CE, sont reprises par l'article 34 (nouveau), qui ajoute que des décrets, pris après avis de la CNIL, peuvent fixer les prescriptions techniques requises en la matière.

Par ailleurs, les paragraphes 2 à 4 de l'article 17 de la directive, tendent à renforcer les garanties en matière de sous-traitance afin, notamment, de tenir compte de l'externalisation des tâches de saisine chez un sous-traitant qui peut être localisé dans un pays étranger. Ces dispositions sont transposées par l'article 35 (nouveau), sur lequel la Commission a adopté un amendement d'ordre rédactionnel du rapporteur (amendement n° 30).

Cet article précise ainsi que les données à caractère personnel ne peuvent faire l'objet d'un traitement par un sous-traitant que sur instruction du responsable et que le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en _uvre des mesures de sécurité et confidentialité » mentionnées à l'article 34 (nouveau). De surcroît, et il s'agit là d'une disposition essentielle, les garanties offertes par le sous-traitant ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Tout manquement de sa part en ce domaine le rend passible des sanctions prévues par l'article 226-17 nouveau du code pénal, modifié par l'article 14 du projet de loi.

Enfin, sous réserve de quelques modifications d'ordre rédactionnel, les articles 36 et 37 (nouveaux) reprennent les dispositions des actuels articles 28 et 29-1 de la loi du 6 janvier 1978 qui prévoient respectivement : que les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire à leur traitement - ce que l'on qualifie parfois de « droit à l'oubli » - que pour des motifs historiques, statistiques ou scientifiques et dans les conditions prévues par l'article 4-1 de la loi du 3 janvier 1979 sur les archives ; que les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions relatives à la consultation des documents résultant des lois du 17 juillet 1978 sur l'amélioration des relations entre l'administration et le public et du 3 janvier 1979 sur les archives.

3. Le droit d'opposition, d'accès et de rectification

« Toute personne a le droit de s'opposer, pour des raisons légitimes, à ce que les informations nominatives la concernant fassent l'objet d'un traitement ». Ces dispositions de l'actuel article 26 de la loi « informatique et libertés » sont reprises, presque littéralement, par l'article 38 (nouveau), qui les complète en prévoyant que la personne concernée a également le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection commerciale, conformément aux exigences du b) de l'article 14 de la directive 95/46 CE. On rappellera ici que pour le législateur de 1978, le droit d'opposition constituait la contrepartie de la liberté de collecte des informations nominatives, sous réserve qu'elles soient recueillies de manière loyale.

La Commission a rejeté un amendement de M. Emile Blessig tendant à permettre à toute personne physique de s'opposer de façon discrétionnaire, et non pour des « motifs légitimes » comme le prévoit le projet de loi, à ce que des données la concernant fassent l'objet d'un traitement, le rapporteur ayant souligné que ce dispositif serait contraire aux termes de la directive, qui subordonne l'exercice du droit d'opposition à l'existence de raisons « prépondérantes et légitimes ».

Toutefois, comme le précise le dernier alinéa de l'article 38, le droit d'opposition ne peut être exercé quand le traitement répond à une exigence légale ou lorsque son application a été écartée par une disposition expresse de l'acte autorisant le traitement, ce dernier cas visant les traitements dits « de souveraineté », autorisés par un acte réglementaire, pris après avis de la CNIL, conformément aux dispositions des articles 26 et 27 nouveaux de la loi du 6 janvier 1978.

S'agissant du droit d'accès de la personne aux traitements et aux données à caractère personnel la concernant, le dispositif de l'article 39 (nouveau) est sensiblement équivalent à celui prévue par l'article 35 en vigueur. Ainsi, son paragraphe I prévoit que toute personne physique justifiant de son identité a le droit d'interroger le responsable du traitement afin de savoir si elle est concernée par celui-ci, de connaître les catégories de données traitées, la finalité de leur traitement ainsi que la logique qui le sous-tend. De surcroît, la personne qui le requiert peut obtenir communication, sous une forme accessible, des données la concernant.

Il convient néanmoins de s'assurer que les informations communiquées à la personne concernée ne portent pas atteinte aux droits d'auteur. C'est pourquoi, la Commission a adopté un amendement du rapporteur précisant que le droit d'accès des personnes concernées aux données ne doit pas porter atteinte au droit d'auteur et, notamment, aux droits des créateurs de logiciels et des producteurs de bases de données (amendement n° 31).

S'il existe un risque de dissimulation ou de disparition des données, le juge compétent, administratif ou judiciaire, peut ordonner, le cas échéant selon la procédure du référé, toute mesure de nature à éviter de tels agissements. Toutefois, compte tenu de la facilité avec laquelle des données peuvent être dissimulées, il convient de s'assurer de la rapidité de l'intervention du juge. A cet égard, la procédure des ordonnances sur requête, prévue par les 493 à 498 du nouveau code de procédure civile, semble préférable à celle du référé puisqu'elle permet, à la différence de celle-ci, au juge saisi de prendre une décision provisoire « rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse ». C'est pourquoi la Commission a adopté un amendement présenté par M. Jean Codognès substituant la procédure d'ordonnance sur requête à celle du référé (amendement n° 32). M. Jean Codognès a, par ailleurs, retiré un amendement prévoyant que le responsable du traitement est tenu de conserver les données concernant une personne faisant usage de son droit d'accès pendant les trois mois suivant la réception de la demande, le rapporteur, favorable à cet amendement, ayant toutefois jugé qu'il était formellement perfectible.

Cependant, le paragraphe II précise que le responsable du traitement peut ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique. Cette énumération peut paraître trop restrictive puisqu'une demande pourrait également être abusive en raison de son étendue, parce qu'elle porterait, par exemple, sur une période de 15 ans. C'est pourquoi la Commission a adopté un amendement du rapporteur permettant au responsable d'un traitement de s'opposer à toutes demandes d'accès manifestement abusives, quelles qu'en soient les motifs (amendement n° 33). Elle a cependant adopté un amendement de M. Jean Codognès prévoyant, en cas de contestation du caractère manifestement abusif des demandes, que la charge de la preuve incombe au responsable du traitement et non à l'auteur des demandes (amendement n° 34).

Dès lors qu'un fichier comporte des données à caractère personnel, il est essentiel de veiller à leur exactitude. L'article 40 (nouveau), qui reprend sur ce point les dispositions des actuels articles 36 et 38, tout en transposant les exigences résultant des paragraphes 2 et 3 de l'article 12de la directive prévoit que toute personne doit pouvoir obtenir la rectification des données inexactes, incomplètes, équivoques ou périmées la concernant, la charge de la preuve incombant, en cas de contestation, au responsable du traitement. De surcroît, le responsable du traitement, saisi par l'intéressé, doit justifier, sans frais pour ce dernier, qu'il a procédé aux modifications requises. En cas de transmission des données à un tiers, le responsable du traitement doit également accomplir les diligences utiles afin de lui notifier les modifications apportées aux données précédemment transmises. La Commission a adopté sur ce point un amendement d'ordre rédactionnel du rapporteur (amendement n° 35).

4. Le « droit d'accès indirect »

Il est évident qu'en matière de traitement de données à caractère personnel intéressant la défense de l'Etat, la sûreté ou la sécurité publiques, le régime général du droit d'accès et de rectification qui vient d'être décrit ne saurait être applicable.

C'est pourquoi l'actuel article 39 de la loi du 6 janvier 1978 a mis en place une procédure « d'accès indirect » aux données, afin de concilier les libertés individuelles et la sûreté publique. Ainsi, les demandes d'accès aux traitements intéressant la « souveraineté » de l'Etat sont adressées par le requérant à la CNIL, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes les investigations utiles et faire procéder aux modifications nécessaires. Puis, ainsi que le prévoit le dernier alinéa de cet article, « il est notifié au requérant qu'il a été procédé aux vérifications ».

Ces dispositions, reprises par l'article 41 (nouveau), sont néanmoins modifiées dans le souci de renforcer les garanties offertes aux personnes concernées par des données figurant dans un fichier « protégé ». En effet, selon le dispositif en vigueur, l'information susceptible de leur être communiquée est limitée, puisque la CNIL ne peut que leur indiquer que les vérifications ont été effectuées, sans autre précision. Or, même en ces matières, la consultation par les intéressés de tout ou partie des données les concernant ne met pas nécessairement en danger les intérêts vitaux de l'Etat. A cet égard, la CNIL a rappelé, dans son avis sur le présent projet de loi, que le décret du 14 octobre 1991 relatif aux fichiers des renseignements généraux permet, dans certaines circonstances et sous certaines conditions, au titulaire du droit d'accès d'avoir communication de tout ou partie de son dossier.

C'est pourquoi, conformément au paragraphe 2 de l'article 13 de la directive 95/46 CE, le deuxième alinéa de l'article 41 (nouveau) permet une avancée en matière de droit d'accès, puisqu'il dispose que, lorsque la CNIL constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat de leur rectification, « ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant. » Dans les autres cas, la CNIL informe le requérant qu'il a été procédé aux vérifications.

Enfin, l'article 42 (nouveau) de la loi du 6 janvier 1978 rend applicable la procédure prévue par l'article 41 aux traitements mis en _uvre par les administrations publiques et les personnes privées chargées d'une mission de service public, « qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer les impositions si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27 ». En ce domaine également, il renforce donc le droit d'accès des personnes aux traitements les concernant.

La Commission a adopté l'article 5 ainsi modifié.

Article 6

(Chapitre VI de la loi n° 78-17 du 6 janvier 1978)

Pouvoirs de contrôle sur place et sur pièces de la CNIL

Afin de garantir que les traitements de données à caractère personnel ne mettent pas en danger les libertés individuelles, notamment par des man_uvres de dissimulation, des déclarations incomplètes, voire l'absence de déclaration de fichiers, il importe que l'autorité de contrôle dispose d'un pouvoir de vérifications sur place et sur pièces. C'est ce que prévoit le premier alinéa du paragraphe 3° de l'article 28 de la directive 95/46 CE, repris par cet article qui insère un chapitre VI dans la loi du 6 janvier 1978, intitulé « Le contrôle de la mise en _uvre des traitements » et comprenant un unique article 44 (nouveau).

On rappellera que le 2° de l'actuel article 21 prévoit déjà que, pour l'exercice de sa mission de contrôle, la CNIL peut charger un ou plusieurs de ses membres ou de ses agents de « procéder à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ». Ces dispositions sont applicables à tous les types de traitements, y compris ceux dits de souveraineté, le dernier alinéa du même article précisant, en outre, que les ministres et autorités responsables des traitements contrôlés ne peuvent s'opposer à l'action de la CNIL et « doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». Selon le règlement intérieur de la CNIL, l'autorité concernée est prévenue avant que le contrôle ne soit effectué. L'article 11 permet, par ailleurs, à la commission de faire appel à des membres de l'autorité judiciaire pour procéder à ces contrôles, tandis que l'article 13 - repris à l'article 21 (nouveau) par l'article 3 du projet de loi - lui permet de délier de l'obligation de confidentialité les informaticiens appelés à lui fournir des informations

L'article 44 (nouveau) précise les modalités d'exercice du pouvoir général de contrôle sur place et sur pièces reconnu à la CNIL.

Ainsi, le paragraphe I prévoit que les membres ou les agents habilités de la CNIL ont accès aux lieux, installations ou établissements servant à la mise en _uvre d'un traitement de données à caractère personnel, dès lors qu'ils sont à usage professionnel « à l'exclusion des parties de ceux-ci affectés au domicile privé ». Dans son avis sur le présent projet de loi, la CNIL a estimé que cette rédaction « pourrait faire échapper de nombreux fichiers à une possibilité de contrôle : fichiers d'associations, fichiers de starts-up, fichiers des professions libérales ou d'entrepreneurs individuels ». Cependant, il ne semble pas possible de proposer au législateur d'aller au-delà. Il existe, en effet, une protection constitutionnel de la vie privée qui couvre le domicile ; ainsi, dans sa décision n° 87-240 DC du 19 janvier 1988 sur la Commission des opérations de bourse, le Conseil constitutionnel a précisé que ses agents pouvaient avoir accès à tous les locaux professionnels « à condition que ceux-ci soient exclusivement consacrés à cet usage ». A cet égard, la rédaction proposée par le présent article constitue déjà une avancée puisqu'un local « mixte », à usage professionnel mais situé dans un domicile privé, pourrait être contrôlé par les agents de la CNIL, seuls les locaux exclusivement privatifs demeurant hors du champ de leur compétence.

En outre, le même paragraphe précise que l'accès des membres de la CNIL ou de ses agents aux locaux susceptibles d'être contrôlés ne peut avoir lieu que de « 6 heures à 21 heures ». Cet encadrement des horaires des investigations sur place, inexistant dans le droit en vigueur, s'inspire des règles applicables aux perquisitions judiciaires des domiciles privés, prévues par l'article 59 du code de procédure pénale. Les mêmes règles s'imposent à d'autres autorités administratives indépendantes, comme la Commission des opérations de bourse dans le cadre de la mission de contrôle confiée à ses membres, en application de l'article L. 621-12 du code monétaire et financier.

Enfin, le dernier alinéa de ce même paragraphe dispose que « le procureur de la République territorialement compétent est préalablement informé ». La CNIL s'est étonnée, dans son avis sur le présent projet de loi, de cette obligation jugeant qu'elle « paraît dépourvue de toute utilité et de nature à renforcer l'idée d'un " contrôle sanction " alors même que les contrôles sur place sont appelés à devenir le mode d'intervention ordinaire de la Commission. » Cette disposition peu contraignante semble surtout répondre à un souci légitime de bonne administration de la justice, en favorisant l'information du représentant du ministère public, en charge de l'action publique. Il est évident que si une plainte est déposée par un particulier contre le responsable d'un traitement de données à caractère personnel, il peut être utile au procureur de la République de savoir que les locaux professionnels de ce responsable font, par ailleurs, l'objet d'un contrôle sur place de la CNIL.

Par ailleurs, le paragraphe II de l'article 44 (nouveau) de la loi du 6 janvier 1978 prévoit qu'en cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance, ce qui est parfaitement logique s'agissant d'un contrôle mis en _uvre par une autorité administrative. Le magistrat compétent doit être saisi par une requête du président de la CNIL et statue par une ordonnance motivée, selon la procédure du référé prévue par les articles 493 à 498 du nouveau code de procédure civile. Il convient de préciser que l'application de ces dispositions ne fait pas obstacle à la mise en _uvre de sanctions pénales au titre du délit d'entrave de l'action de la CNIL, prévu par l'article 51 (nouveau) figurant à l'article 8 du présent projet.

Le paragraphe III prévoit que les membres de la CNIL et ses agents peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, recueillir tout renseignement utile, soit sur place soit par convocation. Cependant, il précise que seul un médecin peut requérir communication de données médicales individuelles incluses dans un traitement. Cette exigence est susceptible de soulever quelques difficultés pratiques. Dans son avis sur le présent projet de loi, la CNIL estime, en effet, que la portée de cette disposition « est très large dans la mesure où elle ne vise pas uniquement les traitements mis en _uvre par les cabinets médicaux mais tous les traitements qui comporterait des données médicales, tels que les fichiers de caisse de sécurité sociale (placés sous la responsabilité d'un médecin conseil mais traités par des statisticiens ou des agents de contrôle n'ayant pas la qualité de médecin), les fichiers médicaux ou des risques aggravés « vie » des sociétés d'assurance (accessibles aux actuaires et même aux banquiers), les fichiers de nombreuses associations d'aide aux malades. ».

Outre un amendement de précision (amendement n° 36), la Commission a donc adopté un amendement du rapporteur précisant que parmi les données médicales, seules celles figurant dans des traitements mis en _uvre par un membre d'une profession de santé, nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de services de santé, doivent être communiquées exclusivement à un médecin et non directement aux membres de la CNIL effectuant un contrôle sur place, M. Alain Vidalies ayant souligné que la règle du secret médical lui avait était fréquemment opposée dans le cadre des missions de contrôle qu'il a été amené à effectuer en tant que membre de la CNIL (amendement n° 37).

Enfin, et il s'agit d'une disposition nouvelle importante pour la garantie des droits de la défense, le dernier alinéa de l'article 44 dispose que les visites et vérifications effectuées par les membres de la CNIL doivent faire l'objet d'un procès verbal dressé contradictoirement.

La Commission a adopté l'article 6 ainsi modifié.

Article 7

(Chapitre VII de la loi n° 78-17 du 6 janvier 1978)

Pouvoirs de sanction administrative de la CNIL

La suppression du contrôle a priori par la CNIL des traitements de données à caractère personnel, à l'exception de ceux présentant un risque particulier pour les libertés, conduit logiquement à renforcer ses moyens d'intervention a posteriori et donc à accroître son pouvoir de sanction. Tel est l'objet de cet qui insère, à cet effet, un chapitre VII dans la loi du 6 janvier 1978 intitulé « Sanctions infligées par la commission nationale de l'informatique et des libertés » comprenant les articles 45 à 49 (nouveaux).

Ce chapitre nouveau transpose l'essentiel des dispositions du paragraphe 3 de l'article 28 de la directive 95/46 CE et y ajoute un dispositif de sanction pécuniaire au profit de l'autorité de contrôle qui n'était pas requis par la directive mais est inspiré des recommandations formulées par M. Guy Braibant dans son rapport au Premier ministre.

1. Le pouvoir de sanction administrative

En application du 4° de l'actuel article 21, la CNIL ne peut qu'adresser des avertissements aux responsables de traitement qui contreviennent aux obligations légales et dénoncer au parquet les infractions dont elle a connaissance, conformément aux dispositions de l'article 40 du code de procédure pénale. Toutefois, en cas de circonstances exceptionnelles, la commission peut prescrire « des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations », aux termes du 3° de l'article 21 de la loi du 6 janvier 1978.

Or, on doit rappeler que le Conseil constitutionnel a admis, dans sa décision n° 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse (COB), la dévolution d'un pouvoir de sanction à une autorité administrative indépendante « dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté, et d'autre part, que l'exercice du pouvoir de sanction est assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis ».

Le projet de loi tire toutes les conséquences de cette décision en élargissant le pouvoir de sanction de la CNIL, tout en respectant les limites ainsi fixées.

En effet, outre l'avertissement à l'égard du responsable du traitement qui ne respecte pas les obligations légales, l'article 45 (nouveau) donne à la CNIL pouvoir de mettre en demeure le responsable de faire cesser le manquement constaté et, après une procédure contradictoire, de lui enjoindre la cessation du traitement s'il s'agit d'un traitement soumis au régime de la déclaration préalable en application de l'article 22 (nouveau) ou de retirer l'autorisation lorsqu'il s'agit d'un traitement soumis au régime de l'autorisation préalable en application des dispositions de l'article 25 (nouveau).

En cas d'urgence et de menaces pour les libertés, la commission peut, toujours, après une procédure contradictoire, décider l'interruption de la mise en _uvre du traitement ou le verrouillage de certaines données traitées, pour une durée maximale de trois mois, sans pouvoir, toutefois, procéder à leur destruction contrairement à ce que prévoit la loi en vigueur. Il est vrai que cette dernière possibilité n'a jamais été mise en _uvre par la CNIL, mais c'est sans doute parce que son caractère dissuasif est en lui-même suffisant, de sorte qu'elle a précisément vocation à ne pas être appliquée. Elle n'en reste donc pas moins utile et c'est pourquoi, suivant son rapporteur, la Commission a adopté un amendement ayant pour objet de la rétablir (amendement n° 38).

S'agissant des traitements dits de « souveraineté », visés à l'article 26 (nouveau), dans une même situation d'urgence, la commission peut saisir le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée. En tout état de cause, il doit faire connaître à la commission et rendre publiques dans un délai de 15 jours après sa saisine, les mesures qu'il a prises.

Par ailleurs, et il s'agit d'une innovation majeure, le 1° de l'article 45 (nouveau) prévoit que la CNIL peut prononcer une sanction pécuniaire à l'encontre du responsable du traitement qui ne respecte pas ses obligations légales, quelle que soit la nature du traitement concerné. On rappellera que d'autres autorités administratives indépendantes bénéficient déjà d'un pouvoir de sanction pécuniaire ; c'est le cas de la Commission des opérations de bourse, du Conseil de la concurrence ou du Conseil supérieur de l'audiovisuel.

Quant au montant de l'amende, l'article 47 (nouveau) dispose qu'il doit être « proportionné à la gravité des manquements commis et aux avantages » qui en ont été tirés ; la nature des avantages obtenus par la personne fautive n'étant pas précisée, la CNIL ne sera pas limitée à la seule prise en compte de bénéfices financiers. L'article 47 précise cependant que le montant de la sanction ne peut excéder 150 000 € pour un premier manquement ni 300 000 € ou 5 % du chiffre d'affaires en cas de manquement réitéré.

La Commission a été saisie d'un amendement de M. Emile Blessig portant à 1 500 000 euros, contre 150 000 dans le projet de loi, le montant maximum de la sanction financière susceptible d'être prononcée par la CNIL. Son auteur a fait observer que le pouvoir de sanction financière de la CNIL se trouverait ainsi aligné sur celui du Conseil de la concurrence, autre autorité administrative indépendante. Le rapporteur a considéré qu'il n'était pas judicieux de comparer le rôle de ces deux institutions, le Conseil de la concurrence étant saisi d'affaires dont les enjeux financiers sont sans commune mesure avec celles que connaît la CNIL. Il a, en outre, jugé nécessaire de maintenir, comme le prévoit le projet de loi, une hiérarchie des peines selon le caractère réitéré ou non des manquements commis par le responsable du traitement. M. Emile Blessig a alors retiré son amendement.

Puis, la Commission a été saisie d'un amendement du rapporteur précisant que le caractère réitéré des manquements commis par le responsable d'un traitement n'est pris en compte que dans les trois ans suivant la date à laquelle une précédente sanction est devenue définitive. Jugeant la période proposée trop brève, M. Alain Vidalies a proposé de la porter à cinq années. Le rapporteur ayant accepté cette proposition, la Commission a adopté son amendement ainsi sous-amendé (amendement n° 40).

On doit souligner que, puisqu'il s'agit d'une sanction pécuniaire administrative, elle peut être prononcée sans préjudice d'une éventuelle amende pénale encourue par le responsable du traitement en application des articles 226-16 et 226-23 du code pénal. Toutefois, l'article 47 donne au juge la possibilité d'imputer le montant de la sanction pécuniaire décidée par la CNIL et devenue définitive de celui de l'amende qu'il prononce.

L'ensemble de ces sanctions administratives, qui peuvent être rendues publiques par la CNIL, doivent être prononcées à l'issue d'une procédure contradictoire dont les modalités sont détaillées par le premier alinéa de l'article 46 (nouveau). Ainsi, les sanctions doivent être prononcées sur le fondement d'un rapport écrit d'un membre de la commission, notifié au responsable du traitement concerné qui peut déposer des observations. Toutefois, contrairement à la procédure applicable devant la COB, le responsable concerné ne peut être assisté ou représenté, ce que l'on peut regretter. C'est pourquoi, la Commission, suivant son rapporteur, a adopté un amendement en ce sens (amendement n° 39).

Par ailleurs, conformément aux exigences de l'article 6 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, relatif au droit à un procès équitable, le rapporteur peut présenter oralement ses observations à la commission mais ne peut prendre part à ses délibérations. Enfin, la décision de la CNIL doit être motivée et notifiée à l'intéressé.

Ces décisions administratives étant susceptibles de faire grief, elles doivent pouvoir faire l'objet d'un recours devant une juridiction. Ce principe général du droit est mis en _uvre par les dispositions du dernier alinéa de l'article 46 (nouveau) qui désigne le Conseil d'Etat comme la juridiction compétente en cette matière.

2. La saisine éventuelle du juge des référés

Les différentes mesures administratives que l'on vient de décrire, pour être complètes, peuvent cependant se révéler insuffisantes, notamment compte tenu des délais nécessaires à la mise en _uvre de la procédure contradictoire et à la production du rapport écrit requis.

C'est pourquoi, le paragraphe III de l'article 45 (nouveau) prévoit, en cas d'atteinte grave et immédiate aux droits et aux libertés, que le président de la CNIL peut demander, par la voie du référé, à la juridiction compétente d'ordonner, y compris sous peine d'astreinte, toute mesure de sécurité nécessaire. Ce dispositif nouveau est opportun car il contribue au renforcement de l'articulation des prérogatives respectives du juge et de l'autorité administrative, au-delà de la seule application des dispositions de l'article 40 du code de procédure pénale qui prescrivent à tout fonctionnaire ou autorité constituée de porter à la connaissance du procureur de la République les délits dont ils ont connaissance dans le cadre de l'exécution de leur mission.

Par ailleurs, on précisera que le juge auquel il est fait référence dans ce paragraphe de l'article 45 (nouveau) peut relever de l'ordre judiciaire si le responsable du traitement concerné _uvre pour des intérêts privés, ou de l'ordre administratif lorsque le responsable agit pour le compte de l'Etat ou dans le cadre de l'exécution d'une mission de service public.

3. La dimension internationale

Afin de garantir l'effectivité des sanctions administratives que la CNIL peut être amenée à prononcer, et conformément aux dispositions du paragraphe 6 de l'article 28 de la directive 95/46 CE, l'article 48 (nouveau) prévoit que celles-ci sont applicables aux opérations mises en _uvre en tout ou partie sur le territoire national, « y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la communauté européenne ». Cette disposition nouvelle est d'importance car elle tend à préserver les Etats membres de l'émergence de « paradis informatiques » au sein même de l'Union européenne.

En outre, dans le souci d'une harmonisation des législations des Etats membre en matière de traitement de données à caractère personnel, à laquelle tend la directive 95/46 CE, le deuxième alinéa du paragraphe 6 de son article 28 prévoit que « les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile ». Ces dispositions communautaires sont transposées en droit interne par l'article 49 (nouveau) de la loi du 6 janvier 1978 qui ne comprend, à l'heure actuelle, aucune disposition en la matière.

Ainsi, il est prévu que la CNIL pourra, à la demande d'autorités exerçant des compétences analogues aux siennes dans un autre Etat membre de l'Union, procéder à des vérifications et, le cas échéant, prononcer les mêmes sanctions que celles prévues par l'article 45 (nouveau), les traitements dits de « souveraineté » visés à l'article 26 nouveau étant cependant exclus du champ d'application de ces dispositions. Par ailleurs, la CNIL est habilitée à communiquer, à la demande de son homologue européen, les informations qu'elle détient ou qu'elle recueille.

La Commission a adopté l'article 7 ainsi modifié.

Article 8

(Chapitre VIII de la loi n° 78-17 du 6 janvier 1978)

Sanctions pénales et délit d'entrave à l'action de la CNIL -
Information de la CNIL par le procureur de la République

Actuellement, le régime des sanctions pénales encourues par les personnes contrevenant aux dispositions de la loi du 6 janvier 1978 est regroupé au sein de son chapitre VI. Compte tenu de la modification de la structure d'ensemble de la loi résultant du présent projet de loi, les dispositions pénales figurent désormais dans un chapitre VIII (nouveau) inséré par le présent article.

Ce chapitre comprend les articles 50 à 52 (nouveaux) qui reprennent, en grande partie, les dispositions existantes Ils répondent, en outre, aux exigences de l'article 24 de la directive 95/46 CE, qui invitent les Etats membres à prendre « les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive ».

Ainsi, l'article 50 (nouveau), comme le prévoit l'article 41 actuel, procède à un renvoi de portée générale précisant que les infractions aux dispositions de la loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal, modifiés, par ailleurs, par l'article 14 du présent projet de loi.

En outre, l'article 51 (nouveau), reprenant les dispositions de l'article 43 en vigueur sous réserve de quelques adaptations d'ordre rédactionnel, punit d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la CNIL. Ce délit d'entrave est constitué soit lorsqu'une personne s'oppose à l'exercice des missions de contrôle des membres de la CNIL et de ses agents, soit si elle refuse de leur communiquer, ou dissimule, des documents et des renseignements utiles à l'exercice de leurs missions, soit si elle leur communique des informations modifiées postérieurement à la date de leur demande.

Enfin, l'article 52 (nouveau) introduit un mécanisme original d'information de la CNIL par les autorités judiciaires et, le cas échéant, d'intervention de son président ou de son représentant devant la juridiction, qui constitue une forme de pendant de l'obligation d'information du procureur de la République par la CNIL, prévue par l'article 44 (nouveau,) ou de la saisine de la juridiction en référé résultant de l'article 45 (nouveau).

Ce dispositif ne découle pas de la transposition en droit interne d'une disposition de la directive 95/46 CE, mais répond aux souhaits exprimés par la CNIL dans son avis du 26 septembre. Il organise son information par les magistrats et son intervention devant les juridictions selon les modalités suivantes :

- le premier alinéa de l'article 52 (nouveau) prévoit, d'abord, que le procureur de la République avise le président de la CNIL de « toutes les poursuites » relatives aux infractions prévues par les articles 226-16 à 226-24 du code pénal qui concernent les « atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » ; en outre, le procureur de la République doit l'informer, le cas échéant, des suites données aux poursuites ainsi que de la date et de l'objet de l'audience de jugement, dix jours avant celle-ci ;

- le second alinéa du même article dispose que, pour ces mêmes affaires, la juridiction d'instruction, qu'il s'agisse du magistrat instructeur ou de la chambre de l'instruction, ainsi que la juridiction de jugement, peuvent appeler le président de la CNIL ou son représentant, à déposer ses observations ou à les développer oralement à l'audience.

La Commission a adopté l'article 8 sans modification.

Article 9

(chapitre IX de la loi n° 78-17 du 6 janvier 1978)

Adaptation du régime appliqué aux traitements
ayant pour fins la recherche dans le domaine de la santé

Le présent article adapte les dispositions du chapitre V bis de la loi de 1978, introduit par la loi n° 94-548 du 1er juillet 1994 (l'une des lois « bioéthique ») qui devient le chapitre IX.

Les traitements des données de santé présentent incontestablement des risques pour la vie privée qui ont conduit le législateur à prendre des mesures particulières, dérogeant aux règles posées par la loi de 1978.

1. La spécificité du secteur de la santé au regard de l'informatique

L'automatisation du traitement de l'information en matière de santé s'est considérablement accélérée ces dernières années dans le but, tout à la fois, de mieux soigner les patients, d'aider les praticiens dans leur exercice, d'améliorer les politiques de santé publique (notamment dans le domaine de l'épidémiologie) et, enfin, de contribuer à la maîtrise des dépenses de soins.

En pratique, cette informatisation a pris plusieurs formes, dont la plus connue est sans doute la carte santé, support informatique d'un véritable dossier médical portable qui se traduit par l'attribution d'une carte « vitale » au patient et, corrélativement, d'une carte professionnelle de santé (CPS) aux praticiens.

Elle a également ouvert la voie de la médecine à distance, qu'il s'agisse de la diffusion d'informations par le biais de réseaux en ligne ou de télémédecine, et a pris une dimension très importante au sein de l'hôpital, par l'intermédiaire du « programme de médicalisation des systèmes d'information » qui permet notamment, par le recueil de données médicales, de porter une appréciation sur la qualité d'un établissement.

Les traitements de données médicales soulèvent des difficultés en matière de confidentialité ; le danger principal est, bien évidemment, leur éventuel détournement à des fins autres que celles pour lesquelles elles ont été collectées. M. Guy Braibant, dans son rapport au Premier ministre en 1998, citait ainsi l'exemple extrême du danger que représenterait la communication de certaines données de santé à un assureur ou une banque, pouvant amener à des discriminations ou exclusions inadmissibles. La CNIL a eu très souvent à se prononcer sur ces questions, soit dans le cadre de ses avis sur des traitements publics, soit en appelant l'attention sur telle ou telle question spécifique. C'est ainsi qu'elle a pris, en 1997, une recommandation (16) par laquelle elle a notamment rappelé que les données personnelles de santé à caractère personnel ne peuvent être utilisées que dans l'intérêt du patient et doivent êtres traitées dans le respect des droits des personnes et des règles déontologiques, excluant une exploitation à des fins commerciales. De même a-t-elle en mars dernier pris une recommandation (17) dans le domaine de « l'e-santé », où des sites destinés au public se développent sans que la qualité des informations ou des services qu'ils proposent soit toujours suffisante.

Le caractère particulier des données de santé a amené le législateur à modifier, par deux fois, la loi de 1978 pour trouver un meilleur équilibre entre l'utilité collective pour la recherche et pour l'économie de la santé des données individuelles et la défense des droits de la personne. On sait que les bases de données informatisées sont ainsi devenues des éléments déterminants pour les études biomédicales, les travaux en matière génétique ou le développement des produits pharmaceutiques. Il s'est agi en fait d'établir des régimes spécifiques, l'un dans le domaine de la recherche médicale - c'est l'objet des dispositions que la loi de 1994 a insérées dans la loi de 1978 et que le présent article adapte -, l'autre dans le domaine des traitements à fin d'évaluation des pratiques de santé, sujet qui sera abordé plus longuement dans le commentaire de l'article suivant du projet de loi.

La directive, après la convention du 28 janvier 1981 du Conseil de l'Europe, classe les données relatives à la santé parmi les catégories dont le traitement est, en principe, interdit, compte tenu du risque d'atteinte aux libertés fondamentales ou à la vie privée qu'il comporte (article 8).

Comme on l'a vu, le projet de loi, dans son article 2 (article 8 nouveau de la loi de 1978), tire les conséquences de cette classification. Mais la directive prévoit des dérogations sous réserve :

-  que le traitement soit nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration des soins ou de traitements ou de la gestion des services de santé ;

-  et qu'il soit effectué par un praticien de la santé « soumis par le droit national ou par des réglementations arrêtées par les autorités nationales au secret professionnel ou par une autre personne soumise à une obligation de secret équivalente ».

Les régimes spécifiques insérés dans la loi par les lois de 1994 et 1999, ne faisant pas de distinction entre public et privé et prévoyant un régime d'autorisation, se révèlent conformes à la directive et ne font, en conséquence, l'objet que de légers aménagements par le présent projet de loi.

2. Rappel du régime des traitements de données ayant pour fin la recherche dans le domaine de la santé

L'article premier de l'une des lois bioéthique (n° 94-518) a donc inséré au sein de la loi de 1978 un chapitre V bis intitulé « traitements automatisés des données nominatives ayant pour fin la recherche dans le domaine de la santé », comportant dix articles (de 40-1 à 40-10). Un nouveau régime a été créé, à la fois plus souple - certaines prescriptions de la loi de 1978 comme l'information préalable des personnes faisant l'objet d'un traitement n'étant pas toujours applicables -, mais aussi plus contrôlé - une autorisation par la CNIL étant prévue pour tous les fichiers, publics ou privés, faisant intervenir en amont un comité d'experts.

-  Champ d'application du régime dérogatoire (art. 40-1)

Tous les fichiers, publics ou privés, ayant pour fin la recherche dans le domaine de la santé, sont soumis à un régime d'autorisation. Les autres traitements et notamment ceux ayant pour fin le suivi thérapeutique et médical du patient relève du droit commun de la loi de 1978.

-  Procédure d'autorisation (art. 40-2)

Un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé a été institué auprès du ministre chargé de la santé. Composé de personnes compétentes en matière de recherche dans le domaine de la santé, de l'épidémiologie, de génétique et de biostatistique, il dispose d'un mois pour transmettre à l'auteur d'un traitement en cause un avis. A défaut, l'avis est réputé favorable. En cas d'urgence, le délai peut être ramené à quinze jours. Une procédure simplifiée peut être mise en _uvre par son président.

La CNIL intervient ensuite pour délivrer l'autorisation, disposant d'un délai de deux mois, renouvelable une fois, pour se prononcer. A défaut de décision dans ce délai, le traitement est autorisé.

-  Règles relatives à la transmission des données (art. 40-3)

La loi autorise la transmission par les professionnels de santé des données nominatives qu'ils détiennent dans le cadre de la constitution de traitements ayant pour fin la recherche dans le domaine de la santé. Jusque là, la règle du secret professionnel, particulièrement importante dans le domaine de la médecine, ne permettait d'envisager la transmission des informations qu'entre médecins. L'élaboration de fichiers épidémiologiques était donc difficile puisqu'ils ne sont pas toujours tenus par des médecins. Il s'avère pourtant que les informations nominatives reçues ne sont exploitées qu'à des fins statistiques, indispensables à la recherche. La loi a donc étendu le secret professionnel aux personnes mettant en _uvre ces traitements et exigé que les résultats de la recherche soient strictement anonymes. Toutefois, lorsque les données transmises permettent l'identification des personnes qu'elles concernent, elles doivent faire l'objet d'un codage. Des dérogations ont été prévues à cette dernière obligation de codage (par exemple lorsqu'il s'agit de traitement associé à des études de pharmacovigilance), mais elles doivent être autorisées par la CNIL.

En outre, les données transmises ne peuvent être conservées sous une forme nominative, plus longtemps que la durée nécessaire à la recherche.

-  Droit d'opposition (art. 40-4)

Le droit instauré pour les traitements à fin de recherche - publics ou privés - est similaire à celui prévu à l'article 26 de la loi de 1978 ; à ceci près que la mention d'un motif légitime n'apparaît pas, ceci pour éviter qu'un malade, par exemple, ait à justifier son refus. Par ailleurs, un consentement exprès doit être obtenu pour les traitements impliquant le recueil de prélèvements biologiques identifiants. Enfin, l'utilisation des certificats médicaux qui est essentielle pour la recherche est autorisée, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

-  Information préalable (art. 40-5)

Les détenteurs du traitement ont l'obligation d'informer individuellement et préalablement les personnes auprès desquelles sont recueillies les données, notamment de la finalité du traitement, de l'existence d'un droit d'accès, de rectification, d'opposition. Cependant ce principe d'information individuelle est assorti de deux dérogations. Les intéressés ne seront pas informés de la transmission des données les concernant si conformément à la déontologie, le médecin traitant décide, en conscience, de ne pas révéler une affection grave et incurable, ou bien s'ils ne peuvent matériellement être retrouvés qu'au prix d'efforts dépassant les moyens de la recherche.

-  Application des droits d'opposition et de l'obligation d'information préalable pour les mineurs et les majeurs sous tutelle (art. 40-6). Cf. infra.

-  Information collective (art. 40-7)

Une information sur les dispositions du chapitre V bis de la loi est obligatoire dans les établissements de santé.

-  Retrait de l'autorisation (art. 40-8)

La violation de la loi entraîne le retrait temporaire ou définitif de l'autorisation délivrée par la CNIL. Le refus de se soumettre au contrôle de la CNIL entraîne également le retrait.

-  Flux transfrontaliers de données (art. 40-9)

La transmission des données nominatives de recherche en santé n'est autorisée que si le législateur de l'Etat destinataire apporte une « protection équivalente à la loi française ». Cette appréciation est de la compétence de la CNIL à qui il revient de délivrer l'autorisation de sortie.

-  Décret d'application (art. 40-10)

3. Les modifications proposées par le présent article

a) Les aménagements techniques

-  Le paragraphe I du présent article change la numérotation du chapitre (le V bis devient le IX) et son intitulé pour faire référence aux données à caractère personnel ;

-  le paragraphe II modifie la numérotation des articles - les 40-1 à 40-8 devenant les articles 53 à 61 - et procède dans ses , , , et à des rectifications de coordination avec le nouveau dispositif du projet de loi. Dans son , est pris en compte le fait que le droit d'opposition discrétionnaire ne s'exerce plus selon la directive que pour les traitements à finalité de prospection. La référence formelle à ce droit est donc supprimé, mais la protection instituée est analogue puisqu'est prévue la possibilité pour toute personne de s'opposer à ce que les données le concernant fassent l'objet de la levée du secret professionnel, rendue nécessaire par la transmission de données pour élaborer des traitements à fins de recherche. Autrement dit, il s'agit là d'une opposition à la transmission des données qui intervient en amont du traitement. Son  corrige une approximation de la loi de 1994 qui mentionnait l'obligation de transmettre l'information pour les personnes faisant l'objet d'une mesure de protection légale à un tuteur, lequel n'est prévu que pour la tutelle. Le champ du nouvel article est donc circonscrit à la seule tutelle. En cas de placement sous sauvegarde de justice ou de curatelle, c'est l'intéressé lui-même qui sera destinataire de l'information préalable et exercera éventuellement les droits d'opposition. A l'initiative de son rapporteur, la Commission a adopté un amendement rectifiant la numérotation des nouveaux articles (amendement n° 41).

-  le paragraphe III abroge l'article 40-9 relatif aux flux transfrontaliers de données, transposé dans un article 61 ainsi que l'article 40-10 qui renvoyait à un décret en Conseil d'Etat les modalités d'application du chapitre V bis.

a) Les modifications de fond

-  Le présent article, par le de son paragraphe II insère trois alinéas dans l'article 54 nouveau de la loi de 1978 pour créer une procédure simplifiée (18) qui s'appliquera aux catégories les plus usuelles de traitement ayant pour finalité la recherche en santé et portant sur des données ne permettant pas une identification directe des personnes concernées. La procédure qui s'apparente à celle des normes simplifiées prévues par l'article 17 de la loi de 1978, repris par l'article 24 nouveau de la loi (qui figure à l'article 4 du présent projet), est destinée notamment à alléger l'activité de la CNIL dans le domaine des essais cliniques de nouveaux médicaments. Le présent article prévoit que la CNIL pourra ainsi « homologuer et publier des méthodologies de référence », établies en concertation avec le comité consultatif et « les organismes publics et privés représentatifs » lesquels seront réunis en fonction de leur domaine de compétence respectif. Ces méthodologies fixeront les normes auxquelles devront correspondre les traitements pouvant faire l'objet d'une procédure simplifiée.

Le dernier alinéa précise que, pour les traitements répondant auxdites normes, un engagement de conformité à l'une d'entre elles devra être envoyé au comité consultatif puis à la Commission ; c'est au président de la CNIL qu'il appartiendra de les autoriser à l'issue de cette procédure simplifiée d'examen. On peut se demander si dans ces cas, l'envoi de l'engagement au comité ne pourrait pas être supprimé, compte tenu du fait que les méthodologies auront été élaborées par la CNIL en concertation avec lui. La Commission a adopté un amendement présenté par le rapporteur en ce sens (amendement n° 42). Toujours à l'initiative du rapporteur, elle a adopté un amendement prévoyant que pour d'autres catégories de traitement, la CNIL et le comité se mettent d'accord sur les conditions dans lesquelles l'avis de ce dernier ne serait plus requis (amendement n° 43).

-  Le paragraphe IV procède, par l'insertion d'un article 61, à un aménagement du régime des transmissions des données à l'étranger jusque là prévu par l'article 40-9 de la loi de 1978. Le présent projet de loi crée, comme on le verra, un chapitre XII dans la loi de 1978 consacré aux « transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » pour tenir compte du principe fixé par l'article 25 de la directive qui conditionne la possibilité d'un tel transfert au fait que le pays destinataire « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement envisagé  (19) ». Les critères d'appréciation sur le niveau de protection sont énumérés dans le même chapitre, l'appréciation se faisant au cas par cas. L'article 61 nouveau fait donc référence à cette nouvelle règle qui est quelque peu différente de la notion de « protection équivalente à la loi française » prévue à l'article 40-9 et visait en outre tous les autres pays. Elle continue cependant à se référer, pour cette appréciation, à la procédure de l'article 54 nouveau (ex 40-4) qui implique notamment, comme on l'a vu, l'intervention préalable du comité consultatif.

La directive laisse, en effet, aux Etats membres le soin d'élaborer leur propre système d'appréciation du niveau de protection institué par les Etats tiers.

La Commission a adopté l'article 9 ainsi modifié.

Article 10

(chapitre X de la loi n° 78-17 du 6 janvier 1978)

Adaptation des dispositions relatives aux traitements
des données à des fins d'évaluation des pratiques de santé

C'est à l'occasion de la communication à la presse de certaines données issues du programme de médicalisation des systèmes d'information mis en place dans les établissements de soins - en l'occurrence des résumés de sortie anonyme établis pour chaque établissement, qui permettent une analyse de ses activités - que le risque que comportent ces transmissions pour le respect de la vie privée est apparu. Il s'est, en effet, avéré possible, par recoupements, et malgré la procédure appliquée pour rendre anonymes les données appelées « résumés de sortie standardisés », de retrouver l'ensemble de la description pathologique et les examens subis par un patient à partir de sa seule date d'hospitalisation.

A l'occasion de l'adoption de la loi du 27 juillet 1999 sur la couverture maladie universelle, la loi de 1978 s'est donc enrichie d'un nouveau chapitre (V ter) qui fixe les conditions dans lesquelles les données personnelles de santé peuvent être traitées, exploitées et diffusées à des fins « d'évaluation ou d'analyse des autorités de soins et de prévention ».

Le nouveau régime apparaît dérogatoire par rapport à la loi de 1978 puisqu'il prévoit un régime d'autorisation expresse de la CNIL pour toutes les catégories de traitements - publics ou privés - dans ce domaine, mais aussi par rapport aux règles applicables aux traitements à des fins de recherche, précédemment étudiées, qui prévoyaient jusqu'à présent une autorisation tacite (20). Le législateur de 1999 avait, en effet, tenu compte de la décision du Conseil constitutionnel du 18 janvier 1995 (21), par laquelle, examinant la loi du 21 janvier 1995 sur la sécurité, il avait considéré, à propos de la demande d'autorisation prévue auprès du préfet pour la mise en place de systèmes de vidéosurveillance, qu'une telle autorisation devait être expresse, dans un domaine touchant aux libertés individuelles et publiques.

Il s'avère conforme aux nouvelles règles posées par la directive pour les données sensibles, catégorie à laquelle appartiennent désormais celles relatives à la santé, ce qui explique donc que le présent article ne procède qu'à des aménagements de détail.

1. Rappel des dispositions actuelles

Le chapitre V ter introduit par la loi n° 99-641 du 27 juillet 1999 comporte cinq articles (de 40-11 à 40-15).

-  Champ d'application (article 40-11) : sont concernés par le régime spécifique instauré au chapitre V ter les traitements de données personnelles de santé ayant pour fin « l'évaluation des pratiques de soins et de prévention ». En sont en revanche exclus les traitements effectués par les organismes d'assurance maladie à des fins de remboursement ou de contrôle ou encore par les établissements de santé pour l'analyse de leur activité.

-  Communication des données (article 40-12) : cet article précise et limite les conditions dans lesquelles des données de santé peuvent être communiquées par les professionnels de santé, les caisses de sécurité sociale ou les hôpitaux pour être exploitées à des fins d'évaluation des activités ou pratiques de soins ; sauf à être rendues totalement anonymes, elles ne peuvent faire l'objet d'un traitement que sur autorisation de la CNIL, procédure dont les modalités sont fixées par les articles suivants. En outre, même si la CNIL a donné ladite autorisation, les données ne peuvent qu'être indirectement nominatives, c'est-à-dire qu'elles ne doivent comporter ni le nom, ni le prénom d'une personne, ni son numéro d'inscription au répertoire national d'identification des personnes physiques.

-  Formalités préalables à l'autorisation (article 40-13) : la CNIL, pour apprécier les demandes, vérifie les « garanties présentées par le demandeur », ses méthodes et ses fins, la pertinence du traitement envisagé et la nécessité de recourir à ces informations.

-  Modalités de l'autorisation (article 40-14) : la CNIL dispose d'un délai de deux mois à compter de la saisine par le demandeur pour se prononcer (renouvelable une fois). Mais contrairement au régime fixé à l'origine pour les traitements à des fins de recherche, le silence vaut ici décision de rejet.

-  Règles diverses (article 40-15) : les traitements effectués à partir des données ne peuvent servir à des fins de recherche ou d'identification des personnes et les intervenants ayant accès aux données ainsi communiquées sont astreintes au secret professionnel. Les résultats des traitements ne peuvent être communiqués, publiés ou diffusés qu'à la condition que l'identification des personnes correspondant aux données en cause soit impossible.

2. Les dispositions du présent article

L'article 10 ne procède qu'à des aménagements de forme du dispositif :

-  en modifiant le numéro du chapitre (IX au lieu de V ter) et son titre pour faire référence aux données de santé à caractère personnel et à l'analyse des « pratiques » qui correspond mieux au champ d'application du dispositif (I) ;

-  en procédant à une nouvelle numérotation des articles (les articles 40-11 à 40-15 deviennent les articles 62 à 66) et en opérant les mêmes modifications de terminologie, ainsi qu'à la rectification d'une référence à un article du code de la santé publique (II, 1° et 2°) ;

-  en supprimant la mention du renvoi à un décret en Conseil d'Etat pour des modalités d'application, ces dispositions étant reprises de façon générale à l'article 13 du projet de loi. (II, 3°) ;

-  en procédant à une modification de pure forme au sein de l'article 40-15 pour supprimer la référence à la notion de résultats « nominatifs » (II, 4°).

La Commission a adopté cet article sans modification.

Article 11

(Chapitre XI de la loi n° 78-17 du 6 janvier 1978)

Traitements de données aux fins de journalisme
et d'expression littéraire et artistique

Le législateur de 1978 avait écarté pour les organismes de la presse écrite et audiovisuelle les dispositions des articles 24 (transmissions de données à l'étranger), 30 (information sur les infractions, condamnations et mesures de sûreté) et 31 (gestion des données considérées comme sensibles par la loi de 1978 : origine raciale, opinion politique, philosophique ou religieuse, appartenance syndicale ou m_urs).

Il y a incontestablement une antinomie entre la protection de la vie privée, des données personnelles et l'exercice large de la liberté d'expression, essentiel dans un Etat démocratique.

Compte tenu de l'évolution des techniques qui, dans le secteur de la presse, sont particulièrement utilisées - comme par exemple la communication par Internet - la CNIL a été conduite à préciser le cadre de la réglementation et à souhaiter certains aménagements. Dans une recommandation (22), elle a considéré tout d'abord que « la collecte, l'enregistrement et l'élaboration d'informations sont inhérents à l'exercice de la liberté de la presse et que parmi ces informations ont toujours figuré des données directement ou indirectement nominatives ». Tout en prenant en compte les dérogations prévues par le législateur de 1978, elle a observé que « le recours même à des fins exclusivement journalistiques et rédactionnelles à des traitements automatisés d'informations nominatives » ne dispensait pas les organismes de presse de respecter les dispositions « non expressément écartées par le législateur ». Elle a cependant admis que l'accomplissement de formalités préalables ne devrait pas conduire à soumettre les activités journalistiques et rédactionnelles à une procédure d'autorisation. De même a-t-elle indiqué que le droit d'accès aux documents élaborés par un journaliste mais non encore publiés ou diffusés et le droit de rectification subséquent ne pouvaient aboutir « à priver de sa substance la liberté de la presse et de la communication, inscrite dans les lois du 29 juillet 1981 et du 29 juillet 1982. »

Elle a, en conséquence, recommandé que soit assurée la sécurité des informations traitées, que les recours, rectifications ou réponses éventuellement intervenues soient jointes à la publication de l'information et que chaque organisme de presse désigne un correspondant de la CNIL. Ce texte, qui n'avait pas de valeur obligatoire, n'a guère été suivi d'effet.

Les dispositions de la directive se révèlent assez proches de l'esprit de la réglementation française puisque l'article 9 dispose que « les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations » à certaines dispositions « dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression ».

Le présent article tire les conséquences de ces prescriptions tout en rendant effectifs certains des souhaits de la CNIL en 1995. Il instaure un article 67 au sein d'un nouveau chapitre XI - Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique. Les trois premiers alinéas fixent le régime des dérogations aux dispositions de la loi admises pour ces traitements (ce qui implique, a contrario, qu'ils soient soumis à toutes les autres). Ne s'appliqueront pas les dispositions relatives :

-  à la limitation de la durée de conservation des données (5° de l'article 6 nouveau de la loi de 1978). Il convient en effet d'appliquer avec souplesse cette réglementation ; les fichiers de presse ont souvent des finalités imprévisibles au départ, puisqu'ils servent de base au travail des journalistes, très dépendant de l'actualité ;

-  aux traitements des données sensibles et des données concernant les informations, condamnations et mesures de sûreté. Il s'agit là de reprendre les dispositions figurant déjà dans la loi de 1978 (articles 8 et 9 nouveaux de la loi) ;

-  à l'obligation de déclaration applicable aux traitements non soumis à un contrôle préalable (article 22 nouveau) ;

-  aux obligations d'information incombant aux responsables de traitements (article 32 nouveau) ;

-  aux droits d'accès et de rectification prévus aux articles 39 et 40 nouveaux ;

-  aux transmissions de données à des Etats tiers (articles 68 à 70).

Cependant, ces dérogations sont circonscrites aux traitements aux seules fins :

-  d'expression littéraire et artistique. Cette possibilité ne figurait pas dans la loi de 1978 mais est imposée par la directive et se justifie par le fait que, comme le soulignait M. Guy Braibant dans son rapport au Premier ministre, les frontières entre « journalisme » et « expression artistique ou littéraire » ont tendance à s'estomper « avec le développement de l'histoire immédiate, du journalisme d'investigation, des réseaux multimédias. Il n'y a guère de différence entre un journaliste qui prépare une série d'articles sur une personnalité politique, sur un parti, sur un segment de population et celui qui envisage sur le même sujet la réalisation d'un livre que les moyens de reproduction ou de diffusion permettent de mettre en quelques jours à la disposition du public. De même, on peut rapprocher la publication de photographies dans un magazine et dans un album » ;

-  d'exercice, à titre professionnel, de l'activité de journaliste dans le respect des règles déontologiques de cette profession. On observera que cette rédaction réserve donc les dérogations aux seules activités éditoriales, de nature journalistique. Celles qui relèvent du commerce (fichiers de personnel ou de clients, traitements à des fins de prospection ou de publicité) seront soumises au droit commun.

Le quatrième alinéa de l'article 67 nouveau entérine la suggestion de la CNIL dans sa recommandation de 1995 et dans son avis sur le projet de loi en disposant que la dispense de l'obligation de déclaration est subordonnée à la désignation, au sein de l'organe de presse, d'un « délégué à la protection des données ». Il sera chargé de tenir un registre de traitement et d'assurer l'application de la loi. Le responsable de presse devra informer la CNIL de la désignation.

Votre rapporteur, pour lever l'ambiguïté qui ferait considérer ces personnes comme des délégués de la CNIL, préférerait que soit employé le terme de « correspondants ». La Commission a adopté l'amendement qu'il a présenté en ce sens (amendement n° 44).

On observera qu'une telle procédure est conforme à la directive qui prévoit de manière générale, dans son article 18, la nomination par les responsables de traitements de « détachés à la protection des données », condition mise aux simplifications et dérogations que peuvent prendre les Etats membres.

Le dernier alinéa de l'article 67 nouveau rappelle que les dispositions précédentes ne font pas obstacle à l'application des dispositions du code civil, du code pénal et des lois relatives à la presse écrite et audiovisuelle ayant pour objet le respect de la vie privée ainsi que la protection des personnes contre les atteintes à leur réputation, précision qui figurait d'une manière analogue dans la loi de 1978.

Votre rapporteur serait également favorable à l'élaboration de codes de conduite qui seraient élaborés par les professionnels eux-mêmes. Ils pourraient être soumis pour avis à la CNIL selon la procédure prévue au 2° ) de l'article 11 nouveau de la loi de 1978 (article 3 du projet de loi).

La Commission a adopté l'article 11 ainsi modifié.

Article 12

(Chapitre XII de la loi n° 78-17 du 6 janvier 1978)

Transfert de données à caractère personnel vers des Etats tiers

Le présent article réglemente les transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne. Cet encadrement spécifique est indissociable du principe de libre circulation de ces données à l'intérieur des frontières de l'Union ; il s'opère conformément aux principes fixés au chapitre IV (articles 25 et 26) de la directive du 24 octobre 1995.

1. La prise en compte de la dimension internationale des échanges informatiques

La dimension internationale des échanges informatiques était déjà présente, au moins de façon sous-jacente, dans la loi du 6 janvier 1978. Celle-ci affirme, en effet, dès son article premier, que le développement de l'informatique « doit s'opérer dans le cadre de la coopération internationale ». Elle prévoit, également, à son article 24, comme le rapporteur l'a déjà indiqué dans l'exposé général du présent rapport, la possibilité de réglementer certains transferts d'informations nominatives « vers l'étranger », bien que le décret en Conseil d'Etat prévu à cet effet n'ait jamais été publié. Plus récemment, des dispositions propres aux « données médicales » ont été introduites par la loi n° 94-548 du 1er juillet 1994, qui a subordonné leur transfert à l'existence dans le pays de destination d'un niveau de protection « équivalent » à celui offert par la loi française (article 40-9).

Pour autant, la nécessité de mieux réglementer ces transferts ne fait aujourd'hui aucun doute, pour au moins deux raisons.

En premier lieu, la mondialisation des échanges informatiques s'est considérablement accrue depuis vingt ans, du fait de la convergence des traitements (via Internet notamment) et de la commercialisation croissante des données. Dans ce contexte, comme l'observait M. Guy Braibant dans son rapport au Premier ministre : « La possibilité de transmettre instantanément des données d'un point du globe à un autre, et le développement de réseaux universels, rendent vaine toute démarche de protection qui se limiterait à un cadre strictement national. En effet, des disparités trop sensibles entre les réglementations nationales peuvent inciter les opérateurs à délocaliser les traitements et les bases de données dans des "paradis informatiques" ».

En second lieu, le principe de la libre circulation des données à caractère personnel entre Etats membres de l'Union européenne, affirmé dès l'article 1er de la directive du 24 octobre 1995, est un élément nouveau, qui suppose d'encadrer les conditions dans lesquelles peuvent avoir lieu des transferts vers des Etats tiers. La directive, après avoir défini le socle de garanties dont le respect s'impose au sein de la Communauté, prévoit, en conséquence, que les autorités de protection devront être particulièrement vigilantes à l'égard de ces opérations et devront les signaler, les suspendre ou les interdire lorsque le niveau de protection assuré dans le pays de destination est inférieur aux normes de l'Union européenne.

A cet effet, le présent article propose d'insérer, dans la loi du 6 janvier 1978, trois articles nouveaux, numérotés 68 à 70 et regroupés dans un chapitre XII intitulé : « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne ».

2. L'exigence d'un niveau de protection « suffisant »

L'article 68 (nouveau) prévoit, dans son premier alinéa, que le responsable d'un traitement ne pourra transférer des données à caractère personnel vers un Etat tiers que si celui-ci assure un niveau de protection « suffisant » de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont elles font ou seront susceptibles de faire l'objet.

Il détermine également, dans un second alinéa, les critères à partir desquels devra être apprécié le caractère suffisant du niveau de protection de l'Etat en question, en faisant référence, notamment, aux dispositions en vigueur dans cet Etat, aux mesures de sécurité qui y sont appliquées, aux caractéristiques propres du traitement (notamment ses fins et sa durée) ainsi qu'à la nature, l'origine et la destination des données traitées.

Ces dispositions transposent en droit français les deux premiers paragraphes de l'article 25 de la directive. Elles appellent, toutefois, les observations suivantes.

On relève, en premier lieu, que la directive fait référence à un niveau de protection « adéquat », et non pas « suffisant ». Le Gouvernement considère que ces deux termes sont substituables ; il estime avoir ainsi fait prévaloir un souci de précision juridique sur une transposition littérale du texte communautaire.

En revanche, s'agissant du transfert des données ayant pour fin la recherche dans le domaine de la santé, l'article 40-9 de la loi du 6 janvier 1978 exigeait, comme on l'a vu, un niveau de protection « équivalent ». Or, cet article est abrogé par le paragraphe III de l'article 9 du projet de loi ; son paragraphe IV insère un article 61 (nouveau) qui fait désormais référence, pour le transfert vers des Etats tiers de ces données, aux nouvelles règles énoncées au présent chapitre XII. En conséquence, l'exigence d'une protection suffisante est également substituée à celle d'une protection équivalente. L'avis rendu par M. Guy Braibant dans son rapport au Premier ministre n'allait pas dans ce sens, celui-ci ayant considéré que : « L'exigence d'une protection équivalente est sans doute plus forte que celle d'une protection adéquate (...). Une modification du régime actuel sur ce point serait d'autant moins opportune que la loi du 1er juillet 1994 n'a été mise effectivement en application que tout récemment ». Cela étant, l'harmonisation des règles s'accommode mal avec le maintien dans les législations nationales de régimes particuliers, d'autant plus que, en l'occurrence, la querelle paraît, en fait, plus sémantique que réelle.

La Commission a rejeté, suivant l'avis du rapporteur, un amendement présenté par M. Emile Blessig requérant, pour le transfert de données vers des Etats non membres de l'Union européenne, un niveau de protection équivalent à celui assuré sur le territoire national, M. Jean-Pierre Michel ayant, par ailleurs, fait observer que l'adoption de cet amendement aurait pour effet d'empêcher une entreprise multinationale dont le siège serait implanté sur le territoire français de transférer des données à caractère personnel vers une filiale située aux Etats-Unis, le niveau de protection garanti dans ce pays étant en-deçà des normes européennes.

On relève, enfin, deux autres différences entre les termes de la directive et ceux retenus par le présent article :

-  La directive fait référence, parmi les critères sur la base desquels devra être apprécié le caractère adéquat (ou suffisant) du niveau de protection offert par l'Etat de destination, aux « règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause ». Toutefois, cette formule paraît inutilement développée et le présent article vise donc, de façon plus générale : « les dispositions en vigueur dans cet Etat ».

-  La directive requiert « un niveau de protection adéquat », condition à laquelle le présent article ajoute : « de la vie privée et des libertés et droits fondamentaux des personnes ». Sur ce point, le texte français apparaît donc plus précis, mais ne fait que prendre en compte ce qui constitue l'objet même de la directive, affirmé dès le premier alinéa de son article 1er.

3. Des possibilités de dérogations

L'article 69 (nouveau) fait usage des possibilités de dérogations prévues par la directive, en apportant des exceptions à l'interdiction de transfert vers les Etats dont le niveau de protection est insuffisant.

· Il permet, tout d'abord, conformément à son article 26-1, au responsable d'un traitement, de transférer des données à caractère personnel vers un Etat tiers qui ne remplirait pas les conditions requises dans deux hypothèses :

-  Lorsque la personne concernée « a consenti » à ce transfert.

A cet égard, on relève que la directive utilise des termes plus restrictifs, en exigeant que la personne ait « indubitablement » donné son consentement audit transfert. La notion de « consentement exprès », qui figure déjà à l'article 2 du projet de loi en ce qui concerne les données sensibles (en référence au « consentement explicite » qui figure à l'article 8 de la directive), pourrait mieux traduire l'esprit et la lettre du texte communautaire. Au demeurant, cette précision irait dans le sens d'une recommandation de la CNIL qui, dans son avis rendu en septembre 2000, avait fait valoir la nécessité, en ce qui concerne les possibilités de dérogation, de disposer de textes parfaitement harmonisés entre des Etats membres, et ajoutait : « Tel devrait être tout particulièrement le cas pour la dérogation justifiée par le consentement de la personne dont la directive européenne, à la différence du projet de loi, exige qu'il soit indubitable ». En conséquence la Commission a adopté un amendement présenté par le rapporteur faisant référence au consentement exprès de la personne concernée (amendement n° 45) ainsi qu'un amendement d'ordre rédactionnel (amendement n° 46).

-  Lorsque le transfert est nécessaire à la sauvegarde de la vie de la personne concernée ou d'un intérêt public, à des obligations juridiques liées à la constatation, l'exercice ou la défense d'un droit en justice, à la consultation de certains registres publics et à la conclusion ou l'exécution d'un contrat.

· L'article 69 fait également usage d'une possibilité prévue par l'article 26-2 de la directive, en autorisant les transferts lorsque le traitement lui-même garantit la protection de la vie privée et des libertés et droits des personnes, notamment en raison des clauses contractuelles dont il fait l'objet.

Cette procédure requiert soit une décision de la CNIL, soit un décret en Conseil d'Etat après avis motivé et publié de la CNIL (s'il s'agit d'un fichier de souveraineté - mis en _uvre pour le compte de l'Etat et intéressant la sûreté, la défense, la sécurité publique ou la répression pénale - ou comportant des indications relatives à l'origine raciale, aux opinions ou à l'appartenance syndicale, à la santé ou à l'orientation sexuelle des personnes).

La CNIL est tenue de porter à la connaissance de la Commission européenne et des autorités de contrôle des autres Etats membres les décisions d'autorisation qu'elle accorde. En revanche, cette obligation de notification ne s'étend pas aux autorisations délivrées par décret en Conseil d'Etat.

Consécutivement, la contestation, par un autre Etat membre ou par la Commission européenne elle-même, d'une dérogation accordée sur ce fondement, serait résolue selon les procédures communautaires de droit commun. Elle ferait intervenir soit le « comité de l'article 31 » (voir infra), soit les règles contentieuses usuelles devant la Cour de justice des communautés européennes. Mais le risque de différend est réduit par certains travaux conduits à l'échelle de l'Union européenne, tendant à définir des clauses contractuelles type de nature à certifier les garanties offertes par les traitements.

En effet, il est important de relever, y compris pour répondre à l'accusation de « lourdeur » dont la procédure mise en _uvre par cet article fait parfois l'objet, que son usage devrait être facilité par certains travaux de « normalisation » engagés à l'échelle de l'Union européenne. On retiendra, en particulier, une décision de la Commission européenne du 15 juin 2001 prise pour l'application de l'article 26-2 de la directive, « relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers » (23).

Au total, cette procédure dérogatoire, qui confère au dispositif une certaine flexibilité, est essentielle pour assurer dans de bonnes conditions le flux nécessaire de données à caractère personnel entre la Communauté et les pays tiers sans imposer de charges inutiles aux opérateurs économiques. Elle était préconisée, au demeurant, par la CNIL elle-même, depuis de nombreuses années.

4. Les modalités d'appréciation des niveaux de protection

L'article 70 (nouveau) définit les modalités d'appréciation du niveau de protection offert par les Etats tiers, ainsi que les conséquences des décisions prises à leur égard. Ce faisant, il transpose les paragraphes 3 à 6 de l'article 25 de la directive, ainsi que les paragraphes 3 et 4 de son article 26, qui prévoient une association des Etats membres et de la Commission, les constatations de cette dernière ayant cependant pour effet de lier les autorités nationales.

-  Lorsque l'insuffisance du niveau de protection d'un pays tiers est constatée par la Commission européenne, la CNIL, saisie d'une déclaration de traitement faisant apparaître la possibilité d'un transfert vers cet Etat, délivre le récépissé prévu à cet effet avec mention de l'interdiction de procéder audit transfert.

-  Lorsque cette insuffisance est constatée par la CNIL, à défaut de décision des autorités communautaires, celle-ci en informe sans délai la Commission européenne. Saisie d'une déclaration faisant apparaître un transfert vers l'Etat en question, elle délivre le récépissé en enjoignant, le cas échéant, au déclarant de suspendre ce transfert. Elle notifie au responsable du traitement la cessation de cette suspension si la Commission européenne considère ultérieurement comme suffisant le niveau de protection de l'Etat de destination ; dans le cas contraire, elle lui notifie une interdiction de procéder au transfert des données.

A travers ces dispositions, le présent article reconnaît donc à la CNIL une responsabilité importante. Une autre solution aurait pu être retenue, la directive étant peu précise et contraignante en ce qui concerne les procédures nationales d'appréciation et de reconnaissance des niveaux de protection : compte tenu de ses répercussions possibles sur les relations internationales de la France, certains préconisaient que cette compétence revienne, directement ou indirectement, au Gouvernement lui-même. Tel n'était pas l'avis de M. Guy Braibant qui estimait, dans son rapport au Premier ministre, que : « L'autorité de contrôle est techniquement mieux placée pour traiter de questions qu'elle examine quotidiennement au plan interne, et son intervention permettrait de dépolitiser et de dédramatiser les mesures prises. (...) Ce sera sans doute une lourde tâche pour l'autorité de contrôle, mais c'est là une conséquence de la mondialisation et du développement exponentiel des réseaux internationaux comme Internet ».

Il est important de relever, toutefois, que, dans l'ensemble, les décisions de la Commission européenne l'emportent sur celles des autorités nationales. Toutefois, les Etats membres sont directement associés à leur élaboration et le Conseil conserve la capacité, le cas échéant, de les infirmer.

En effet, la directive prévoit que la Commission appréciera le niveau de protection offert par des Etats tiers selon les dispositions de l'article 31, paragraphe 2. Les mesures qu'elle décidera seront donc prises sur avis du « comité de l'article 31 », composé de représentants des Etats membres et présidé par un représentant de la Commission. Si ces mesures ne sont pas conformes à l'avis ainsi rendu, elles devront être communiquées au Conseil et leur application différée de trois mois. Dans ce délai, le Conseil pourra prendre une décision différente à la majorité qualifiée ; à défaut, elles seront considérées comme implicitement approuvées.

Au total, cet article, à la fois très important et fortement contraint par le texte de la directive, conforte les bases de la nouvelle législation mise en place par le projet de loi, en permettant la libre circulation des données personnelles à l'intérieur de l'Union européenne sans porter préjudice au niveau de protection garanti par les Etats membres. Corrélativement, il ne peut qu'inciter les autres pays à se doter de législations également protectrices.

De fait, hors d'Europe, de nombreux Etats suivent actuellement l'exemple donné par notre continent et disposent ou prévoient de se doter de lois de protection des données personnelles. Le 26 juillet 2000, la Commission européenne a conclu favorablement les difficiles négociations engagées avec les Etats-Unis dès 1996, en reconnaissant, sur le fondement de la directive, que les principes de la « sphère de sécurité » (traduction de « safe harbor ») relatifs à la protection de la vie privée publiés par le ministère américain du commerce le 21 juillet assurent un niveau de protection adéquat pour le transfert des données personnelles ; on observera, toutefois, que la décision ne porte que sur les transferts de données vers les entreprises et les organisations adhérant volontairement aux principes de la sphère de sécurité. Parallèlement, la Commission a adopté des décisions similaires à l'égard de la Suisse et de la Hongrie, qui disposent de lois d'application générale sur la protection des données fondées sur une approche semblable à celle de la directive. Des travaux, qui n'ont pas encore abouti à ce jour, ont également été engagés avec le Canada, l'Australie et Hong Kong.

Pour autant, à court et même à moyen terme, cette reconnaissance d'un niveau adéquat de protection des données ne devrait bénéficier qu'à un nombre limité de pays, ce qui renforce l'intérêt des dérogations précitées susceptibles d'être accordées, notamment, sur le fondement de l'article 25-2 de la directive, lorsque les traitements présentent les garanties requises du fait de leurs clauses contractuelles.

La Commission a adopté l'article 12 ainsi modifié.

Article 13

(Chapitre XIII de la loi n° 78-17 du 6 janvier 1978)

Conditions et champ d'application de la loi

Le présent article insère deux nouveaux articles dans la loi de 1978.

L'article 71 nouveau renvoie à des décrets en Conseil d'Etat la fixation des modalités d'application de la loi comme cela avait été le cas en 1978. Ces décrets seront pris « après avis de la CNIL », ce qui est conforme à l'article 28 de la directive qui exige, d'une manière générale, que les autorités de contrôle soient consultées lors de l'élaboration des mesures réglementaires ou administratives relatives aux traitements des données personnelles.

L'article 72 nouveau précise le champ d'application de la loi.

La loi de 1978 avait déjà expressément prévu (dans son article 47) que ses dispositions étaient applicables à Mayotte et aux territoires d'outre-mer, sauf celles figurant au chapitre V bis, c'est-à-dire concernant les traitements à des fins de recherche médicale.

Dans le souci de protéger les libertés publiques et la vie privée de l'ensemble des citoyens français, le premier alinéa de l'article 72 dispose que l'ensemble du texte est applicable dans les territoires d'outre-mer - la Polynésie française, les îles Wallis-et-Futuna, les Terres australes et antarctiques françaises - en Nouvelle-Calédonie et dans la collectivité territoriale de Mayotte.

Le deuxième alinéa prévoit cependant un délai spécifique pour l'application de l'article 54 nouveau de la loi de 1978 qui fait partie du chapitre V bis (transformé en IX par le projet de loi) et vise les traitements à des fins de recherche médicale. On a vu que les demandes de mise en _uvre de traitements de données en ce domaine étaient soumises à l'avis d'un comité consultatif avant d'être présentées à la CNIL. Le délai qui est imparti au comité pour transmettre son avis au demandeur est de un mois (quinze jours en cas d'urgence), la CNIL devant, elle, se prononcer ensuite, dans un délai de deux mois, à compter de la saisine du demandeur. Le présent article prévoit que le comité dispose d'un délai de deux mois pour transmettre son avis au demandeur lorsque celui-ci réside dans l'une des collectivités précitées, l'urgence le ramenant à un mois.

La Commission a adopté l'article 13 sans modification.

Article 14

(art. 226-16 à 226-24 du code pénal)

Sanctions pénales

L'article 14 aménage le régime des sanctions pénales qui réprime les infractions aux dispositions de la loi du 6 janvier 1978. Il s'inscrit, également, dans le cadre des orientations fixées par la directive du 24 octobre 1995, qui prévoit, dans son article 24, que : « Les Etats membres (...) déterminent les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive ».

1. Les sanctions pénales actuellement en vigueur

Le régime des sanctions pénales actuellement applicables aux infractions à la législation sur les fichiers et les traitements informatiques figure, à la fois, dans la loi du 6 janvier 1978 et dans le code pénal.

· Le chapitre VI de la loi « Informatique et libertés », intitulé : « Dispositions pénales », compte, en effet, trois articles :

-  l'article 41, qui prévoit que les infractions aux dispositions de la loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal ;

-  les articles 42 et 43, qui sanctionnent, par ailleurs, l'utilisation sans autorisation du répertoire national d'identification des personnes physiques (cinq ans d'emprisonnement et 2 millions de francs d'amende), ainsi que le fait d'entraver l'action de la CNIL (un an d'emprisonnement et 100 000 francs d'amende).

· La section 5 du chapitre VI du titre II du livre II du code pénal, intitulée : « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », compte, quant à elle, huit articles. Ils portent sur : le non respect des formalités préalables à la mise en _uvre d'un traitement (226-16) ; l'insuffisance des mesures de sécurité (226-17) ; la collecte illégale de données (226-18) ; la mise ou la conservation en mémoire informatique d'informations dites « sensibles » (226-19) ; la conservation de données au-delà de la durée prévue (226-20) ; le détournement des informations de leur finalité (226-21) ; la transmission non autorisée à un tiers de données pouvant porter atteinte à la considération ou à la vie privée d'une personne (226-22). Certaines de ces sanctions concernent également les traitements non automatisés (226-23) et les personnes morales peuvent être déclarées responsables pénalement (226-24). Les peines d'emprisonnement prévues vont de un à cinq ans et les sanctions financières de 100 000 francs à 2 millions de francs.

Le chapitre VI de la loi du 6 janvier 1978 est abrogé par l'article 6 du projet de loi ; ses trois articles sont réintroduits, et concomitamment modifiés, soit dans le nouveau chapitre VIII créé par l'article 8 (voir infra), soit directement dans le code pénal. Le présent article procède aux adaptations requises dans le code pénal et complète la liste des infractions à la législation sur les fichiers et les traitements.

2. L'adaptation des sanctions pénales, l'abaissement des peines encourues et l'insertion de nouvelles incriminations

· Le paragraphe I du présent article procède, tout d'abord, à une réécriture des articles 226-16 à 226-23. La portée des adaptations rédactionnelles proposées est mineure, car elles résultent, essentiellement, de la nouvelle formulation des dispositions de la loi que lesdits articles ont pour objet de sanctionner.

Toutefois, ces modifications formelles s'accompagnent d'un abaissement très significatif du niveau des sanctions encourues : la peine maximale, qui pouvait aller, comme on l'a vu, jusqu'à 5 ans d'emprisonnement et 2 millions de francs d'amende, est abaissée à trois ans d'emprisonnement et 45 000 € d'amende.

Cette orientation va dans le sens des recommandations formulées par M. Guy Braibant dans son rapport au Premier ministre. Celui-ci considérait que : « Le régime répressif français en matière de fichiers informatiques - dont la cohérence avec d'autres dispositions du code pénal comparables est sujette à caution - se caractérise par une grande sévérité, dont le contraste avec une jurisprudence pusillanime est frappant. (...) Compte tenu de la faible effectivité de la loi pénale en cette matière, il paraît souhaitable d'explorer les voies permettant de mieux sanctionner ces atteintes aux libertés. (...) Il pourrait être opportun d'assouplir la répression ».

Ce raisonnement est contestable. Au demeurant, l'éventualité d'une modération du dispositif répressif avait été critiquée par la CNIL qui, dans son avis de septembre 2000, considérait que : « L'abaissement des sanctions ne paraît pas justifié. Une telle initiative pourrait de surcroît altérer l'esprit de la réforme : la protection des données personnelles et de la vie privée n'a pas une moindre valeur aujourd'hui qu'hier ». Cette opinion n'a pas été prise en compte. Il convient d'avoir à l'esprit, pourtant, que le traitement de données personnelles peut devenir un « commerce » très lucratif, les intérêts économiques et financiers en jeu étant considérables pour certains grands groupes d'opérateurs commerciaux. De ce point de vue, une amende de 300 000 francs, même multipliée par cinq pour les personnes morales, ne paraît pas suffisamment dissuasive.

· Le paragraphe I insère également de nouvelles dispositions dans le code pénal. Elles sont présentées ci-après.

-  Article 226-16-1 : cet article reprend, et adapte, sous une forme désormais codifiée, les dispositions qui figuraient jusqu'à présent à l'article 42 de la loi du 6 janvier 1978, sanctionnant l'utilisation sans autorisation du répertoire national d'immatriculation des personnes physiques. Les peines prévues sont également ramenées de cinq ans d'emprisonnement et 2 millions de francs d'amende à 3 ans d'emprisonnement et 45 000 € d'amende.

-  Article 226-18-1 : cet article incrimine le fait « de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes ». L'hypothèse de la non prise en compte de l'opposition légitime d'une personne figurait, jusqu'à présent, à l'article 226-18. La peine encourue serait de trois ans d'emprisonnement et 45 000 € d'amende.

-  Article 226-19-1 : cet article distingue les infractions à la réglementation propre aux traitements de données à caractère personnel ayant pour fin la recherche en matière de santé (trois ans d'emprisonnement et 45 000 € d'amende), qui figuraient auparavant à l'article 226-18.

-  Article 226-22-1 : cet article réprime la violation des nouvelles dispositions prévues par l'article 12 du projet de loi (articles 68 à 70 nouveaux de la loi du 6 janvier 1978), qui encadre les transferts de données à caractère personnel vers des Etats tiers. La peine encourue serait de deux ans d'emprisonnement et 30 000 € d'amende.

-  Article 226-22-2 : cet article prévoit que, dans les cas prévus aux articles 226-16 à 226-22-1, le juge pourra également ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction. Les membres et les agents de la CNIL sont habilités à constater l'effectivité de cet effacement. On observera que, jusqu'à présent, aux termes de la loi du 6 janvier 1978, la CNIL pouvait directement prescrire « la destruction des supports d'informations », mais cette disposition n'a pas été reprise par le projet de loi.

La Commission a adopté trois amendements du rapporteur relevant et harmonisant le niveau des sanctions pénales réprimant les infractions à la loi du 6 janvier 1978 (amendements nos 48, 49 et 51). Elle a également adopté deux amendements de précision du rapporteur, le premier étendant à l'ensemble des traitements, automatisés ou non, certains sanctions pénales (amendement n° 47), le second permettant de sanctionner la conservation de données pendant une durée excessive ou le détournement de leur finalité au regard d'une norme d'exonération de déclaration édictée par la CNIL (amendement n° 50).

3. La responsabilité pénale des personnes morales

Le paragraphe II du présent article modifie l'article 226-24 du code pénal, qui prévoit la possibilité de déclarer responsables pénalement des infractions précitées les personnes morales.

On rappellera que cet engagement de la responsabilité pénale des personnes morales, qui constitue la principale innovation du nouveau code pénal entré en vigueur le 1er mars 1994, et dont le principe figure à son article 121-2, peut conduire à infliger les sanctions suivantes : amende, interdiction d'exercer, placement sous surveillance judiciaire, fermeture de l'établissement, exclusion des marchés publics, confiscation et publicité de la décision.

Le paragraphe II étend, par coordination, aux nouvelles incriminations, ce principe de la responsabilité pénale des personnes morales.

Cette présentation des dispositions proposées par le présent article serait incomplète, toutefois, sans une référence aux articles 7 et 8 du projet de loi (voir supra). En effet, comme on l'a vu, le premier renforce, également, certains pouvoirs dont dispose la CNIL pour réprimer directement les manquements à la loi du 6 janvier 1978 : dans ce cadre, elle pourra infliger des sanctions pécuniaires, susceptibles de s'imputer sur l'amende prononcée, le cas échéant, ultérieurement, par le juge, sur le fondement des articles précités du code pénal. Le second reprend, et modifie, les dispositions qui figurent actuellement aux articles 41 et 43 précités de la loi du 6 janvier 1978, dans des articles nouveaux numérotés 50 (renvoi aux sanctions prévues par les articles 226-16 à 226-24 du code pénal) et 51 (sanction en cas d'entrave de l'action de la CNIL), regroupés dans un chapitre VIII intitulé : « Dispositions pénales ». Concomitamment, l'article 8 insère dans la loi « Informatique et libertés » un article 52 qui prévoit que : « Le procureur de la République avise le président de la CNIL de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date. La juridiction d'instruction ou de jugement peut appeler le président de la CNIL ou son représentant à déposer ses observations ou à les développer oralement à l'audience ».

La Commission a adopté l'article 14 ainsi modifié.

TITRE II

DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS

Article 15

(art. 10 de la loi n° 95-73 du 21 janvier 1995)

Adaptation du régime spécifique applicable à la vidéosurveillance

Les enregistrements visuels de vidéosurveillance ne sont pas systématiquement considérés comme étant des informations nominatives et ne relèvent donc pas nécessairement des dispositions de la loi du 6 janvier 1978. En effet, l'article 10 de la loi n° 95-73 du 21 janvier 1995 prévoit que seuls les enregistrements visuels « utilisés pour la constitution d'un fichier nominatif » entrent dans le champ d'application de la loi « informatique et libertés ».

Cet article du projet de loi ne modifie pas le régime spécifique applicable à la vidéosurveillance mais tend seulement à adapter la terminologie figurant dans la loi du 21 janvier 1995 pour prendre en compte les nouvelles définitions des traitements automatisés, des fichiers et des données à caractère personnel qui se substituent désormais aux notions figurant dans le texte actuel de la loi du 6 janvier 1978 et, notamment, à celle de « fichier nominatif »

La Commission a adopté un amendement du rapporteur précisant que seuls les systèmes de vidéosurveillance destinés à assurer la protection de certains lieux publics ou ouverts au public peuvent relever des dispositions de la loi du 21 janvier 1995, sous réserve que les enregistrements ne soient pas utilisés dans des traitements ou des fichiers structurés (amendement n° 52). Elle a également adopté un amendement du rapporteur prévoyant que le Gouvernement remettra chaque année à la CNIL un rapport sur l'application de la réglementation relative à la vidéosurveillance issue de la loi du 21 janvier 1995 (amendement n° 53).

La Commission a adopté l'article 15 ainsi modifié.

Articles additionnels après l'article 15

Statistiques relatives au pacte civil de solidarité ;
mention du pacte civil de solidarité en marge de l'état civil

La Commission a été saisie de deux amendements de M. Jean-Pierre Michel portant articles additionnels au projet de loi : le premier tendant à l'établissement de statistiques semestrielles sur le pacte civil de solidarité ; le second visant à supprimer les registres tenus au lieu de naissance des signataires d'un pacte et à leur substituer une mention en marge de l'acte de naissance des intéressés.

Présentant ces deux amendements, leur auteur a indiqué qu'ils faisaient suite aux conclusions du rapport d'information approuvé par la commission des Lois et la commission des Affaires culturelles le 13 novembre 2001. Contestant la notion même de « cavaliers législatifs » - qui, a-t-il rappelé, n'a pas de fondement dans le texte même de la Constitution mais résulte d'une jurisprudence du Conseil constitutionnel ayant pour effet de limiter le droit d'amendement des parlementaires - il a considéré que ces deux amendements n'étaient pas sans lien avec le projet de loi, puisqu'ils portaient sur le traitement des données personnelles relatives aux signataires d'un PACS.

Après avoir fait observer que la CNIL avait émis un avis très restrictif sur la production de statistiques relatives au PACS en excluant toute donnée chiffrée sur l'orientation sexuelle des personnes concernées, il a indiqué que les mesures réglementaires en vigueur s'opposaient à la production de statistiques exhaustives, alors même que les chercheurs souhaitaient obtenir des données fiables et complètes pour établir un bilan de la loi.

Il a, par ailleurs, déclaré que les auditions conduites dans le cadre de la mission d'information sur l'application de la loi relative au pacte civil de solidarité avaient montré le caractère contraignant pour les tribunaux d'instance et les notaires de l'absence de publicité des registres contenant les informations relatives au PACS, puisque celle-ci impose la production de certificats de « non-PACS » par les juridictions. Il a considéré que l'inscription en marge de l'état civil des mentions relatives à la conclusion ou à la fin d'un PACS permettait d'apporter une solution simple à ce problème, sans modifier le lieu de conclusion du pacte ni en faire un acte d'état civil à part entière. Il a, enfin, rappelé que ces propositions avaient fait l'objet d'un large accord lors de leur présentation devant la commission des Lois et la commission des Affaires culturelles, y compris dans les rangs de l'opposition.

Le rapporteur a estimé que, malgré les arguments convaincants développés par l'auteur de ces deux amendements, ceux-ci présentaient le caractère de cavaliers législatifs. Il a ainsi souligné que l'établissement de statistiques anonymes était sans rapport avec le traitement des données personnelles. Se référant à des informations communiquées par la chancellerie, il a, par ailleurs, considéré que la production des certificats de « non-PACS » par les tribunaux d'instance ne soulevait plus aujourd'hui de problèmes, car le nombre des demandes des notaires avait largement diminué. Il s'en est cependant remis à la sagesse de la Commission qui a adopté ces deux amendements (amendements nos 54 et 55).

Coordination

La Commission a adopté un amendement du rapporteur modifiant les références aux articles de la loi du 6 janvier 1978 figurant dans différents codes et lois afin de tenir compte de la nouvelle numérotation résultant du projet de loi (amendement n° 56).

TITRE III

DISPOSITIONS TRANSITOIRES

Article 16

Mise en conformité des traitements existants avec le nouveau régime

L'article 32 de la directive, qui laissait aux Etats membres un délai de trois ans, à compter de son adoption, pour s'y conformer, a également prévu un délai de trois ans pour la mise en conformité des traitements déjà existants avec les nouvelles règles, ce délai courant à compter de la date d'entrée en vigueur de la loi de transposition. Cependant, pour la mise en conformité des traitements de données contenues dans des fichiers manuels avec les articles 6, 7 et 8 de la directive, qui concernent les principes relatifs à la qualité des données, ceux relatifs à la légitimité des traitements et les prescriptions concernant les données sensibles ou les infractions ou condamnations pénales, les Etats membres sont autorisés à proroger ce délai jusqu'à douze ans. Ces délais ne doivent cependant pas faire obstacle à la possibilité pour les personnes concernées d'exercer leur droit d'accès et d'obtenir, en conséquence, les rectifications, l'effacement ou le verrouillage des données incompatibles, inexactes ou conservées d'une manière incompatible avec les fins légitimes poursuivies par le responsable du traitement.

Le présent article tire les conséquences de ces dispositions en prévoyant, dans le premier alinéa de son paragraphe I, que les responsables des traitements, dont la mise en _uvre est régulièrement intervenue avant la publication de la loi, disposent, à compter de cette date, d'un délai de trois ans pour s'y conformer. Compte tenu du fait que, selon le nouveau dispositif, beaucoup de traitements privés devront basculer d'un régime de déclaration à un régime d'autorisation, le même alinéa prévoit, pour éviter un afflux de dossiers de régularisation devant la CNIL, que les traitements ne seront pas soumis aux formalités prévues au chapitre IV de la loi et, le cas échéant, seront réputés avoir reçu une autorisation dès lors qu'ils auront été régulièrement mis en _uvre sous le régime précédent et que leurs caractéristiques n'auront pas été modifiées à l'occasion de leur mise en conformité.

Le second alinéa du I conserve, en conséquence, l'application des dispositions initiales de la loi du 6 janvier 1978 pour les traitements qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité avec les nouvelles dispositions et au plus tard jusqu'à l'expiration du délai de trois ans prévu à l'alinéa précédent. Cependant, certaines mesures seront directement applicables : celles relatives au droit d'opposition (articles 38, 39, 40 et 41 nouveaux de la loi) et celles qui concernent les modalités des échanges de données transfrontières (articles 68 à 70 nouveaux de la loi). Cette dernière prescription ne figurait pas dans la directive mais il s'agit, par ce biais, d'éviter pendant le « délai de grâce » accordé aux responsables des traitements qu'ils procèdent à des délocations massives des données. En outre, la coordination dans ce domaine doit être réalisée rapidement au niveau communautaire.

Le premier alinéa du II du présent article prévoit que les responsables de traitements non automatisés, régulièrement mis en _uvre, disposeront d'un délai allant jusqu'au 24 octobre 2007, plus bref donc que les douze ans maximum prévus par la directive, pour se mettre en conformité avec les principes généraux de licéité des traitements, avec les dispositions régissant les traitements des données sensibles et les traitements de données pénales, ces dispositions transposant intégralement les règles fixées par la directive. Son second alinéa indique que demeurent applicables les dispositions de 1978 correspondantes jusqu'à la mise en conformité et au plus tard jusqu'au 24 octobre 2007. Pour la mise en conformité avec les autres dispositions de la future loi, c'est le dispositif, et donc le délai de trois ans exposé dans le I, qui s'appliquent.

A l'initiative de son rapporteur, la Commission a adopté un amendement de portée rédactionnelle (amendement n° 57).

Elle a adopté l'article 16 ainsi modifié.

Article 17

Mandat des membres en fonction de la CNIL

Le présent article comporte trois paragraphes qui permettent à la CNIL, telle qu'elle est composée, d'exercer ses nouvelles fonctions dès la publication de la loi. Son paragraphe I dispose que ses membres qui sont en exercice au moment de cette publication demeurent en fonction jusqu'au terme normal de leur mandat, qui court sur cinq ans, ou jusqu'au renouvellement de leur assemblée pour les parlementaires et les membres du Conseil économique et social.

Son paragraphe II tire justement les conséquences de la modification de la composition de la CNIL, qui aboutit notamment à réduire de deux à un membre la représentation du Conseil économique et social. Il indique ainsi que « lors de la première cessation, pour quelque cause que ce soit, du mandat de l'un des deux membres élus » par cette assemblée, ce membre sera remplacé par une personnalité désormais nommée par décret au titre du 6° du I du nouvel article 13 de la loi de 1978 (article 3 du présent projet de loi), lequel prévoit la désignation de quatre personnalités « dont deux qualifiées pour leur connaissance de l'informatique ». Afin d'aboutir au plus vite à la nouvelle composition souhaitée, le présent article précise que ce nouveau membre sera désigné, quitte à être renouvelé, « pour la durée restant à courir du mandat des autres membres mentionnés à ce 6° ». Compte tenu de sa position sur la composition de la CNIL, votre rapporteur ne peut qu'être défavorable à cette disposition. La Commission a donc adopté un amendement supprimant ce paragraphe (amendement n° 58).

Le paragraphe III interprète la nouvelle disposition du projet de loi qui ne permet le renouvellement du mandat d'un membre de la CNIL qu'une seule fois et interdit, par parallélisme, à un parlementaire de siéger à la CNIL plus de dix ans. C'est ainsi qu'il précise que la computation ne prendra pas en compte le mandat actuel des membres s'il a commencé depuis moins de deux ans. Il sera en revanche pris en compte si les membres sont en place depuis plus de deux ans.

Cette disposition, qui ne prend pas en compte la durée totale cumulée d'appartenance à la CNIL (le mandat actuel peut être un premier mandat mais aussi un mandat renouvelé), risque d'aboutir à des inégalités de traitement entre membres. Il serait sans doute plus simple de n'appliquer la nouvelle règle qu'à l'expiration des mandats actuels.

Suivant son rapporteur, la Commission a supprimé ce paragraphe (amendement n° 59).

Elle a adopté l'article 17 ainsi modifié.

*

* *

La Commission a ensuite adopté l'ensemble du projet de loi ainsi modifié.

En conséquence, la commission des Lois constitutionnelles, de la législation et de l'administration générale de la République vous demande d'adopter le projet de loi (n° 3250) relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

TABLEAU COMPARATIF

___

[Les textes de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés et de la directive 95/46/CE du 24 octobre 1995 relative
à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données figurent en annexe.
]

Directive 95/46/CE du 24 octobre 1995 relative
à la protection des personnes physiques à l'égard du traitement des données

___

Texte de référence

___

Texte du projet de loi

___

Propositions
de la Commission

___

   

TITRE IER

DISPOSITIONS MODIFIANT LA LOI DU
6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

TITRE IER

DISPOSITIONS MODIFIANT LA LOI DU
6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

   

Article 1er

Les articles 2 à 5 du chapitre Ier de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont remplacés par les dispositions suivantes :

Article 1er

(Alinéa sans modification).

Art. 3 .- Champ d'application

     

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel :

-  mis en _uvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal,

 

« Art. 2. -   La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en _uvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

« Art. 2. -

... automatisés, ou non, de données à caractère personnel contenues ...

(amendement n° 1)

-  effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

     

Art. 2. - Définitions

Aux fins de la présente directive, on entend par :

Loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

   

a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

Art. 4. - Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.



... être identifiée,
directement ou indirectement, par ...

(amendement n° 2)

b) « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

Art. 5. - Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives.

« Constitue un traitement de données à caractère personnel toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

(Alinéa sans modification).

c) « fichier de données à caractère personnel » (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

 

« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

« Est la personne concernée par un traitement de données à caractère personnel celle à laquelle se rapportent les données qui font l'objet du traitement.

(Alinéa sans modification).

(Alinéa sans modification).

d) « responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

 

« Art. 3. - I. -  Est responsable d'un traitement de données à caractère personnel, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine ses finalités et ses moyens.

« Art. 3. - I. - Le responsable d'un traitement de données à caractère personnel est, sauf...


... service ou l'organisme qui détermine ses finalités et ses moyens.

(amendement n° 3)

e) « sous-traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

     

f) « tiers » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

     

g) « destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers ; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires ;

 

« II. -  Est destinataire d'un traitement de données à caractère personnel toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

« II. -  Le destinataire d'un traitement de données à caractère personnel est toute ...

(amendement n° 4)

h) « consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

     
   

« Art. 4. -  Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

« Art. 4. -  (Sans modification).

Art. 4. - Droit national applicable

1. - Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

 

« Art. 5. - I. -  Sont soumis à la présente loi les traitements de données à caractère personnel :

« Art. 5. - I. - (Alinéa sans modification).

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs Etats membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

 

« 1° Dont le responsable est établi sur le territoire français ;

« 1° 
...
français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

(amendement n° 5)

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public ;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

 

« 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

« Est considéré comme établi sur le territoire français le responsable d'un traitement qui y exerce une activité effective dans le cadre d'une installation stable, quelle que soit la forme juridique de celle-ci.

« 2° (Sans modification).

Alinéa supprimé.

(amendement n° 5)

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

 

« II. -  Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

« II. -  (Sans modification).

   

Article 2

Le chapitre II de la même loi est remplacé par les dispositions suivantes :

Article 2

(Alinéa sans modification).

« CHAPITRE II

« Conditions de licéité des traitements de données à
caractère personnel

 

« CHAPITRE II

« Conditions de licéité des traitements de données à
caractère personnel

(Alinéa sans modification).

(Alinéa sans modification).

   

« Section 1

« Dispositions générales

(Alinéa sans modification).

(Alinéa sans modification).

Art. 6. - 1. Les Etats membres prévoient que les données à caractère personnel doivent être :

 

« Art. 6. -  Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes, qu'il incombe au responsable du traitement de faire respecter :

« Art. 6. -  


... suivantes :

(amendement n° 6)

a) traitées loyalement et licitement ;

Art. 25. -  La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

« 1° Les données sont collectées et traitées de manière loyale et licite ;

« 1° (Sans modification).

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les Etats membres prévoient des garanties appropriées ;

 

« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;

« 2° 


... finali-
tés. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

(amendement n° 7)

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

 

« 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

« 3° 

...  regard de leurs
finalités et de leurs traitements ultérieurs ;

(amendement n° 8)

d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

Art. 37. -  Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier.

« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

« 4° (Sans modification).

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

Art. 28. -  I. -  Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.

II. -  Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées.

Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en _uvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

« 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

« Des données à caractère personnel ne doivent pas faire l'objet d'un traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique n'est pas considéré comme incompatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées.

« 5° (Sans modification).

Alinéa supprimé.

(amendement n° 7)

Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

     

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

     

Art. 7. -  Les Etats membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a) la personne concernée a indubitablement donné son consentement

ou

 

« Art. 7. -  Un traitement de données à caractère personnel doit, soit avoir reçu le consentement de la ou des personnes concernées, soit être nécessaire :

« Art. 7. -  


... de la person-
ne concernée
, soit être nécessaire à l'une des conditions suivantes :

(amendements nos 9 et 10)

. . . . . . . . . . . . . . . . . . . .

     

c) il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis

ou

 

« 1° Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

« 1° 
... légale incombant au responsable du traitement ;

(amendement n° 11)

d) il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

 

« 2° Ou à la sauvegarde de la vie de la ou des personnes concernées ;

« 2° A ...
... de la personne
concernée ;

(amendements nos 10 et 9)

e) il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

 

« 3° Ou à l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

« 3° A ...

(amendement n° 10)

ou

     

. . . . . . . . . . . . . . . . . . . .

     

b) il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci

 

« 4° Ou à l'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

« 4° A ...

(amendement n° 10)

ou

     

. . . . . . . . . . . . . . . . . . . .

     

f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1.

 

« 5° Ou à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, à condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

« 5° A ...


... destinataire,
sous réserve
de ne ...

(amendements nos 10 et 12)

   

« Section 2

« Dispositions propres à certaines catégories de données

(Alinéa sans modification).

(Alinéa sans modification).

Art. 8. - Traitements portant sur des catégories particulières de données.

     

1. Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

Art. 31. - Il est interdit de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes.

Toutefois, les églises ou les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre.

« Art. 8. - I. -  Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci.

« II. -  Ne sont pas soumis à l'interdiction prévue au I, dans la mesure où la finalité du traitement l'exige pour certaines catégories de données :

« Art. 8. - I. - (Sans modification).

« II. -  Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

(amendement n° 13)

2. Le paragraphe 1 ne s'applique pas lorsque :

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'Etat.

   

ou

     

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

     

ou

     

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

 

« 1° Le traitement qui est nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d'un tiers, mais auquel la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

« 1° 

... vie humaine, mais ...

(amendement n° 14)

ou

     

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

 

« 2° Le traitement qui est mis en _uvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, pour les seules données mentionnées au I correspondant à l'objet dudit organisme, sous réserve qu'il ne concerne que les membres de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité, et qu'il ne porte que sur des données qui ne sont pas communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

« 2° (Sans modification).

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

 

« 3° Le traitement qui porte sur des données rendues publiques par la personne concernée ;

« 3° (Sans modification).

   

« 4° Le traitement qui est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;

« 4° (Sans modification).

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

Code pénal

Art. 226-13. -  La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 100 000 F d'amende.

« 5° Le traitement qui est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et qui est mis en _uvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal.

« 5° (Sans modification).

     

« 6° Le traitement est nécessaire à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

(amendement n° 15)

4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

 

« III. -  D'autres traitements peuvent être exceptés de l'interdiction prévue au I, lorsque l'intérêt public l'impose et dans les conditions prévues, selon le traitement, au I de l'article 25 ou au II de l'article 26.

« III. -  Lorsque l'intérêt public l'impose et dans les conditions prévues au I de l'article 25 ou au II de l'article 26, d'autres traitements ne sont pas soumis à l'interdiction prévue au I du présent article.

(amendement n° 16)

 

Loi n° 78-17
du 6 janvier 1978 précitée

   

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Les Etats membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique.

Art. 30. - Sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale, les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté.

Jusqu'à la mise en _uvre du fichier des conducteurs prévu par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, à traiter elles-mêmes les informations mentionnées à l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.

« Art. 9. -  Peuvent seuls procéder au traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté :

« 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

« Art. 9. -  Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté, ne peuvent être mis en _uvre que par :

(amendement n° 17)

« 1° (Sans modification).



« 2° (Sans modification).

6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

     

. . . . . . . . . . . . . . . . . . . .

     

Art. 15. - Décisions individuelles automatisées

1. Les Etats membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

Art. 2. - Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

« Art. 10. -  Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

« Aucune décision administrative ou privée produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

« Art. 10. -  (Alinéa sans modification).

« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

(amendement n° 18)

2. Les Etats membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision :

a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

 

« Une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat et pour laquelle la personne concernée a été mise à même de présenter ses observations n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé. »

(Alinéa sans modification).

ou

     

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

     
   

Article 3

Le chapitre III de la même loi est remplacé par les dispositions suivantes :

Article 3

(Alinéa sans modification).

 

CHAPITRE II

La Commission nationale
de l'informatique et
des libertés

« CHAPITRE III

« La Commission nationale de l'informatique et
des libertés

(Alinéa sans modification).

(Alinéa sans modification).

Art. 28. - Autorité de contrôle

     

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque Etat membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment  :

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en _uvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

Art. 6. - Une Commission nationale de l'informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives. La commission dispose à cet effet d'un pouvoir réglementaire, dans les cas prévus par la présente loi.

Art. 14. -  La Commission nationale de l'informatique et des libertés veille à ce que les traitements automatisés, publics ou privés, d'informations nominatives, soient effectués conformément aux dispositions de la présente loi.

« Art. 11. -  La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

« 1° Elle veille à ce que les traitements de données à caractère personnel soient mis en _uvre conformément aux dispositions de la présente loi.

« Art. 11. -  (Alinéa sans modification).

« 1° A Elle informe toutes les personnes concernées de leurs droits et obligations ;

(amendement n° 19)

« 1° (Sans modification).

   

« A ce titre :

(Alinéa sans modification).

 

Art. 21. - Pour l'exercice de sa mission de contrôle, la commission :

. . . . . . . . . . . . . . . . . . . .

« a) Elle autorise les traitements mentionnés aux articles 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

« a) (Sans modification).

 

3°  Edicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;

« b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;

« b) (Sans modification).

 

. . . . . . . . . . . . . . . . . . . .

   

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

6°  Reçoit les réclamations, pétitions et plaintes ;

. . . . . . . . . . . . . . . . . . . .

« c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en _uvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

« c) (Sans modification).

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

 

« d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en _uvre ou envisagent de mettre en _uvre des traitements automatisés de données à caractère personnel ;

« d) (Sans modification).

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

   
 

4°  Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale ;

. . . . . . . . . . . . . . . . . . . .

« e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

« e) (Sans modification).

 

5° Veille à ce que les modalités de mise en _uvre du droit d'accès et de rectification indiquées dans les actes et déclarations prévus aux articles 15 et 16 n'entravent pas le libre exercice de ce droit ;

   
 

Code de procédure pénale

Art. 40. - Le procureur de la République reçoit les plaintes et les dénonciations et apprécie la suite à leur donner. Il avise le plaignant du classement de l'affaire ainsi que la victime lorsque celle-ci est identifiée. Lorsqu'il s'agit de faits commis contre un mineur et prévus et réprimés par les articles 222-23 à 222-32 et 227-22 à 227-27 du code pénal, l'avis de classement doit être motivé et notifié par écrit.

   
 

Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs.

   
 

Loi n° 78-17
du 6 janvier 1978 précitée

Art. 21. - . . . . . . . .

   
 

2°  Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ;

« f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l'article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

« f) (Sans modification).

   

« g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l'égard d'un responsable de traitement l'une des mesures prévues à l'article 45 ;

« g) (Sans modification).

   

« h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;

« h) (Sans modification).

Art. 27. - 1. Les Etats membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les Etats membres en application de la présente directive.

2. Les Etats membres prévoient que les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l'examen de l'autorité nationale.

Les Etats membres prévoient que cette autorité s'assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l'estime opportun, l'autorité recueille les observations des personnes concernées ou de leurs représentants.

 

« 2° A la demande des organismes professionnels regroupant des responsables de traitements :

« a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, qui lui sont soumis ;

« b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

« c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi ;

« 2° (Sans modification).

« a) (Sans modification).







« b) (Sans modification).






« c) (Sans modification).

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

   
 

7°  Se tient informée des activités industrielles et de services qui concourent à la mise en _uvre de l'informatique.

. . . . . . . . . . . . . . . . . . . .

« 3° Elle se tient informée de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés mentionnées à l'article 1er ;

« 3° (Alinéa sans modification).

   

« A ce titre :

(Alinéa sans modification).

   

« a) Elle est consultée, hormis les cas mentionnés au a) du 1°, sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques ;

« a) Elle est consultée sur ...

(amendement n° 20)

   

« b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

« b) (Sans modification).

 

. . . . . . . . . . . . . . . . . . . .

« c) Elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel.

« c) (Sans modification).

 

1° Prend des décisions individuelles ou réglementaires dans les cas prévus par la présente loi ;

. . . . . . . . . . . . . . . . . . . .

« Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

(Alinéa sans modification).

 

Les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

   

Art. 28. -  . . . . . . .

     

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

Art. 23. - La commission présente chaque année au Président de la République et au Parlement un rapport rendant compte de l'exécution de sa mission. Ce rapport est publié.

« La commission présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission.

(Alinéa sans modification).

 

Ce rapport décrira notamment les procédures et méthodes de travail suivies par la commission et contiendra en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci.

   

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

     

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

     

7. Les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.

     
 

Art. 7. - Les crédits nécessaires à la commission nationale pour l'accomplissement de sa mission sont inscrits au budget du ministère de la justice. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

« Art. 12. -  La Commission nationale de l'informatique et des libertés dispose des crédits nécessaires à l'accomplissement de ses missions. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

« Art. 12. -  (Sans modification).

 

Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu à la perception des redevances.

   

Art. 28. -  Autorité de contrôle

1. Chaque Etat membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

Art. 8. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.

Elle est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

-  deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat ;

« Art. 13. - I. -  La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :

« 1° Deux députés et deux sénateurs, élus respectivement par l'Assemblée nationale et par le Sénat ;

« Art. 13. - I. - (Alinéa sans modification).

« 1°
... sénateurs, désignés respectivement ...

(amendement n° 21)

. . . . . . . . . . . . . . . . . . . .

-  deux membres du Conseil économique et social, élus par cette assemblée ;

« 2° Un membre du Conseil économique et social, élu par cette assemblée ;

« 2° Deux membres du Conseil économique et social, élus par ...

(amendement n° 22)

 

-  deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

« 3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

« 3° (Sans modification).

 

-  deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

« 4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

« 4° (Sans modification).

 

-  deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

« 5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

« 5° (Sans modification).

 

-  deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

-  trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

« 6° Quatre personnalités nommées par décret, dont deux qualifiées pour leur connaissance de l'informatique ;

« 7° Deux personnalités qualifiées pour leur connaissance de l'informatique, désignées respectivement par le président de l'Assemblée Nationale et par le président du Sénat.

« 6° Trois personnalités ...

(amendement n° 22)

« 7° (Sans modification).

 

La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.

« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué.

(Alinéa sans modification).

 

La commission établit son règlement intérieur.

   
 

En cas de partage des voix, celle du président est prépondérante.

   
 

Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limité à la période restant à courir.

   
   

« II. -  Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6°et 7°du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1°et 2°sont désignés après chaque renouvellement de l'assemblée à laquelle ils appartiennent ; ils peuvent être membres de la commission pendant une durée maximum de dix ans.

« II. -  (Sans modification).

   

« Le membre de la commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.

 
   

« Sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

 
   

« III. -  La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

« III. -  (Sans modification).

 

La qualité de membre de la commission est incompatible :

-  avec celle de membre du Gouvernement ;

« Art. 14. - I. -  La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.

« Art. 14. - (Sans modification).

 

-  avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

   
 

La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

   
 

Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

   
   

« II. -  Aucun membre de la commission ne peut :

 
   

« -  participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, exerce des fonctions ou détient un mandat ;

 
   

« -  participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des dix-huit mois précédant la délibération ou les vérifications, détenu un intérêt, exercé des fonctions ou détenu un mandat.

 
   

« III. -  Tout membre de la commission doit informer le président des intérêts qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou vient à détenir au sein d'une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.

 
   

« Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant de l'alinéa précédent.

 
   

« Art. 15. -  Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.

« Art. 15. -  (Alinéa sans modification).

   

« En cas de partage égal des voix, la voix du président est prépondérante.

(Alinéa sans modification).

 

Art. 10. - . . . . . . . .

   
 

La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi que des articles 40-13 et 40-14.

« La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :

« -  au troisième alinéa du I de l'article 23 ;

(Alinéa sans modification).


(Alinéa sans modification).

 

. . . . . . . . . . . . . . . . . . . .

« -  aux e) et f) du 1° de l'article 11.

(Alinéa sans modification).

     

« -  aux articles 41 et 42 ;

     

« -  à l'article 54 ;

     

« -  aux articles 63 et 64 ;

     

« -  au premier alinéa de l'article 70.

(amendement n° 23)

   

« Art. 16. -  Le bureau de la commission est composé du président et des deux vice-présidents.

« Art. 16. -  (Alinéa sans modification).

   

« Il peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :

(Alinéa sans modification).

   

« -  au troisième alinéa de l'article 19 ;

(Alinéa sans modification).

   

« -  aux articles 41, 63 et 64 ;

Alinéa supprimé.

(amendement n° 24)

   

« -  au second alinéa de l'article 70.

(Alinéa sans modification).

   

« Le bureau peut aussi être chargé de prendre, en cas d'urgence, les décisions mentionnées au premier alinéa du I de l'article 45.

(Alinéa sans modification).

   

« Art. 17. -  La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l'article 45.

« Art. 17. -  (Alinéa sans modification).

   

« Cette formation est composée du président, du vice-président délégué et de trois membres élus par la commission en son sein pour la durée de leur mandat.


... président, des
vice-présidents
et ...

(amendement n° 25)

   

« En cas de partage égal des voix, la voix du président est prépondérante.

(Alinéa sans modification).

 

Art. 9. - Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission.

Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.

« Art. 18. -  Un commissaire du gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.

« Le commissaire du gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations ; il est rendu destinataire de tous ses avis et décisions.

« Art. 18. - (Sans modification).

   

« Il peut, sauf en matière de sanctions, provoquer une seconde délibération.

 
 

Art. 10. - La commission dispose de services qui sont dirigés par le président ou, sur délégation, par un vice-président et placés sous son autorité.

« Art. 19. -  La commission dispose de services qui sont dirigés par le président ou le vice-président délégué et placés sous son autorité.

« Art. 19. - (Sans modification).

 

. . . . . . . . . . . . . . . . . . . .

   
 

Les agents de la commission nationale sont nommés par le président ou le vice-président délégué.

« Les agents de la commission sont nommés par le président ou le vice-président délégué.

 
   

« Ceux d'entre eux qui peuvent être appelés à participer à la mise en _uvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.

 

Art. 28. -  . . . . . . . .

7. Les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.

Art. 12. - Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 75 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel prévu ci-après, à l'article 378 du code pénal.

« Art. 20. -  Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel, à l'article 226-13 du code pénal.

« Art. 20. - (Sans modification).

 

Code pénal

Art. 413-10. - Est puni de sept ans d'emprisonnement et de 700 000 F d'amende le fait, par toute personne dépositaire, soit par état ou profession, soit en raison d'une fonction ou d'une mission temporaire ou permanente, d'un renseignement, procédé, objet, document, donnée informatisée ou fichier qui a un caractère de secret de la défense nationale, soit de le détruire, détourner, soustraire ou de le reproduire, soit de le porter à la connaissance du public ou d'une personne non qualifiée.

   
 

Est puni des mêmes peines le fait, par la personne dépositaire, d'avoir laissé détruire, détourner, soustraire, reproduire ou divulguer le renseignement, procédé, objet, document, donnée informatisée ou fichier visé à l'alinéa précédent.

   
 

Lorsque la personne dépositaire a agi par imprudence ou négligence, l'infraction est punie de trois ans d'emprisonnement et de 300 000 F d'amende.

   
 

Art. 226-13. - Cf. supra nouvel art. 8 de la loi n° 78-17 précitée.

   
 

Loi n° 78-17
du 6 janvier 1978 précitée

   
 

Art. 13. - Dans l'exercice de leurs attributions, les membres de la Commission nationale de l'informatique et des libertés ne reçoivent d'instruction d'aucune autorité.

« Art. 21. -  Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.

« Art. 21. - (Sans modification).

 

Les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.

« Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f) du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions. »

 
   

Article 4

Le chapitre IV de la même loi est remplacé par les dispositions suivantes :

Article 4

(Alinéa sans modification).

 

CHAPITRE III

Formalités préalables
à la mise en _uvre
des traitements automatisés

« CHAPITRE IV

« Formalités préalables
à la mise en _uvre
des traitements

(Alinéa sans modification).

(Alinéa sans modification).

Art. 18. - Obligations de notification à l'autorité de contrôle

     

1. Les Etats membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l'autorité de contrôle visée à l'article 28 préalablement à la mise en _uvre d'un traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2. Les Etats membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

- lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données.

Art. 16. - Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en _uvre, faire l'objet d'une déclaration, auprès de la Commission nationale de l'informatique et des libertés.

. . . . . . . . . . . . . . . . . . . .

« Art. 22. - I. -  A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26, et 27, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

« Art. 22. -  (Sans modification).

et/ou

     

- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

     

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

     

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

     

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

     

3. Les Etats membres peuvent prévoir que le paragraphe 1 ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

4. Les Etats membres peuvent prévoir une dérogation à l'obligation de notification ou une simplification de la notification pour les traitements visés à l'article 8 paragraphe 2 point d).

5. Les Etats membres peuvent prévoir que les traitements non automatisés de données à caractère personnel, ou certains d'entre eux, font l'objet d'une notification, éventuellement simplifiée.

 

« II. -  Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

« 2° Les traitements mentionnés au 2° du II de l'article 8.

« Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.

 

Art. 21. -  . . . . . . . .

3. En ce qui concerne les traitements non soumis à notification, les Etats membres prévoient que le responsable du traitement ou une autre instance qu'ils désignent communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l'article 19 paragraphe 1 points a) à e).

     

. . . . . . . . . . . . . . . . . . . .

 

« Section 1

« Déclaration

(Alinéa sans modification).

(Alinéa sans modification).

 

Art. 16. - . . . . . . . .

Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

« Art. 23. - I. -  La déclaration comporte l'enga-gement que le traitement satisfait aux exigences de la loi.

Art. 23. -  (Sans modification).

 

Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en _uvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

« Elle peut être adressée à la Commission nationale de l'informatique et des libertés par voie électronique.

« La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en _uvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités.

 
   

« II. -  Les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique. Dans ce cas, les informations requises en application de l'article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

 

Art. 18. - . . . . . . . .

2. Les Etats membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

- lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

et/ou

- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.

. . . . . . . . . . . . . . . . . . . .

Art. 17. - Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19.

Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en _uvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

« Art. 24. -  I. - Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en _uvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l'obligation de déclaration.

« Ces normes précisent :

« 1° Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;

« 2° Les données ou catégories de données traitées ;

« 3° La ou les catégories de personnes concernées ;

« 4° Les destinataires ou catégories de destinataires auxquels les données sont communiquées ;

« 5° La durée de conservation des données.

« Les traitements qui correspondent à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

« II. -  La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

« Art. 24. -  (Sans modification).

   

« Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l'article 23.

 

Art. 20. - Contrôles préalables

 

« Section 2

« Autorisation

(Alinéa sans modification).

(Alinéa sans modification).

1. Les Etats membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en _uvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les Etats membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Art. 15. - Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l'informatique et des libertés .

Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat.

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

« Art. 25. - I. - Sont mis en _uvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

« 1° Les traitements, automatisés ou non, mentionnés au III de l'article 8 ;

« 2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en _uvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;

« 3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en _uvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

« Art. 25. - I. - (Sans modification).

   

« 4° Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

 
   

« 5° Les traitements automatisés ayant pour objet :

 
   

« - l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;

 
   

« - l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;

 
   

« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes, et ceux qui portent sur la totalité ou la quasi-totalité de la population de la France ;

 
   

« 7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

 
   

« 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

 
   

« II. -  Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

« II. -  (Sans modification).

     

« III. -  La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision de son président lorsque la complexité du dossier le justifie. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée. »

(amendement n° 26)

   

« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en _uvre pour le compte de l'Etat et :

« Art. 26. -  (Sans modification).

   

« 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

 
   

« 2° Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

 
   

« L'avis de la commission est publié avec l'arrêté autorisant le traitement.

 
   

« II. -  Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

 
 

Art. 20. -  . . . . . . . .

Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publiés.

« III. -  Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

 
   

« IV. -  Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

 

Art. 8. -  . . . . . . . .

7. Les Etats membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.

Art. 18. - L'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la commission.

« Art. 27. - I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en _uvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

« Art. 27. -  (Sans modification).

   

« 1° Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

 
   

« 2° Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.

 
   

« II. -  Sont autorisés par arrêté pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

 
   

« 1° Les traitements qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

 
   

« 2° Ceux des traitements mentionnés au I :

 
   

« -  qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;

 
   

« -  qui n'ont pas pour objet une interconnexion entre des fichiers ayant des fins correspondant à des intérêts publics différents ;

 
   

« -  et qui sont mis en _uvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques.

 
   

« III. -  Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.

 
 

Art. 15. - . . . . . . . .

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

« Art. 28. - I. -  La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 25, 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président lorsque la complexité du dossier le justifie.

« Art. 28. -  I. -  


... arti-
cles 26 ...

(amendement n° 27)

   

« II. -  La demande d'autorisation d'un traitement présentée à la commission, qui n'a pas fait l'objet d'une décision expresse de celle-ci à l'expiration du délai prévu au I, est réputée rejetée.

« II. -  Alinéa supprimé.

(amendement n° 28)

   

« L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

(Alinéa sans modification).

 

Art. 20. - L'acte réglementaire prévu pour les traitements régis par l'article 15 ci-dessus précise notamment :

« Art. 29. -  Les actes autorisant la création d'un traitement en application des articles 25, 26 et 27 précisent :

« Art. 29. -  (Sans modification).

 

- la dénomination et la finalité du traitement ;

« 1° La dénomination et la finalité du traitement ;

 
 

- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ;

« 2° Le service auprès duquel s'exerce le droit d'accès défini au chapitre VII ;

 
 

- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

« 3° Les catégories de données à caractère personnel enregistrées ;

« 4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

 
   

« 5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 32.

 
 

Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publiés.

   
   

« Section 3

« Dispositions communes

(Alinéa sans modification).

(Alinéa sans modification).

Art. 19. -  Contenu de la notification

1. Les Etats membres précisent les informations qui doivent figurer dans la notification. Elles comprennent au minimum :

Art. 19. - La demande d'avis ou la déclaration doit préciser :

« Art. 30. - I. - Les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :

« Art. 30. -  (Sans modification).

a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant ;

b) la ou les finalités du traitement ;

c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données s'y rapportant ;

d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;

e) les transferts de données envisagés à destination de pays tiers ;

f) une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l'article 17.

2. Les Etats membres précisent les modalités de notification à l'autorité de contrôle des changements affectant les informations visées au paragraphe 1.

-  la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ;

-  les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ;

-  le service ou les services chargés de mettre en _uvre celui-ci ;

-  le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice de ce droit ;

« 1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

« 2° La finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements relevant des articles 25, 26 et 27, ses caractéristiques ;

« 3° Le cas échéant, les interconnexions avec d'autres traitements ;

« 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

« 5° La durée de conservation des informations traitées ;

« 6° Le ou les services chargés de mettre en _uvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

 
 

-  les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;

« 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

 
 

-  les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;

-  les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;

-  les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;

« 8° L'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;

« 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;

« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne, sous quelque forme que ce soit.

 
 

-  si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France.

   
 

Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée à la connaissance de la commission.

Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique.

« II. -  Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la commission :

« -  de tout changement affectant les informations mentionnées au I ;

« -  de toute suppression du traitement.

 

Art. 21. -  Publicité des traitements

1. Les Etats membres prennent des mesures pour assurer la publicité des traitements.

2. Les Etats membres prévoient que l'autorité de contrôle tient un registre des traitements notifiés en vertu de l'article 18.

Le registre contient au minimum les informations énumérées à l'article 19 paragraphe 1 points a) à e).

Le registre peut être consulté par toute personne.

. . . . . . . . . . . . . . . . . . . .

Art. 22. - La commission met à la disposition du public la liste des traitements qui précise pour chacun d'eux :

-  la loi ou l'acte réglementaire décidant de sa création ou la date de sa déclaration ;

-  sa dénomination et sa finalité ;

-  le service auprès duquel est exercé le droit d'accès prévu au chapitre V ci-dessous ;

-  les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

« Art.31. - I. -  La commission met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26.

« Cette liste précise pour chacun de ces traitements :

« 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ;

« 2° La dénomination et la finalité du traitement ;

« 3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celles de son représentant ;

« 4° La personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;

« Art. 31. -  (Sans modification).

   

« 5° Les données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

 
   

« 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

 
 

Sont tenus à la disposition du public, dans les conditions fixées par décret, les décisions, avis ou recommandations de la commission dont la connaissance est utile à l'application ou à l'interprétation de la présente loi.

« II. -  La commission tient à la disposition du public ceux de ses avis, décisions ou recommandations dont la connaissance est utile à l'application ou à l'interprétation de la présente loi. »

 
 

CHAPITRE V

Exercice du droit d'accès

Article 5

L'intitulé du chapitre V de la même loi devient « Chapitre V. -  Obligations incombant aux responsables de traitements et droits des personnes. » Ce chapitre comprend les articles 32 à 42 ci-après ainsi que l'article 40 actuel qui devient l'article 43 nouveau. Il est divisé en deux sections rédigées comme suit :

Article 5

(Alinéa sans modification).

   

« Section 1

« Obligations incombant aux responsables de traitements

(Alinéa sans modification).

(Alinéa sans modification).

Art. 10. - Informations en cas de collecte de données auprès de la personne concernée

Les Etats membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement auquel les données sont destinées ;

c) toute information supplémentaire telle que :

- les destinataires ou les catégories de destinataires des données,

- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

Art. 27. - Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :

-  du caractère obligatoire ou facultatif des réponses ;

-  des conséquences à leur égard d'un défaut de réponse ;

-  des personnes physiques ou morales destinataires des informations ;

-  de l'existence d'un droit d'accès et de rectification.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

« Art. 32. - I. -  La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

« 3° Du caractère obligatoire ou facultatif des réponses ;

« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

« 5° De l'identité du ou des destinataires des données ;

« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre.

« Art. 32. -  I.- (Alinéa sans modification).

« 1° (Sans modification).

« 2° (Sans modification).

« 3° (Sans modification).

« 4° (Sans modification).

« 5° Des destinataires ou catégories de destinataires des données ;

(amendement n° 29)

« 6° (Sans modification).

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

     

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

     

Art. 11. - Informations lorsque les données n'ont pas été collectées auprès de la personne concernée

     

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les Etats membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement ;

c) toute information supplémentaire telle que :

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les Etats membres prévoient des garanties appropriées.

 

« II. -  Lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

« Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent également pas quand l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

« III. -  Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en _uvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

« IV. -  Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche ou la poursuite d'infractions pénales.

« II. -  (Sans modification).











« III. -  (Sans modification).













« IV. -  (Sans modification).

 

Directive 99/93/CE du
13 décembre 1999 sur un cadre communautaire pour les signatures électroniques

Art. 8. -  1. Les Etats membres veillent à ce que les prestataires de service de certification et les organismes nationaux responsables de l'accréditation ou du contrôle satisfaisant aux exigences prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

« Art. 33. -  Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

« Art. 33. -  (Sans modification).

 

2. Les Etats membres veillent à ce qu'un prestataire de service de certification qui délivre des certificats à l'intention du public ne puisse recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée.

   

Art. 17. - Sécurité des traitements

Loi n° 78-17
du 6 janvier 1978 précitée

   

1. Les Etats membres prévoient que le responsable du traitement doit mettre en _uvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en _uvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Art. 29. - Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

« Art. 34. -  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 1° et au 5° du II de l'article 8.

« Art. 34. -  (Sans modification).

2. Les Etats membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que :

-  le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

-  les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

 

« Art. 35. -  Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

« Est regardé comme sous-traitant, au sens de la présente loi, toute personne traitant des données à caractère personnel pour le compte du responsable d'un traitement.

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en _uvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

« Art. 35. -  (Alinéa sans modification).

« Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

(amendement n° 30)

(Alinéa sans modification).

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

 

« Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

(Alinéa sans modification).

Art. 16. - Confidentialité des traitements

Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.

Art. 6. -  1. Les Etats membres prévoient que les données à caractère personnel doivent être :

. . . . . . . . . . . . . . . . . . . .

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

. . . . . . . . . . . . . . . . . . . .

Art. 28. - I. - Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.

II. - Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées.

Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en _uvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

« Art. 36. -  Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des informations ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.

« Toutefois, il peut être procédé à un traitement à d'autres finalités que celles mentionnées à l'alinéa premier soit avec l'accord exprès de la personne concernée, soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ou, lorsque les données conservées sont au nombre de celles qui sont mentionnées au I de l'article 8, dans les conditions prévues au III du même article.

« Art. 36. -  (Sans modification).

 

Art. 29-1. - Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.

« Art. 37. -  Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 sur les archives.

« Art. 37. -  (Sans modification).

 

En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 29 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 précitée et n° 79-18 du 3 janvier 1979 précitée.

« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois du 17 juillet 1978 et du 3 janvier 1979 précitées.

 
   

« Section 2

« Droits des personnes
à l'égard des traitements
de données
à caractère personnel

(Alinéa sans modification).

(Alinéa sans modification).

Art. 14. - Droit d'opposition de la personne concernée

Les Etats membres reconnaissent à la personne concernée le droit:

a) au moins dans les cas visés à l'article 7 points e) et f), de s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiée, le traitement mis en _uvre par le responsable du traitement ne peut plus porter sur ces données;

Art. 26. - Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Ce droit ne s'applique pas aux traitements limitativement désignés dans l'acte réglementaire prévu à l'article 15.

« Art. 38. -  Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant fassent l'objet d'un traitement.

« Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

« Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

« Art. 38. -  (Sans modification).

b) de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

ou

     

d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.

     

Les Etats membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l'existence du droit visé au point b) premier alinéa.

     

Art. 12. - Droit d'accès

Les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement:

Art. 3. - Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés.

   

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

Art. 34. - Toute personne justifiant de son identité a le droit d'interroger les services ou organismes chargés de mettre en _uvre les traitements automatisés dont la liste est accessible au public en application de l'article 22 ci-dessus en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d'en obtenir communication.

« Art. 39. - I. - Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :

« 1° La confirmation que des données la concernant font ou ne font pas l'objet de ce traitement ;

« 2° Des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

« Art. 39. - I. - (Alinéa sans modification).

« 1° (Sans modification).

« 2° (Sans modification).

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

 

« 3° La communication, sous une forme accessible, des données qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

« 3° (Sans modification).

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1;

 

« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé lorsque les résultats de celui-ci lui sont opposés.

« 4° 




... opposés. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre premier et du titre IV du livre III du code de la propriété intellectuelle.

(amendement n° 31)

. . . . . . . . . . . . . . . . . . . .

Art. 35. - Le titulaire du droit d'accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

   
 

Une copie est délivrée au titulaire du droit d'accès qui en fait la demande contre perception d'une redevance forfaitaire variable selon la catégorie de traitement dont le montant est fixé par décision de la commission et homologué par arrêté du ministre de l'économie et des finances.

« Une copie des données est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

« En cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

(Alinéa sans modification).








... peut, y compris par ordonnance sur requête, prendre toutes ...

(amendement n° 32)

Art. 13. - Exceptions et limitations

Toutefois, la commission saisie contradictoirement par le responsable du fichier peut lui accorder :

- des délais de réponse ;

« II. -  Le responsable du traitement peut ne pas tenir compte des demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

« II. -  
... peut s'opposer aux demandes manifestement abusives, notamment par ...
... systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

(amendements nos 33 et 34)

. . . . . . . . . . . . . . . . . . . .

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

- l'autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées pendant une durée n'excédant pas celle qui est nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques.

(Alinéa sans modification).

Art. 12. -  Droit d'accès

Les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement :

. . . . . . . . . . . . . . . . . . . .

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Art. 36. - Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le service ou organisme concerné doit délivrer sans frais copie de l'enregistrement modifié.

En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.

« Art. 40. -  Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

« Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

« En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

« Art. 40. -  (Alinéa sans modification).

(Alinéa sans modification).




(Alinéa sans modification).

 

Lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement, la redevance versée en application de l'article 35 est remboursée.

« Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

(Alinéa sans modification).

 

Art. 38. - Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la commission.

« Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de notifier à ce tiers les opérations qu'il a effectuées conformément au premier alinéa.





... de lui notifier les ...

(amendement n° 35)

Art. 13. - Exceptions et limitations

1. Les Etats membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder :

a) la sûreté de l'Etat ;

b) la défense ;

c) la sécurité publique ;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e) un intérêt économique ou financier important d'un Etat membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e) ;

Art. 39. - En ce qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, la demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.

Il est notifié au requérant qu'il a été procédé aux vérifications.

« Art. 41. -  Par dérogation aux articles 39 et 40, les demandes d'accès relatives aux traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique sont adressées à la Commission nationale de l'informatique et des libertés, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.

« Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat des opérations effectuées en application du premier alinéa de l'article 40 ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant.

« Dans les autres cas, la commission informe le requérant qu'il a été procédé aux vérifications.

« Art. 41. -  (Sans modification).

g) la protection de la personne concernée ou des droits et libertés d'autrui.

     

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

     
   

« Art. 42. -  Les dispositions de l'article 41 sont applicables aux traitements mis en _uvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27. »

« Art. 42. -  (Sans modification).

   

Article 6

Le chapitre VI de la même loi est remplacé par les dispositions suivantes :

Article 6

(Alinéa sans modification).

 

Chapitre VI

Dispositions pénales

« Chapitre VI

« Le contrôle de la mise en _uvre des traitements

(Alinéa sans modification).

(Alinéa sans modification).

Art. 28. -  Autorité de contrôle

. . . . . . . . . . . . . . . . . . . .

3. Chaque autorité de contrôle dispose notamment  :

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

. . . . . . . . . . . . . . . . . . . .

Art. 21. - . . . . . . . .

2° Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ;

. . . . . . . . . . . . . . . . . . . .

« Art. 44. - I. -  Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au troisième alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en _uvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

« Art. 44. - I. - (Sans modification).

   

« Le procureur de la République territorialement compétent en est préalablement informé.

 
   

« II. -  En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance ou du juge délégué par lui.

« II. -  (Sans modification).

   

« Ce magistrat est saisi à la requête du président de la commission. Il statue par une ordonnance motivée, conformément aux dispositions prévues aux articles 493 à 498 du nouveau code de procédure civile. La procédure est sans représentation obligatoire.

 
   

« La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Celui-ci peut se rendre dans les locaux durant l'intervention. A tout moment, il peut décider l'arrêt ou la suspension de la visite.

 
   

« III. -  Les membres de la commission et les agents mentionnés au premier alinéa peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux logiciels et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

« III. -  

...
alinéa du I peuvent ...

(amendement n° 36)

   

« Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent.

(Alinéa sans modification).

   

« Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement.




...
traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en _uvre par un membre d'une profession de santé.

(amendement n° 37)

   

« Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article. »

(Alinéa sans modification).

   

Article 7

Le chapitre VII de la même loi est remplacé par les dispositions suivantes :

Article 7

(Alinéa sans modification).

 

Chapitre VII

Dispositions diverses

« Chapitre VII

« Sanctions infligées par
la Commission nationale
de l'informatique
et des libertés

(Alinéa sans modification).

(Alinéa sans modification).

Art. 28. -  Autorité de contrôle

. . . . . . . . . . . . . . . . . . . .

3. Chaque autorité de contrôle dispose notamment  :

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en _uvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

Art. 21. - . . . . . . . .

3° Cf. infra.

4° Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale ;

. . . . . . . . . . . . . . . . . . . .

« Art. 45. - I. -  La Commission nationale de l'informatique et des libertés peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.

« Si le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

« 1° Une sanction pécuniaire ;

« 2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

« Art. 45. - I. - (Alinéa sans modification).

(Alinéa sans modification).





« 1° (Sans modification).

« 2°
... traitement ou de procéder à sa destruction, lorsque ...

(amendement n° 38)

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

. . . . . . . . . . . . . . . . . . . .

 

« II. -  En cas d'urgence, lorsque la mise en _uvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er, la commission peut, après une procédure contradictoire :

« II. -  (Sans modification).

 

Art. 21. - . . . . . . . .

3° Edicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;

. . . . . . . . . . . . . . . . . . . .

« 1° Décider l'interruption de la mise en _uvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;

« 2° Saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ; le Premier ministre fait alors connaître à la commission et rend publiques les suites qu'il a données à cette saisine au plus tard quinze jours après l'avoir reçue.

 
   

« III. -  En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

« III. -  (Sans modification).

   

« Art. 46. -  Les sanctions prévues au I et au 1° du II de l'article 45 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations. Le rapporteur peut présenter des observations orales à la commission mais ne prend pas part à ses délibérations. La commission peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information.

« Art. 46. -  












... observations et se
faire représenter ou assister
. Le ...

(amendement n° 39)

   

« La commission peut décider de rendre publiques les sanctions qu'elle prononce.

(Alinéa sans modification).

   

« Les décisions prises par la commission au titre de l'article 45 sont motivées et notifiées au responsable du traitement. Les décisions infligeant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat.

(Alinéa sans modification).

   

« Art. 47. -  Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

« Art. 47. -  (Alinéa sans modification).

   

« Lors du premier manquement, il ne peut excéder 150 000 €. En cas de manquement réitéré, il ne peut excéder 300 000 € ou 5 % du chiffre d'affaires.


...

 réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ...

(amendement n° 40)

   

« Lorsque la Commission nationale de l'infor-matique et des libertés a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

(Alinéa sans modification).

   

« Les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.

(Alinéa sans modification).

Art. 28. - Obligation de notification à l'autorité de contrôle

     

. . . . . . . . . . . . . . . . . . . .

     

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

 

« Art. 48. -  La commission peut exercer les pouvoirs prévus à l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 à l'égard des traitements dont les opérations sont mises en _uvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la Communauté européenne.

« Art. 48. -  (Sans modification).

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

. . . . . . . . . . . . . . . . . . . .

     
   

« Art. 49. -  La commission peut, à la demande d'une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de la Communauté européenne, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à l'article 45, sauf s'il s'agit d'un traitement mentionné au I ou au II de l'article 26.

« Art. 49. -  (Sans modification).

   

« La commission est habilitée à communiquer les informations qu'elle recueille ou qu'elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d'autres Etats membres de la Communauté européenne. »

 
   

Article 8

La même loi est complétée par un chapitre VIII ainsi rédigé :

Article 8

(Sans modification).

 

Loi n° 78-17
du 6 janvier 1978 précitée

« Chapitre VIII

« Dispositions pénales

 
 

Art. 41. -  Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Code pénal

Art. 226-16 à 226-14. - Cf. infra, art. 14 du projet de loi.

« Art. 50. -  Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

 
 

Loi n° 78-17
du 6 janvier 1978 précitée

   
 

Art. 43. - Est puni d'un an d'emprisonnement et de 100 000 F d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

« Art. 51. -  Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

 
 

1° Soit en s'opposant à l'exercice de vérifications sur place ;

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 et définies aux articles 45 et 49 ;

 
 

2° Soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition les renseignements et documents utiles à la mission qui leur est confiée par la commission ou en dissimulant lesdits documents ou renseignements, ou encore en les faisant disparaître ;

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

 
 

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne le présentent pas sous une forme directement intelligible.

« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

 
   

« Art. 52. -  Le procureur de la République avise le président de la Commission nationale de l'informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

 
   

« La juridiction d'instruction ou de jugement peut appeler le président de la Commission nationale de l'informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l'audience. »

 

Art. 8. -  Traitements portant sur des catégories particulières de données

1. Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

. . . . . . . . . . . . . . . . . . . .

4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

. . . . . . . . . . . . . . . . . . . .

Chapitre V bis

Traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé

Art. 40-1. - Les traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé sont soumis aux dispositions de la présente loi, à l'exception des articles 15, 16, 17, 26 et 27.

. . . . . . . . . . . . . . . . . . . .

Art. 40-3. - Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre les données nominatives qu'ils détiennent dans le cadre d'un traitement automatisé de données autorisé en application de l'article 40-1.

Article 9

I. -  Le chapitre V bis de la même loi devient le chapitre IX et son intitulé est remplacé par l'intitulé suivant : « Chapitre IX - Traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé ».

II. -  Les articles 40-1 à 40-8 de la même loi deviennent les articles 53 à 61 et sont modifiés comme suit :

1° Au premier alinéa des articles 40-1, 40-3 et 40-8, le mot : « automatisés » est supprimé ;

Article 9

I. -  (Sans modification).






II. -  

... à
60
et ...

(amendement n° 41)

(Sans modification).

 

. . . . . . . . . . . . . . . . . . . .

   
 

Art. 40-8. - La mise en _uvre d'un traitement automatisé de données en violation des conditions prévues par le présent chapitre entraîne le retrait temporaire ou définitif, par la Commission nationale de l'informatique et des libertés, de l'autorisation délivrée en application des dispositions de l'article 40-2.

   
 

. . . . . . . . . . . . . . . . . . . .

   
 

Art. 40-1. - Cf. supra.

Art. 40-2. - Pour chaque demande de mise en _uvre d'un traitement de données, un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, institué auprès du ministre chargé de la recherche et composé de personnes compétentes en matière de recherche dans le domaine de la santé, d'épidémiologie, de génétique et de biostatistique, émet un avis sur la méthodologie de la recherche au regard des dispositions de la présente loi, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche, préalablement à la saisine de la Commission nationale de l'informatique et des libertés.

2° Au premier alinéa des articles 40-1, 40-2, 40-3 et 40-5, ainsi qu'à l'article 40-7, les mots : « données nominatives » sont remplacés par les mots : « données à caractère personnel » ;

(Sans modification).

 

. . . . . . . . . . . . . . . . . . . .

   
 

Art. 40-3. - Cf. supra.

   
 

Art. 40-5. - Les personnes auprès desquelles sont recueillies des données nominatives ou à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées :

   
 

1° De la nature des informations transmises ;

   
 

2° De la finalité du traitement de données ;

   
 

3° Des personnes physiques ou morales destinataires des données ;

   
 

4° Du droit d'accès et de rectification institué au chapitre V ;

   
 

5° Du droit d'opposition institué aux premier et troisième alinéas de l'article 40-4 ou, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement.

   
 

. . . . . . . . . . . . . . . . . . . .

   
 

Art. 40-7. - Une information relative aux dispositions du présent chapitre doit être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données nominatives en vue d'un traitement visé à l'article 40-1.

   
 

Art. 40-1. - Cf. supra.

3° Au premier alinéa de l'article 40-1, les mots : « à l'exception des articles 15, 16, 17, 26 et 27 » sont remplacés par les mots : « à l'exception des articles 23 à 26, 32 et 38 » ;

(Sans modification).

 

Art. 40-2. - . . . . . . .

4° Le quatrième alinéa de l'article 40-2 est remplacé par quatre alinéas ainsi rédigés :

(Alinéa sans modification).

 

La mise en _uvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, le traitement de données est autorisé.

« La mise en _uvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui se prononce dans les conditions prévues à l'article 28.

« Pour les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et portant sur des données ne permettant pas une identification directe des personnes concernées, la commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif ainsi qu'avec les organismes publics et privés représentatifs, et destinées à simplifier la procédure prévue aux quatre premiers alinéas du présent article.

(Alinéa sans modification).





(Alinéa sans modification).

   

« Ces méthodologies précisent, eu égard aux caractéristiques mentionnées à l'article 30, les normes auxquelles doivent correspondre les traitements pouvant faire l'objet d'une demande d'avis et d'une demande d'autorisation simplifiées.

(Alinéa sans modification).

   

« Pour les traitements répondant à ces normes, seul un engagement de conformité à l'une d'entre elles est envoyé au comité consultatif, puis à la commission. Le président de la commission peut autoriser ces traitements à l'issue d'une procédure simplifiée d'examen. » ;




... en-
voyé à ...

(amendement n° 42)

     

« Pour les autres catégories de traitements, le comité consultatif fixe, en concertation avec la Commission nationale de l'informatique et des libertés, les conditions dans lesquelles son avis n'est pas requis. » ;

(amendement n° 43)

 

Art. 40-3. - . . . . . .

5° La dernière phrase du deuxième alinéa de l'article 40-3 est remplacée par les deux phrases suivantes :

(Sans modification).

 

Lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur transmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 28.

. . . . . . . . . . . . . . . . . . . .

« La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 36. » ;

 
   

6° Le premier alinéa de l'article 40-4 est remplacé par les dispositions suivantes :

(Sans modification).

 

Art. 40-4. - Toute personne a le droit de s'opposer à ce que des données nominatives la concernant fassent l'objet d'un traitement visé à l'article 40-1.

. . . . . . . . . . . . . . . . . . . .

Art. 40-5. -. . . . . . .

4° Du droit d'accès et de rectification institué au chapitre V ;

. . . . . . . . . . . . . . . . . . . .

« Toute personne a le droit de s'opposer à ce que les données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux qui sont visés à l'article 53. » ;

7° Au cinquième alinéa de l'article 40-5, les mots : « institué au chapitre V » sont remplacés par les mots : « institué aux articles 39 et 40 » ;

(Sans modification).

 

Art. 40-6. - Sont destinataires de l'information et exercent les droits prévus aux articles 40-4 et 40-5 les titulaires de l'autorité parentale, pour les mineurs, ou le tuteur, pour les personnes faisant l'objet d'une mesure de protection légale.

8° A l'article 40-6, le mot : « tuteur » est remplacé par les mots : « représentant légal » et les mots : « protection légale » par le mot : « tutelle » ;

(Sans modification).

 

Art. 40-8. -. . . . . . .

Il en est de même en cas de refus de se soumettre au contrôle prévu par le 2° de l'article 21.

9° Au second alinéa de l'article 40-8, les mots : « au contrôle prévu par le 2° de l'article 21 » sont remplacés par les mots : « aux vérifications prévues par le f) du 1° de l'article 11 ».

(Sans modification).

 

Art. 40-9. Cf. infra.

III. -  Les articles 40-9 et 40-10 sont abrogés.

III. -  (Sans modification).

 

Art. 40-10. - Un décret en Conseil d'Etat précise les modalités d'application du présent chapitre.

   
   

IV. -  Le chapitre IX nouveau comprend un article 61 ainsi rédigé :

IV. -  (Sans modification).

 

Art. 40-9. - La transmission hors du territoire français de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 40-2, que si la législation de l'Etat destinataire apporte une protection équivalente à la loi française.

« Art. 61. -  La trans-mission vers un Etat n'appartenant pas à la Communauté européenne de données à caractère personnel non codées faisant l'objet d'un traitement ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 54, que sous réserve du respect des règles énoncées au chapitre XII. »

 
 

Chapitre V ter

Traitement des données personnelles de santé à des fins d'évaluation ou d'analyse des activités de soins et de prévention

Article 10

I. -  Le chapitre V ter de la même loi devient le chapitre X et son intitulé est remplacé par l'intitulé suivant : « Chapitre X - Traitements de données de santé à caractère personnel à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention ».

Article 10

(Sans modification).

   

II. -  Les articles 40-11 à 40-15 de la même loi deviennent les articles 62 à 66 et sont modifiés comme suit :

 
 

Art. 40-11. - Les traitements de données personnelles de santé qui ont pour fin l'évaluation des pratiques de soins et de prévention sont autorisés dans les conditions prévues au présent chapitre.

Les dispositions du présent chapitre ne s'appliquent ni aux traitements de données personnelles effectuées à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie, ni aux traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale dans les conditions prévues au deuxième alinéa de l'article L. 710-6 du code de la santé publique.

1° Au premier alinéa de l'article 40-11, les mots : « traitements de données personnelles de santé » sont remplacés par les mots : « traitements de données de santé à caractère personnel », et au deuxième alinéa de ce même article, les mots : « données personnelles » sont remplacés par les mots : « données à caractère personnel ». La référence à l'article L. 710-6 du code de la santé publique est remplacée par une référence à l'article L. 6113-7 ;

 
 

Code de la santé publique

Art. L. 6113-7. - Les établissements de santé, publics ou privés, procèdent à l'analyse de leur activité.

   
 

Dans le respect du secret médical et des droits des malades, ils mettent en _uvre des systèmes d'information qui tiennent compte notamment des pathologies et des modes de prise en charge en vue d'améliorer la connaissance et l'évaluation de l'activité et des coûts et de favoriser l'optimisation de l'offre de soins.

   
 

Les praticiens exerçant dans les établissements de santé publics et privés transmettent les données médicales nominatives nécessaires à l'analyse de l'activité au médecin responsable de l'information médicale pour l'établissement dans des conditions déterminées par voie réglementaire après consultation du Conseil national de l'ordre des médecins.

   
 

Le praticien responsable de l'information médicale est un médecin désigné par le conseil d'administration ou l'organe délibérant de l'établissement, s'il existe, après avis de la commission médicale ou de la conférence médicale. Pour ce qui concerne les établissements publics de santé, les conditions de cette désignation et les modes d'organisation de la fonction d'information médicale sont fixés par décret.

   
 

Loi n° 78-17
du 6 janvier 1978 précitée

Art. 40-13. - Pour chaque demande, la commission vérifie les garanties présentées par le demandeur pour l'application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social. Elle s'assure de la nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention. Elle vérifie que les données personnelles dont le traitement est envisagé ne comportent ni le nom, ni le prénom des personnes concernées, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques. En outre, si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l'ensemble des données personnelles dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que des données ainsi réduites.

2° Au premier alinéa de l'article 40-13, les mots : « données personnelles » sont remplacés par les mots : « données à caractère personnel » ;

 
 

La commission détermine la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

   
 

Art. 40-14. - La commission dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, ce silence vaut décision de rejet. Les modalités d'instruction par la commission des demandes d'autorisation sont fixées par décret en Conseil d'Etat.

3° La dernière phrase du premier alinéa de l'article 40-14 est supprimée ;

 
 

. . . . . . . . . . . . . . . . . . . .

   
 

Art. 40-15. - Les traitements autorisés conformément aux articles 40-13 et 40-14 ne peuvent servir à des fins de recherche ou d'identification des personnes. Les personnes appelées à mettre en _uvre ces traitements, ainsi que celles qui ont accès aux données faisant l'objet de ces traitements ou aux résultats de ceux-ci lorsqu'ils demeurent indirectement nominatifs, sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

4° Au premier alinéa de l'article 40-15, les mots : « lorsqu'ils demeurent indirectement nominatifs » sont remplacés par les mots : « lorsqu'ils permettent indirectement d'identifier les personnes concernées ».

 
 

. . . . . . . . . . . . . . . . . . . .

   
   

Article 11

La même loi est complétée par un chapitre XI ainsi rédigé :

Article 11

(Alinéa sans modification).

   

« Chapitre XI

« Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire
et artistique

(Alinéa sans modification).

(Alinéa sans modification).

Art. 9. -  Traitements de données à caractère personnel et liberté d'expression

Les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression.

Art. 33. - Les dispositions des articles 24, 30 et 31 ne s'appliquent pas aux informations nominatives traitées par les organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent et dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

« Art. 67. -  Le 5° de l'article 6, les articles 8, 9, 22, 32, 39, 40 et 68 à 70 ne s'appliquent pas aux traitements de données à caractère personnel mis en _uvre aux seules fins :

« 1° D'expression littéraire et artistique ;

« 2° D'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession.

« Art. 67. -  (Alinéa sans modification).

« 1° (Sans modification).

« 2° (Alinéa sans modification).

   

« Toutefois, pour les traitements mentionnés au 2°, la dispense de l'obligation de déclaration prévue par l'article 22 est subordonnée à la désignation par le responsable du traitement d'un délégué à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en _uvre par ce responsable et d'assurer, d'une manière indépendante, l'application des dispositions de la présente loi. Cette désignation est portée à la connaissance de la Commission nationale de l'informatique et des libertés.







... un cor-
respondant
à ...

(amendement n° 44)

   

« Les dispositions des alinéas précédents ne font pas obstacle à l'application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d'exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes. »

(Alinéa sans modification).

   

Article 12

La même loi est complétée par un chapitre XII ainsi rédigé :

Article 12

(Alinéa sans modification).

   

« Chapitre XII

« Transferts de données
à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne

(Alinéa sans modification).

(Alinéa sans modification).

Art. 25. - Principes

1. Les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

Art. 24. -  Sur proposition ou après avis de la commission, la transmission entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés régis par l'article 16 ci-dessus peut être soumise à autorisation préalable ou réglementée selon des modalités fixées par décret en Conseil d'Etat, en vue d'assurer le respect des principes posés par la présente loi.

« Art. 68. -  Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

« Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.

« Art. 68. -  (Sans modification).

3. Les Etats membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

     

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les Etats membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

     

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

     

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

     

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

     

Art. 26. - Dérogations

1. Par dérogation à l'article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les Etats membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2 peut être effectué, à condition que :

 

« Art. 69. -  Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti à leur transfert ou si le transfert est nécessaire :

« 1° A la sauvegarde de la vie de cette personne ;

« Art. 69. -  







... consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :

(amendements nos 45 et 46)

« 1° (Sans modification).

a) la personne concernée ait indubitablement donné son consentement au transfert envisagé

ou

b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée

ou

c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers

ou

 

« 2° Ou à la sauvegarde de l'intérêt public ;

« 3° Ou au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;

« 4° Ou à la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

« 5° Ou à l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

« 2° A ...

(amendement n° 46)

« 3° Au ...

(amendement n° 46)

« 4° A ...

(amendement n° 46)

« 5° A ...

(amendement n° 46)

d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice

 

« 6° Ou à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.

« 6° A ...

(amendement n° 46)

ou

e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'Etat membre informe la Commission et les autres Etats membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Art. 24. - Sur proposition ou après avis de la commission , la transmission entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés régis par l'article 16 ci-dessus peut être soumise à autorisation préalable ou réglementée selon des modalités fixées par décret en Conseil d'Etat, en vue d'assurer le respect des principes posés par la présente loi.

« Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles dont il fait l'objet.

« La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent.

« Art. 70. -  Si la Commission des Communautés européennes a constaté qu'un Etat n'appartenant pas à la Communauté européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel, la Commission nationale de l'informatique et des libertés, saisie d'une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, délivre le récépissé avec mention de l'interdiction de procéder au transfert des données.

« Lorsqu'elle estime qu'un Etat n'appartenant pas à la Communauté européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données, la Commission nationale de l'informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu'elle est saisie d'une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, la Commission nationale de l'informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l'Etat vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l'Etat vers lequel le transfert est envisagé n'assure pas un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement l'interdiction de procéder au transfert de données à caractère personnel à destination de cet Etat. »

(Alinéa sans modification).
















(Alinéa sans modification).










« Art. 70. -  (Sans modification).

   

Article 13

La même loi est complétée par un chapitre XIII ainsi rédigé :

Article 13

(Sans modification).

   

« Chapitre XIII

« Dispositions diverses

 
 

Art. 46. -  Des décrets en Conseil d'Etat fixeront les modalités d'application de la présente loi. Ils devront être pris dans un délai de six mois à compter de sa promulgation.

« Art. 71. - Des décrets en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixent les modalités d'application de la présente loi.

 
 

Ces décrets détermineront les délais dans lesquels les dispositions de la présente loi entreront en vigueur. Ces délais ne pourront excéder deux ans à compter de la promulgation de ladite loi.

   
 

Art. 47. -  La présente loi est applicable à Mayotte et aux territoires d'outre-mer.

Par dérogation aux dispositions du deuxième alinéa de l'article 40-2, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur domicilié dans un territoire d'outre-mer ou à Mayotte. En cas d'urgence, ce délai peut être ramené à un mois.

« Art. 72. -  La présente loi est applicable en Polynésie française, dans les îles Wallis-et-Futuna, dans les Terres australes et antarctiques françaises, en Nouvelle-Calédonie et à Mayotte.

« Par dérogation aux dispositions du deuxième alinéa de l'article 54, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur lorsque celui-ci réside dans l'une de ces collectivités. En cas d'urgence, ce délai peut être ramené à un mois. »

 
   

TITRE II

DISPOSITIONS MODIFIANT D'AUTRES TEXTES LEGISLATIFS

TITRE II

DISPOSITIONS MODIFIANT D'AUTRES TEXTES LEGISLATIFS

Art. 24. - Sanctions

Les Etats membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

Code pénal

Art. 226-16. - Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en _uvre prévues par la loi est puni de trois ans d'emprisonnement et de 300 000 F d'amende.

Article 14

I. -  Les articles 226-16 à 226-23 du code pénal sont remplacés par les dispositions suivantes :

« Art. 226-16. -  Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en _uvre prévues par la loi est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

Article 14

I. -  (Alinéa sans modification).

« Art. 226-16. -  
...

 traitements
de données ...

(amendement n° 47)


... de cinq ans
d'emprisonnement et de 300 000 € d'amende.

(amendement n° 48)

 

Loi n° 78-17
du 6 janvier 1978 précitée

Art. 42. - Le fait d'utiliser le Répertoire national d'identification des personnes physiques sans l'autorisation prévue à l'article 18 est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

« Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Art. 226-16-1. - Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population de la France, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

(Alinéa sans modification).

« Art. 226-16-1. -  
...
















 de cinq ans d'empri-
sonnement et de 300 000 € d'amende.

(amendement n° 48)

 

Code pénal

Art. 226-17. - Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

« Art. 226-17. -  Le fait de procéder ou de faire procéder à un traitement automatisé de données à caractère personnel sans mettre en _uvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est puni de deux ans d'emprisonnement et de 30 000 € d'amende.

« Art. 226-17. -  
...
 traitement
de ...

(amendement n° 47)


... de cinq ans d'empri-
sonnement et de 300 000 € d'amende.

(amendement n° 49)

 

Art. 226-18. - Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré l'opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

. . . . . . . . . . . . . . . . . . . .

« Art. 226-18. -  Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

« Art. 226-18. -  
...


 de cinq ans d'emprisonnement et de 300 000 € d'amende.

(amendement n° 48)

   

« Art. 226-18-1. -  Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

« Art. 226-18-1. -










... de cinq ans d'emprisonnement et de 300 000 € d'amende.

(amendement n° 48)

 

Art. 226-19. -  Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les m_urs des personnes est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

« Art. 226-19. -  Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

« Art. 226-19. -  
...














 de cinq ans d'emprisonnement et de 300 000 € d'amende.

(amendement n° 48)

 

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des informations nominatives concernant des infractions, des condamnations ou des mesures de sûreté.

« Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

(Alinéa sans modification).

 

Art. 226-18. -  . . . .

En cas de traitement automatisé de données nominatives ayant pour fin la recherche dans le domaine de la santé, est puni des mêmes peines le fait de procéder à un traitement :

« Art. 226-19-1. - En cas de traitement automatisé de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de trois ans d'emprisonnement et de 45 000 € d'amende le fait de procéder à un traitement :

« Art. 226-19-1. -  
... traitement de ...

(amendement n° 47)

... de cinq ans d'emprisonnement et de 300 000 € d'amende ...

(amendement n° 48)

 

1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données nominatives sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des informations transmises et des destinataires des données ;

« 1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ;

« 1° (Sans modification).

 

2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou, s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

« 2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

« 2° (Sans modification).

 

Art. 226-20. - I. - Le fait de conserver des informations sous une forme nominative au-delà de la durée prévue par la demande d'avis ou la déclaration préalable à la mise en _uvre du traitement informatisé est puni de trois ans d'emprisonnement et de 300 000 F d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

« Art. 226-20. -  Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de deux ans d'emprisonnement et de 30 000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

« Art. 226-20. -  





... avis, par ...

(amendement n° 50)

... libertés
ou par la norme simplifiée établie par celle-ci
, est punie de cinq ans d'empri-sonnement et de 300 000 € d'amende, ...

(amendements nos 50 et 49)

 

II. - Le fait de traiter des informations nominatives conservées au-delà de la durée mentionnée au I à des fins autres qu'historiques, statistiques ou scientifiques est puni des mêmes peines, sauf si ce traitement a été autorisé dans les conditions prévues par la loi.

« Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

(Alinéa sans modification).

 

Art. 226-21. -  Le fait, par toute personne détentrice d'informations nominatives à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative ou l'acte réglementaire autorisant le traitement automatisé, ou par la décision de la Commission nationale de l'informatique et des libertés autorisant un traitement automatisé ayant pour fin la recherche dans le domaine de la santé, ou par les déclarations préalables à la mise en _uvre de ce traitement, est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

« Art. 226-21. -  Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en _uvre de ce traitement, est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

« Art. 226-21. -  
...









réglementaire, la décision ...

(amendement n° 50)

...
automatisé ou la norme simplifiée établie par celle-ci, ou par ...

... de cinq ans d'emprisonnement et de 300 000 € d'amende.

(amendements nos 50 et 48)

 

Art. 226-22. -  Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni d'un an d'emprisonnement et de 100 000 F d'amende.

« Art. 226-22. -  Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de trois ans d'emprisonnement et de 45 000 € d'amende.

« Art. 226-22. -  
...














 de cinq ans d'emprisonnement et de 300 000 € d'amende.

(amendement n° 48)

 

La divulgation prévue à l'alinéa précédent est punie de 50 000 F d'amende lorsqu'elle a été commise par imprudence ou négligence.

« La divulgation prévue à l'alinéa précédent est punie d'un an d'emprisonnement et de 15 000 € d'amende lorsqu'elle a été commise par imprudence ou négligence.


...
punie de trois ans d'empri-
sonnement et de 100 000 € d'amende ...

(amendement n° 51)

 

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

« Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

(Alinéa sans modification).

 

Cf. supra, art. 68 à 70 du projet de loi.

« Art. 226-22-1. - Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est puni de deux ans d'emprisonnement et de 30 000 € d'amende.

« Art. 226-22-1. -  
...

















 de cinq ans
d'emprisonnement et de 300 000 € d'amende.

(amendement n° 49)

   

« Art. 226-22-2. - Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.

« Art. 226-22-2. - (Sans modification).

 

Art. 226-23. -  Les dispositions des articles 226-17 à 226-19 sont applicables aux fichiers non automatisés ou mécanographiques dont l'usage ne relève pas exclusivement de l'exercice du droit à la vie privée.

« Art. 226-23. -  Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en _uvre ne se limite pas à l'exercice d'activités exclusivement personnelles. »

« Art. 226-23. - (Sans modification).

 

Art. 226-24. - Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies aux articles 226-16 à 226-21 et 226-23 ainsi qu'au premier alinéa de l'article 226-22.

Les peines encourues par les personnes morales sont :

II. -  Au premier alinéa de l'article 226-24 du code pénal, les mots: « aux articles 226-16 à 226-21 et 226-23 ainsi qu'au premier alinéa de l'article 226-22 » sont remplacés par les mots: « à la présente section ».

II. -  (Sans modification).

 

1° L'amende, suivant les modalités prévues par l'article 131-38 ;

   
 

2° Les peines mentionnées aux 2°, 3°, 4°, 5°, 7°, 8° et 9° de l'article 131-39.

   
 

L'interdiction mentionnée au 2° de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.

   

Art. 3. -  Champ d'application

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel :

- mis en _uvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'Etat (y compris le bien-être économique de l'Etat lorsque ces traitements sont liés à des questions de sûreté de l'Etat) et les activités de l'Etat relatives à des domaines du droit pénal,

- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

Loi n° 95-73 du 21 janvier 1995 d'orientation
et de programmation
relative à la sécurité

Art. 10. - I. - Les enregistrements visuels de vidéosurveillance ne sont considérés comme des informations nominatives, au sens de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que s'ils sont utilisés pour la constitution d'un fichier nominatif.

. . . . . . . . . . . . . . . . . . . .

Article 15

Le I de l'article 10 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité est ainsi rédigé :

« I. -  Les enregistrements visuels de vidéosurveillance sont soumis aux dispositions ci-après, à l'exclusion de ceux qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques, qui sont soumis à la loi n° 78-17 du 6 janvier 1978 relative à l'infor-matique, aux fichiers et aux libertés. »

Article 15

I. -  Le ...



« I. -  
... vidéosur-
veillance répondant aux conditions fixées au II sont soumis ...

(amendement n° 52)

II. -  Il est inséré après le VI du même article un VI bis ainsi rédigé :

« VI bis. -  Le Gouvernement transmet chaque année à la Commission nationale de l'informatique et des libertés un rapport faisant état de l'activité des commissions départementales visées au III et des conditions d'application du présent article. »

(amendement n° 53)

     

Article additionnel

Après l'article 14 de la loi n° 99-944 du 15 novembre 1999 relative au pacte civil de solidarité, il est inséré un article 14-1 ainsi rédigé :

 

Code civil

Art. 515-7. - Cf. infra.

 

« Art. 14-1. -  Les tribunaux d'instance établissent des statistiques semestrielles relatives au nombre de pactes civils de solidarité conclus dans leur ressort. Ces statistiques recensent également le nombre des pactes ayant pris fin en distinguant les cas mentionnés à l'article 515-7 du code civil, la durée moyenne des pactes ainsi que l'âge moyen des personnes concernées. Par dérogation aux dispositions de l'article 8-1 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, elles distinguent les données relatives aux pactes conclus :

« -  entre des personnes de sexe différent ;

« -  entre des personnes de sexe féminin ;

« -  entre des personnes de sexe masculin. »

(amendement n° 54)

 

Art. 513-3. - Deux personnes qui concluent un pacte civil de solidarité en font la déclaration conjointe au greffe du tribunal d'instance dans le ressort duquel elles fixent leur résidence commune.

 

Article additionnel

I. -  Le cinquième alinéa de l'article 515-3 du code civil est ainsi rédigé :

 

A peine d'irrecevabilité, elles produisent au greffier la convention passée entre elles en double original et joignent les pièces d'état civil permettant d'établir la validité de l'acte au regard de l'article 515-2 ainsi qu'un certificat du greffe du tribunal d'instance de leur lieu de naissance ou, en cas de naissance à l'étranger, du greffe du tribunal de grande instance de Paris, attestant qu'elles ne sont pas déjà liées par un pacte civil de solidarité.

   
 

Après production de l'ensemble des pièces, le greffier inscrit cette déclaration sur un registre.

   
 

Le greffier vise et date les deux exemplaires originaux de la convention et les restitue à chaque partenaire.

   
 

Il fait porter mention de la déclaration sur un registre tenu au greffe du tribunal d'instance du lieu de naissance de chaque partenaire ou, en cas de naissance à l'étranger, au greffe du tribunal de grande instance de Paris.

 

« En marge de l'acte de naissance de chaque partenaire, il sera fait mention de la déclaration du pacte civil de solidarité. »

 

L'inscription sur le registre du lieu de résidence confère date certaine au pacte civil de solidarité et le rend opposable aux tiers.

   
 

Toute modification du pacte fait l'objet d'une déclaration conjointe inscrite au greffe du tribunal d'instance qui a reçu l'acte initial, à laquelle est joint, à peine d'irrecevabilité et en double original, l'acte portant modification de la convention. Les formalités prévues au quatrième alinéa sont applicables.

   
 

A l'étranger, l'inscription de la déclaration conjointe d'un pacte liant deux partenaires dont l'un au moins est de nationalité française et les formalités prévues aux deuxième et quatrième alinéas sont assurées par les agents diplomatiques et consulaires français ainsi que celles requises en cas de modification du pacte.

   
 

Art. 515-7. - Lorsque les partenaires décident d'un commun accord de mettre fin au pacte civil de solidarité, ils remettent une déclaration conjointe écrite au greffe du tribunal d'instance dans le ressort duquel l'un d'entre eux au moins a sa résidence. Le greffier inscrit cette déclaration sur un registre et en assure la conservation.

Lorsque l'un des partenaires décide de mettre fin au pacte civil de solidarité, il signifie à l'autre sa décision et adresse copie de cette signification au greffe du tribunal d'instance qui a reçu l'acte initial.

 

II. -  La dernière phrase du cinquième alinéa de l'article 515-7 du même code est ainsi rédigée :

 

Lorsque l'un des partenaires met fin au pacte civil de solidarité en se mariant, il en informe l'autre par voie de signification et adresse copies de celle-ci et de son acte de naissance, sur lequel est portée mention du mariage, au greffe du tribunal d'instance qui a reçu l'acte initial.

   
 

Lorsque le pacte civil de solidarité prend fin par le décès de l'un au moins des partenaires, le survivant ou tout intéressé adresse copie de l'acte de décès au greffe du tribunal d'instance qui a reçu l'acte initial.

   
 

Le greffier, qui reçoit la déclaration ou les actes prévus aux alinéas précédents, porte ou fait porter mention de la fin du pacte en marge de l'acte initial. Il fait également procéder à l'inscription de cette mention en marge du registre prévu au cinquième alinéa de l'article 515-3.

 

« Il fait également porter cette mention en marge de l'acte de naissance des partenaires. »

 

A l'étranger, la réception, l'inscription et la conservation de la déclaration ou des actes prévus aux quatre premiers alinéas sont assurées par les agents diplomatiques et consulaires français, qui procèdent ou font procéder également aux mentions prévues à l'alinéa précédent.

   
 

Le pacte civil de solidarité prend fin, selon le cas :

   
 

1° Dès la mention en marge de l'acte initial de la déclaration conjointe prévue au premier alinéa ;

   
 

2° Trois mois après la signification délivrée en application du deuxième alinéa, sous réserve qu'une copie en ait été portée à la connaissance du greffier du tribunal désigné à cet alinéa ;

   
 

3° A la date du mariage ou du décès de l'un des partenaires.

   
 

Les partenaires procèdent eux-mêmes à la liquidation des droits et obligations résultant pour eux du pacte civil de solidarité. A défaut d'accord, le juge statue sur les conséquences patrimoniales de la rupture, sans préjudice de la réparation du dommage éventuellement subi.

   
 

Art. 515-3. - Cf. supra.

 

III. -  Les mentions inscrites sur le registre tenu au greffe du tribunal d'instance du lieu de naissance de chaque partenaire en application de l'article 515-3 du code civil dans sa rédaction antérieure à la promulgation de la présente loi sont portées en marge de leur acte de naissance dans un délai de six mois ; les mentions concernant les partenaires nés à l'étranger sont portées en marge des registres du service central de l'état civil du ministère des affaires étrangères dans les mêmes délais. A l'expiration du délai précité, les registres sont versés à l'administration des archives.

 

Loi n° 79-18 du 3 janvier 1979 sur les archives

Art. 7. - Le délai au-delà duquel les documents d'archives publiques peuvent être librement consultés est porté à :

   
 

1° Cent cinquante ans à compter de la date de naissance pour les documents comportant des renseignements individuels de caractère médical ;

   
 

2° Cent vingt ans à compter de la date de naissance pour les dossiers de personnel ;

   
 

3° Cent ans à compter de la date de l'acte ou de la clôture du dossier pour les documents relatifs aux affaires portées devant les juridictions, y compris les décisions de grâce, pour les minutes et répertoires des notaires ainsi que pour les registres de l'état civil et de l'enregistrement ;

4° Cent ans à compter de la date du recensement ou de l'enquête, pour les documents contenant des renseignements individuels ayant trait à la vie personnelle et familiale et, d'une manière générale, aux faits et comportements d'ordre privé, collectés dans le cadre des enquêtes statistiques des services publics ;

 

IV. -  Dans le quatrième alinéa de l'article 7 de la loi n° 79-18 du 3 janvier 1979 sur les archives, les mots:  « ainsi que pour les registres de l'état civil et de l'enregistrement » sont remplacés par les mots : « , pour les registres de l'état civil et de l'enregistrement ainsi que pour les registres des tribunaux d'instance comportant les mentions relatives au pacte civil de solidarité. »

(amendement n° 55)

 

5° Soixante ans à compter de la date de l'acte pour les documents qui contiennent des informations mettant en cause la vie privée ou intéressant la sûreté de l'Etat ou la défense nationale, et dont la liste est fixée par décret en Conseil d'Etat.

   
 


Code des postes et
télécommunications

Art. L. 33-4. - La publication des listes d'abonnés ou d'utilisateurs des réseaux ou services de télécommunications est libre, sous réserve de la protection des droits des personnes concernées.

   
 

Parmi les droits garantis figure celui pour toute personne d'être mentionnée sur les listes d'abonnés ou d'utilisateurs publiées ou, sur sa demande, de ne pas l'être, de s'opposer à l'inscription de l'adresse complète de son domicile sur ces listes, d'interdire que les informations nominatives la concernant soient utilisées dans des opérations commerciales, ainsi que de pouvoir obtenir communication desdites informations nominatives et exiger qu'elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées, dans les conditions prévues aux articles 35 et 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

Article additionnel

I. -  Dans le deuxième alinéa de l'article L. 33-4 du code des postes et des télécommunications, les mots : « 35 et 36 », sont remplacés par les mots : « 38, 39 et 40 ».

 

Sur toute demande présentée en vue d'éditer un annuaire universel ou de fournir un service universel de renseignements, même limitée à une zone géographique déterminée, les opérateurs sont tenus de communiquer, dans des conditions non discriminatoires et à un tarif reflétant les coûts du service rendu, la liste de tous les abonnés ou utilisateurs auxquels ils ont affecté, directement ou par l'intermédiaire d'un distributeur, un ou plusieurs numéros du plan national de numérotation prévu à l'article L. 34-10. Un décret en Conseil d'Etat, pris après avis de la Commission supérieure du service public des postes et télécommunications, précise les modalités d'application du présent alinéa.

   
 

Les litiges relatifs aux conditions techniques et financières de la fourniture des listes d'abonnés prévue à l'alinéa précédent peuvent être soumis à l'Autorité de régulation des télécommunications conformément à l'article L. 36-8.

   
 

Code de la santé publique

Art. L. 1131-4. - Sans préjudice de l'application des dispositions du titre II du présent livre et du chapitre V bis de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, nul ne peut se livrer à des prélèvements ayant pour fin de constituer une collection d'échantillons biologiques humains ni utiliser, à cette même fin, des prélèvements déjà réalisés ou leurs dérivés s'il n'a déclaré à l'autorité administrative compétente le projet de collection.

 

II. -  Dans la première phrase du premier alinéa de l'article L. 1131-4 du code de la santé publique, la référence : « chapitre V bis » est remplacée par les mots : « chapitre IX ».

 

Pour l'application du présent article, le terme "collection" désigne la réunion, à des fins de recherche génétique, de prélèvements biologiques effectués sur un groupe de personnes identifiées et sélectionnées en fonction des caractéristiques cliniques ou biologiques d'un ou plusieurs membres du groupe, ainsi que des dérivés de ces prélèvements.

   
 

L'autorité administrative s'assure que les conditions de constitution, de conservation et d'exploitation de la collection présentent les garanties suffisantes pour assurer le bon usage, la sécurité et la confidentialité des données recueillies. Elle dispose d'un délai de trois mois pour s'opposer à la constitution de la collection.

   
 

L'autorité administrative peut, à tout moment, suspendre le développement et interdire l'exploitation des collections qui ne répondent pas aux exigences susmentionnées.

   
 

Les collections déjà constituées doivent être déclarées dans un délai de six mois à compter de la publication du décret prévu au 3° de l'article L. 1131-6. Les dispositions du précédent alinéa leur sont applicables.

   
 

Code de l'action sociale et des familles

Art. L. 262-33. -Pour l'exercice de leur mission, les organismes payeurs mentionnés à l'article L. 262-30 vérifient les déclarations des bénéficiaires. A cette fin, ils peuvent demander toutes les informations nécessaires aux administrations publiques, et notamment aux administrations financières, aux collectivités territoriales, aux organismes de sécurité sociale, de retraite complémentaire et d'indemnisation du chômage ainsi qu'aux organismes publics ou privés concourant aux dispositifs d'insertion ou versant des rémunérations au titre de l'aide à l'emploi, qui sont tenus de les leur communiquer.

   
 

Les informations demandées tant par les organismes instructeurs mentionnés aux articles L. 262-14 et L. 262-15 que par les organismes payeurs mentionnés à l'article L. 262-30 doivent être limitées aux données nécessaires à l'identification de la situation du demandeur en vue de l'attribution de l'allocation et de la conduite des actions d'insertion.

   
 

Les personnels des organismes précités ne peuvent communiquer les informations recueillies dans l'exercice de leur mission qu'au représentant de l'Etat dans le département, au président du conseil général et au président de la commission locale d'insertion définie à l'article L. 263-10.

   
 

Les organismes payeurs transmettent à ceux-ci ainsi qu'aux présidents des centres communaux d'action sociale et aux organismes instructeurs concernés la liste des personnes percevant une allocation de revenu minimum d'insertion.

   
 

Lorsqu'elles sont conservées sur support informatique, les informations mentionnées au présent article peuvent faire l'objet de transmission entre les organismes susmentionnés, dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Un décret fixe les modalités d'information des bénéficiaires qui font l'objet d'un contrôle défini dans le présent article.

 

III. -  Dans la première phrase de l'avant-dernier alinéa de l'article L. 262-33 du code de l'action sociale et des familles, les mots : « à l'article 15 », sont remplacés par les mots : « à l'article 27 ».

 

La nature des informations que les collectivités publiques et les organismes associés à la gestion du revenu minimum d'insertion sont tenus de fournir, aux fins d'établissement des statistiques, à l'Etat et aux autres collectivités et organismes associés est déterminée par décret.

   
 

Art. L. 522-8. -L'agence d'insertion peut conclure avec les bénéficiaires du revenu minimum d'insertion des contrats d'insertion par l'activité. Ces contrats sont régis par les articles L. 322-4-7, L. 322-4-8 et L. 322-4-10 à L. 322-4-14 du code du travail.

   
 

Les titulaires de contrats d'insertion par l'activité sont affectés à l'exécution des tâches d'utilité sociale prévues à l'article L. 522-1. Ces tâches sont assurées par l'agence elle-même ou par les personnes ou organismes mentionnés au premier alinéa de l'article L. 322-4-7 du code du travail.

   
 

L'organisation du temps de travail des bénéficiaires doit permettre à ceux-ci de pouvoir suivre une formation.

   
 

Les organismes payeurs mentionnés à l'article L. 262-30 transmettent à l'agence d'insertion la liste des bénéficiaires de l'allocation du revenu minimum d'insertion ainsi que les informations nécessaires à l'élaboration du contrat d'insertion par l'activité.

   
 

Lorsqu'elles sont conservées sur support informatique, les informations mentionnées à l'alinéa précédent sont transmises dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

IV. -  Dans le dernier alinéa de l'article L. 522-8 du code de l'action sociale et des familles, les mots : « à l'article 15 » sont remplacés par les mots : « à l'article 27 ».

 



Code de procédure pénale

Art. 777-3. - Aucun rapprochement ni aucune connexion, au sens de l'article 19 de la loi n. 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ne peuvent être effectués entre le casier judiciaire national automatisé et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.

 

V. -  Le premier alinéa de l'article 777-3 du code de procédure pénale est ainsi rédigé :

« Aucune interconnexion au sens du 3° de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ne peut être effectuée entre le casier judiciaire national automatisé et tout autre fichier ou traitement de données à caractère personnel détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice. »

 

Aucun fichier ou recueil de données nominatives détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnation.

 

Dans le deuxième alinéa du même article, les mots : "recueil de données nominatives" sont remplacés par les mots : "traitement de données à caractère personnel". »

 

Toutefois, une condamnation pénale pourra toujours être invoquée en justice par la victime de l'infraction.

   
 

Toute infraction aux dispositions qui précèdent sera punie des peines encourues pour le délit prévu à l'article 226-21 du code pénal.

   
 

Code rural

Art. L. 723-43. - Les caisses de mutualité sociale agricole et les organismes habilités à gérer l'assurance maladie, invalidité et maternité des membres non-salariés des professions agricoles sont autorisés à communiquer annuellement au représentant de l'Etat dans le département les renseignements qu'ils détiennent, à l'exception des informations à caractère médical, pour les besoins du contrôle des conditions d'attribution des aides à caractère économique.

 

VI. -  Le dernier alinéa de l'article L. 723-43 du code rural est ainsi rédigé :

 

Un décret en Conseil d'Etat, pris après avis de la commission nationale de l'informatique et des libertés, rendu selon les modalités prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, fixe le contenu et les conditions de cette communication ainsi que son emploi par l'administration.

 

« Le contenu, l'emploi et les conditions de cette communication sont déterminés selon les modalités de l'article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »

 

Code du travail

Art. L. 311-5-1. - L'Agence nationale pour l'emploi est tenue de vérifier lors de l'inscription d'une personne étrangère sur la liste des demandeurs d'emplois la validité de ses titres de séjour et de travail. Elle peut avoir accès aux fichiers des services de l'Etat pour obtenir les informations nécessaires à cette vérification.

   
 

Lorsque ces informations sont conservées sur support informatique, elles peuvent faire l'objet d'une transmission autorisée dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

VII. -  Dans le deu-xième alinéa de l'article L. 311-5-1 du code du travail, les mots : « à l'article 15 » sont remplacés par les mots : « à l'article 27 ».

 

Code de la sécurité sociale

Art. L. 115-2. -Pour l'application des dispositions législatives et réglementaires relatives à la sécurité sociale, les organismes chargés de la gestion d'un régime obligatoire de sécurité sociale se communiquent les renseignements qu'ils détiennent sur leurs ressortissants, dès lors que ces renseignements sont nécessaires à l'appréciation de droits ou à l'exécution d'obligations entrant dans le fonctionnement normal du service public dont sont chargés ces organismes.

   
 

Un acte réglementaire, pris après avis de la commission nationale de l'informatique et des libertés, fixe les conditions de la communication des données autorisée par l'alinéa précédent, conformément aux dispositions de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

VIII. - Dans le deuxième alinéa de l'article L. 115-2 du code de la sécurité sociale, les mots : « l'article 15 » sont remplacés par les mots : « l'article 27 ».

 

Loi n° 84-575
du 9 juillet 1984 portant
diverses dispositions
d'ordre social

Art. premier. - Les organismes attribuant soit des avantages contributifs et non contributifs de vieillesse et d'invalidité prévus par des dispositions législatives ou réglementaires ou organisés par des conventions collectives, soit des pensions réservées aux anciens combattants et aux personnes assimilées, sont tenus de transmettre au ministre chargé des affaires sociales et de la solidarité nationale les données nécessaires à l'élaboration d'un système d'informations sur les montants de retraites, basé sur l'exploitation d'un échantillon statistique anonyme et représentatif de retraités.

   
 

Un acte réglementaire, pris après avis de la commission nationale de l'informatique et des libertés, fixe les conditions de la communication des données autorisées par l'alinéa précédent.

   
 

L'élaboration du système d'information visé au premier alinéa est soumise à la procédure prévue, hors les cas d'approbation législative, par l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Toute modification apportée à ce système d'informations est soumise à l'avis de la commission nationale de l'informatique et des libertés.

 

IX. -  Dans le dernier alinéa de l'article premier de la loi n° 84-575 du 9 juillet 1984 portant diverses dispositions d'ordre social, les mots : « l'article 15 » sont remplacés par les mots : « l'article 27 ».

 

Loi n° 85-10
du 3 janvier 1985 portant
diverses dispositions
d'ordre social

Art. 78. - . . . . . . . .

   
 

III. - Un acte réglementaire, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions de la communication des informations autorisée par les paragraphes précédents, conformément aux dispositions de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

X. -  Dans le III de l'article 78 de la loi n° 85-10 du 3 janvier 1985 portant diverses dispositions d'ordre social, les mots : « de l'article 15 » sont remplacés par les mots : « de l'article 27 ».

 

Loi n° 95-116
du 4 février 1995 portant
diverses dispositions
d'ordre social

Art. 64. I. - En vue de l'affiliation des élèves ou étudiants au régime de sécurité sociale visé à l'article L 381-3 du code de la sécurité sociale, l'ensemble des élèves de classe de terminale reçoivent leur numéro national d'inscription au répertoire national d'identification des personnes physiques délivré par l'Institut national de la statistique et des études économiques.

   
 

A cet effet, les services de l'Etat assurant la tutelle sur les établissements d'enseignement secondaire communiquent toutes les informations nécessaires aux caisses primaires d'assurance maladie du régime général de la sécurité sociale qui sont autorisées à utiliser le répertoire national d'identification des personnes physiques tenu par l'Institut national de la statistique et des études économiques et à créer un traitement d'informations nominatives en vue de la délivrance à chaque élève de classe de terminale de son numéro d'inscription au répertoire national d'identification des personnes physiques.

   
 

Les sections locales universitaires mentionnées à l'article L 381-9 de la sécurité sociale ou leurs groupements définissent et gèrent conjointement avec les caisses primaires d'assurance maladie les opérations d'identification prévues aux deux alinéas précédents. A cet effet, elles reçoivent, en tant que de besoin, les informations et les autorisations, en particulier pour l'utilisation du répertoire national d'identification des personnes physiques, nécessaires au traitement prévu à l'alinéa précédent.

   
 

Un acte réglementaire, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions de la communication des données autorisées par les trois alinéas précédents, conformément aux dispositions de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

XI. -  Dans l'avant-dernier alinéa du I de l'article 64 de la loi n° 95-116 du 4 février 1995 portant diverses dispositions d'ordre social, les mots : « l'article 15 » sont remplacés par les mots : « l'article 27 ».

(amendement n° 56)

 

En complément aux opérations susvisées, les caisses d'assurance maladie recueillent, utilisent et délivrent aux ayants droit de leurs assurés sociaux leur numéro national d'inscription au répertoire national d'identification des personnes physiques délivré par l'Institut national de la statistique et des études économiques, en vue de leur immatriculation.

   
 

II. - L'article 36 de la loi n° 94-637 du 25 juillet 1994 relative à la sécurité sociale est abrogé.

   
   

TITRE III

DISPOSITIONS TRANSITOIRES

TITRE III

DISPOSITIONS TRANSITOIRES

Art. 32. - 1. Les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption.

Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les Etats membres.

2. Les Etats membres veillent à ce que les traitements dont la mise en _uvre est antérieure à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.

Art. 48. -  A titre transitoire, les traitements régis par l'article 15 ci-dessus, et déjà créés, ne sont soumis qu'à une déclaration auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 16 et 17.

La commission peut toutefois, par décision spéciale, faire application des dispositions de l'article 15 et fixer le délai au terme duquel l'acte réglementant le traitement doit être pris.

A l'expiration d'un délai de deux ans à compter de la promulgation de la présente loi, tous les traitements régis par l'article 15 devront répondre aux prescriptions de cet article.

Article 16

I. -  Les responsables de traitements de données à caractère personnel dont la mise en _uvre est régulièrement intervenue avant la publication de la présente loi, disposent, à compter de cette date, d'un délai de trois ans pour mettre leurs traitements en conformité avec les dispositions de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi. Lorsque cette mise en conformité n'a pas pour effet de modifier les caractéristiques des traitements mentionnées à l'article 30 de la loi du 6 janvier 1978, dans sa rédaction issue de la présente loi, les traitements sont réputés avoir satisfait aux formalités préalables prévues au chapitre IV, et, le cas échéant, disposer de l'autorisation prévue, selon le cas, aux articles 25, 26 ou 27 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi.

Article 16

I. -  




















... aux dispo-
sitions
prévues au chapitre IV.

(amendement n° 57)

Par dérogation à l'alinéa précédent, les Etats membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d'adoption de celle-ci. Les Etats membres permettent toutefois à la personne concernée d'obtenir, à sa demande et notamment lors de l'exercice du droit d'accès, la rectification, l'effacement ou le verrouillage des données incomplètes, inexactes ou conservées d'une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.

3. Par dérogation au paragraphe 2, les Etats membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.

4. Les Etats membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

 

Les dispositions de la loi du 6 janvier 1978, dans sa rédaction antérieure à la présente loi, demeurent applicables aux traitements qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité avec les dispositions de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, et, au plus tard, jusqu'à l'expiration du délai de trois ans prévu à l'alinéa précédent. Toutefois, les dispositions des articles 38, 44 à 49 et 68 à 70 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, leur sont immédiatement applicables.

II. -  Par dérogation aux dispositions du I, les responsables de traitements non automatisés de données à caractère personnel dont la mise en _uvre est régulièrement intervenue avant la date de publication de la présente loi, disposent, pour mettre leurs traitements en conformité avec les articles 6 à 9 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi, d'un délai allant jusqu'au 24 octobre 2007.

Les dispositions de l'article 25, du I de l'article 28 ainsi que des articles 30, 31 et 37 de la loi du 6 janvier 1978, dans leur rédaction antérieure à la présente loi, demeurent applicables aux traitements non automatisés qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité avec les dispositions des articles 6 à 9 de la loi du 6 janvier 1978, dans leur rédaction issue de la présente loi et, au plus tard, jusqu'au 24 octobre 2007.

(Alinéa sans modification).

















II. -  (Sans modification).

   

Article 17

I. -  Les membres de la Commission nationale de l'informatique et des libertés en exercice au moment de la publication de la présente loi demeurent en fonction jusqu'au terme normal de leur mandat.

Article 17

I. -  (Sans modification).

   

II. -  Lors de la première cessation, pour quelque cause que ce soit, du mandat de l'un des deux membres de la Commission nationale de l'informatique et des libertés élus par le Conseil économique et social, ce membre est remplacé par une personne mentionnée au 6° du I de l'article 13, pour la durée restant à courir du mandat des autres membres mentionnés à ce 6°.

II. -  Supprimé.

(amendement n° 58)

   

III. -  Les désignations de membres de la Commission nationale de l'informatique et des libertés intervenues moins de deux ans avant la publication de la présente loi ne sont pas prises en compte pour l'application des règles mentionnées au premier alinéa du II de l'article 13 de la loi du 6 janvier 1978 dans sa rédaction issue de la présente loi.

III. -  Supprimé.

(amendement n° 59)

ANNEXE AU TABLEAU COMPARATIF

LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS

Chapitre Ier

Principes et définitions

Article 1er

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Article 2

Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Article 3

Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés.

Article 4

Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

Article 5

Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives.

Chapitre II

La Commission nationale de l'informatique et des libertés

Article 6

Une Commission nationale de l'informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives. La commission dispose à cet effet d'un pouvoir réglementaire, dans les cas prévus par la présente loi.

Article 7

Les crédits nécessaires à la commission nationale pour l'accomplissement de sa mission sont inscrits au budget du ministère de la justice. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu à la perception des redevances.

Article 8

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.

Elle est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

- deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat ;

- deux membres du Conseil économique et social, élus par cette assemblée ;

- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.

La commission établit son règlement intérieur.

En cas de partage des voix, celle du président est prépondérante.

Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limité à la période restant à courir.

La qualité de membre de la commission est incompatible :

- avec celle de membre du Gouvernement ;

- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

Article 9

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission.

Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.

Article 10

La commission dispose de services qui sont dirigés par le président ou, sur délégation, par un vice-président et placés sous son autorité.

La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi que des articles 40-13 et 40-14.

Les agents de la commission nationale sont nommés par le président ou le vice-président délégué.

Article 11

La commission peut demander aux premiers présidents de cour d'appel ou aux présidents de tribunaux administratifs de déléguer un magistrat de leur ressort, éventuellement assisté d'experts, pour des missions d'investigation et de contrôle effectuées sous sa direction.

Article 12

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel prévu ci-après, aux articles 226-13 et 226-14 du code pénal.

Article 13

Dans l'exercice de leurs attributions, les membres de la Commission nationale de l'informatique et des libertés ne reçoivent d'instruction d'aucune autorité.

Les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.

Chapitre III

Formalités préalables à la mise en _uvre des traitements automatisés

Article 14

La Commission nationale de l'informatique et des libertés veille à ce que les traitements automatisés, publics ou privés, d'informations nominatives, soient effectués conformément aux dispositions de la présente loi.

Article 15

Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l'informatique et des libertés.

Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat.

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

Article 16

Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en _uvre, faire l'objet d'une déclaration, auprès de la Commission nationale de l'informatique et des libertés.

Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en _uvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 17

Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19.

Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en _uvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 18

L'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la commission.

Article 19

La demande d'avis ou la déclaration doit préciser :

- la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ;

- les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ;

- le service ou les services chargés de mettre en _uvre celui-ci ;

- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice de ce droit ;

- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;

- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;

- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;

- les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;

- si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France.

Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée à la connaissance de la commission.

Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique.

Article 20

L'acte réglementaire prévu pour les traitements régis par l'article 15 ci-dessus précise notamment :

- la dénomination et la finalité du traitement ;

- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ;

- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publiés.

Article 21

Pour l'exercice de sa mission de contrôle, la commission :

1° Prend des décisions individuelles ou réglementaires dans les cas prévus par la présente loi ;

2° Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ;

3° Edicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;

4° Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale ;

5° Veille à ce que les modalités de mise en _uvre du droit d'accès et de rectification indiquées dans les actes et déclarations prévus aux articles 15 et 16 n'entravent pas le libre exercice de ce droit ;

6° Reçoit les réclamations, pétitions et plaintes ;

7° Se tient informée des activités industrielles et de services qui concourent à la mise en _uvre de l'informatique.

Les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Article 22

La commission met à la disposition du public la liste des traitements qui précise pour chacun d'eux :

- la loi ou l'acte réglementaire décidant de sa création ou la date de sa déclaration ;

- sa dénomination et sa finalité ;

- le service auprès duquel est exercé le droit d'accès prévu au chapitre V ci-dessous ;

- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Sont tenus à la disposition du public, dans les conditions fixées par décret, les décisions, avis ou recommandations de la commission dont la connaissance est utile à l'application ou à l'interprétation de la présente loi.

Article 23

La commission présente chaque année au Président de la République et au Parlement un rapport rendant compte de l'exécution de sa mission. Ce rapport est publié.

Ce rapport décrira notamment les procédures et méthodes de travail suivies par la commission et contiendra en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci.

Article 24

Sur proposition ou après avis de la commission, la transmission entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés régis par l'article 16 ci-dessus peut être soumise à autorisation préalable ou réglementée selon des modalités fixées par décret en Conseil d'Etat, en vue d'assurer le respect des principes posés par la présente loi.

Chapitre IV

Collecte, enregistrement et conservation des informations nominatives

Article 25

La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

Article 26

Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Ce droit ne s'applique pas aux traitements limitativement désignés dans l'acte réglementaire prévu à l'article 15.

Article 27

Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :

- du caractère obligatoire ou facultatif des réponses ;

- des conséquences à leur égard d'un défaut de réponse ;

- des personnes physiques ou morales destinataires des informations ;

- de l'existence d'un droit d'accès et de rectification.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

Article 28

I. -  Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.

II. -  Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées.

Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en _uvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

Article 29

Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Article 29-1

Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.

En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 29 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 précitée et n° 79-18 du 3 janvier 1979 précitée.

Article 30

Sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale, les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté.

Jusqu'à la mise en _uvre du fichier des conducteurs prévu par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, à traiter elles-mêmes les informations mentionnées à l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.

Article 31

Il est interdit de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les m_urs des personnes.

Toutefois, les églises et les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre.

Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'Etat.

Article 32

Abrogé par l'article 13 de la loi n° 88-227 du 11 mars 1988 relative à la transparence financière de la vie politique.

Article 33

Les dispositions des articles 24, 30 et 31 ne s'appliquent pas aux informations nominatives traitées par les organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent et dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

Article 33-1

Les modalités d'application du présent chapitre sont fixées par décret en Conseil d'Etat pris après avis de la commission.

Chapitre V

Exercice du droit d'accès

Article 34

Toute personne justifiant de son identité a le droit d'interroger les services ou organismes chargés de mettre en _uvre les traitements automatisés dont la liste est accessible au public en application de l'article 22 ci-dessus en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d'en obtenir communication.

Article 35

Le titulaire du droit d'accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

Une copie est délivrée au titulaire du droit d'accès qui en fait la demande contre perception d'une redevance forfaitaire variable selon la catégorie de traitement dont le montant est fixé par décision de la commission et homologué par arrêté du ministre de l'économie et des finances.

Toutefois, la commission saisie contradictoirement par le responsable du fichier peut lui accorder :

- des délais de réponse ;

- l'autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Article 36

Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le service ou organisme concerné doit délivrer sans frais copie de l'enregistrement modifié.

En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.

Lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement, la redevance versée en application de l'article 35 est remboursée.

Article 37

Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier.

Article 38

Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la commission.

Article 39

En ce qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, la demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.

Il est notifié au requérant qu'il a été procédé aux vérifications.

Article 40

Lorsque l'exercice du droit d'accès s'applique à des informations à caractère médical, celles-ci ne peuvent être communiquées à l'intéressé que par l'intermédiaire d'un médecin qu'il désigne à cet effet.

Chapitre V bis

Traitements automatisés de données nominatives ayant pour fin
la recherche dans le domaine de la santé

Article 40-1

Les traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé sont soumis aux dispositions de la présente loi, à l'exception des articles 15, 16, 17, 26 et 27.

Les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients ne sont pas soumis aux dispositions du présent chapitre. Il en va de même des traitements permettant d'effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif.

Article 40-2

Pour chaque demande de mise en _uvre d'un traitement de données, un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, institué auprès du ministre chargé de la recherche et composé de personnes compétentes en matière de recherche dans le domaine de la santé, d'épidémiologie, de génétique et de biostatistique, émet un avis sur la méthodologie de la recherche au regard des dispositions de la présente loi, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche, préalablement à la saisine de la Commission nationale de l'informatique et des libertés.

Le comité consultatif dispose d'un mois pour transmettre son avis au demandeur. A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.

Le président du comité consultatif peut mettre en _uvre une procédure simplifiée.

La mise en _uvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, le traitement de données est autorisé.

Article 40-3

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre les données nominatives qu'ils détiennent dans le cadre d'un traitement automatisé de données autorisé en application de l'article 40-1.

Lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur transmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 28.

La présentation des résultats du traitement de données ne peut en aucun cas permettre l'identification directe ou indirecte des personnes concernées.

Les données sont reçues par le responsable de la recherche désigné à cet effet par la personne physique ou morale autorisée à mettre en _uvre le traitement. Ce responsable veille à la sécurité des informations et de leur traitement, ainsi qu'au respect de la finalité de celui-ci.

Les personnes appelées à mettre en _uvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Article 40-4

Toute personne a le droit de s'opposer à ce que des données nominatives la concernant fassent l'objet d'un traitement visé à l'article 40-1.

Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en _uvre du traitement de données.

Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

Article 40-5

Les personnes auprès desquelles sont recueillies des données nominatives ou à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées :

1° De la nature des informations transmises ;

2° De la finalité du traitement de données ;

3° Des personnes physiques ou morales destinataires des données ;

4° Du droit d'accès et de rectification institué au chapitre V ;

5° Du droit d'opposition institué aux premier et troisième alinéas de l'article 40-4 ou, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement.

Toutefois, ces informations peuvent ne pas être délivrées si, pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l'ignorance d'un diagnostic ou d'un pronostic grave.

Dans le cas où les données ont été initialement recueillies pour un autre objet que le traitement, il peut être dérogé à l'obligation d'information individuelle lorsque celle-ci se heurte à la difficulté de retrouver les personnes concernées. Les dérogations à l'obligation d'informer les personnes de l'utilisation de données les concernant à des fins de recherche sont mentionnées dans le dossier de demande d'autorisation transmis à la Commission nationale de l'informatique et des libertés, qui statue sur ce point.

Article 40-6

Sont destinataires de l'information et exercent les droits prévus aux articles 40-4 et 40-5 les titulaires de l'autorité parentale, pour les mineurs, ou le tuteur, pour les personnes faisant l'objet d'une mesure de protection légale.

Article 40-7

Une information relative aux dispositions du présent chapitre doit être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données nominatives en vue d'un traitement visé à l'article 40-1.

Article 40-8

La mise en _uvre d'un traitement automatisé de données en violation des conditions prévues par le présent chapitre entraîne le retrait temporaire ou définitif, par la Commission nationale de l'informatique et des libertés, de l'autorisation délivrée en application des dispositions de l'article 40-2.

Il en est de même en cas de refus de se soumettre au contrôle prévu par le 2° de l'article 21.

Article 40-9

La transmission hors du territoire français de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 40-2, que si la législation de l'Etat destinataire apporte une protection équivalente à la loi française.

Article 40-10

Un décret en Conseil d'Etat précise les modalités d'application du présent chapitre.

Chapitre V ter

Traitement des données personnelles de santé à des fins d'évaluation
ou d'analyse des activités de soins et de prévention

Article 40-11

Les traitements de données personnelles de santé qui ont pour fin l'évaluation des pratiques de soins et de prévention sont autorisés dans les conditions prévues au présent chapitre.

Les dispositions du présent chapitre ne s'appliquent ni aux traitements de données personnelles effectuées à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie, ni aux traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale dans les conditions prévues au deuxième alinéa de l'article L. 710-6 du code de la santé publique.

Article 40-12

Les données issues des systèmes d'information visés à l'article L. 710-6 du code de la santé publique, celles issues des dossiers médicaux détenus dans le cadre de l'exercice libéral des professions de santé, ainsi que celles issues des systèmes d'information des caisses d'assurance maladie, ne peuvent être communiquées à des fins statistiques d'évaluation ou d'analyse des pratiques et des activités de soins et de prévention que sous la forme de statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées.

Il ne peut être dérogé aux dispositions de l'alinéa précédent que sur autorisation de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 40-13 à 40-15. Dans ce cas, les données utilisées ne comportent ni le nom, ni le prénom des personnes, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques.

Article 40-13

Pour chaque demande, la commission vérifie les garanties présentées par le demandeur pour l'application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social. Elle s'assure de la nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention. Elle vérifie que les données personnelles dont le traitement est envisagé ne comportent ni le nom, ni le prénom des personnes concernées, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques. En outre, si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l'ensemble des données personnelles dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que des données ainsi réduites.

La commission détermine la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

Article 40-14

La commission dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, ce silence vaut décision de rejet. Les modalités d'instruction par la commission des demandes d'autorisation sont fixées par décret en Conseil d'Etat.

Les traitements répondant à une même finalité portant sur des catégories de données identiques et ayant des destinataires ou des catégories de destinataires identiques peuvent faire l'objet d'une décision unique de la commission.

Article 40-15

Les traitements autorisés conformément aux articles 40-13 et 40-14 ne peuvent servir à des fins de recherche ou d'identification des personnes. Les personnes appelées à mettre en _uvre ces traitements, ainsi que celles qui ont accès aux données faisant l'objet de ces traitements ou aux résultats de ceux-ci lorsqu'ils demeurent indirectement nominatifs, sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Les résultats de ces traitements ne peuvent faire l'objet d'une communication, d'une publication ou d'une diffusion que si l'identification des personnes sur l'état desquelles ces données ont été recueillies est impossible.

Chapitre VI

Dispositions pénales

Article 41

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Article 42

Le fait d'utiliser le Répertoire national d'identification des personnes physiques sans l'autorisation prévue à l'article 18 est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

Article 43

Est puni d'un an d'emprisonnement et de 100000 F d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

1° Soit en s'opposant à l'exercice de vérifications sur place ;

2° Soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition les renseignements et documents utiles à la mission qui leur est confiée par la commission ou en dissimulant lesdits documents ou renseignements, ou encore en les faisant disparaître ;

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne le présentent pas sous une forme directement intelligible.

DISPOSITIONS PÉNALES

Article 44

Abrogé par l'article 261 de la loi n° 92-1336 du 16 décembre 1992 relative à l'entrée en vigueur du nouveau code pénal et à la modification de certaines dispositions de droit pénal et de procédure pénale rendue nécessaire par cette entrée en vigueur.

Chapitre VII

Dispositions diverses

Article 45

Les dispositions des articles 25, 27, 28, 29, 29-1, 30, 31, 32 et 33 relatifs à la collecte, l'enregistrement et la conservation des informations nominatives sont applicables aux fichiers non automatisés ou mécanographiques autres que ceux dont l'usage relève du strict exercice du droit à la vie privée.

Le premier alinéa de l'article 26 est applicable aux mêmes fichiers, à l'exception des fichiers publics désignés par un acte réglementaire.

Toute personne justifiant de son identité a le droit d'interroger les services ou organismes qui détiennent des fichiers mentionnés au premier alinéa du présent article en vue de savoir si ces fichiers contiennent des informations nominatives le concernant. Le titulaire du droit d'accès a le droit d'obtenir communication de ces informations ; il peut exiger qu'il soit fait application des trois premiers alinéas de l'article 36 de la présente loi relatifs au droit de rectification. Les dispositions des articles 37, 38, 39 et 40 sont également applicables. Un décret en Conseil d'Etat fixe les conditions d'exercice du droit d'accès et de rectification ; ce décret peut prévoir la perception de redevances pour la délivrance de copies des informations communiquées.

Le Gouvernement, sur proposition de la Commission nationale de l'informatique et des libertés, peut décider, par décret en Conseil d'Etat, que les autres dispositions de la présente loi peuvent, en totalité ou en partie, s'appliquer à un fichier ou à des catégories de fichiers non automatisés ou mécanographiques qui présentent, soit par eux-mêmes, soit par la combinaison de leur emploi avec celui d'un fichier informatisé, des dangers quant à la protection des libertés.

Article 46

Des décrets en Conseil d'Etat fixeront les modalités d'application de la présente loi. Ils devront être pris dans un délai de six mois à compter de sa promulgation.

Ces décrets détermineront les délais dans lesquels les dispositions de la présente loi entreront en vigueur. Ces délais ne pourront excéder deux ans à compter de la promulgation de ladite loi.

Article 47

La présente loi est applicable à Mayotte et aux territoires d'outre-mer.

Par dérogation aux dispositions du deuxième alinéa de l'article 40-2, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur domicilié dans un territoire d'outre-mer ou à Mayotte. En cas d'urgence, ce délai peut être ramené à un mois.

Article 48

A titre transitoire, les traitements régis par l'article 15 ci-dessus, et déjà créés, ne sont soumis qu'à une déclaration auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 16 et 17.

La commission peut toutefois, par décision spéciale, faire application des dispositions de l'article 15 et fixer le délai au terme duquel l'acte réglementant le traitement doit être pris.

A l'expiration d'un délai de deux ans à compter de la promulgation de la présente loi, tous les traitements régis par l'article 15 devront répondre aux prescriptions de cet article.

DIRECTIVE 95/46/CE DU 24 OCTOBRE 1995
RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES
À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES

Chapitre premier

Dispositions générales

Article premier

Objet de la directive

1. Les Etats membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

2. Les Etats membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre Etats membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.

Article 2

Définitions

Aux fins de la présente directive, on entend par :

a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b) « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

c) « fichier de données à caractère personnel » (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

d) « responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

e) « sous-traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

f) « tiers » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

g) « destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers ; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires ;

h) « consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Article 3

Champ d'application

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel :

- mis en _uvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'Etat (y compris le bien-être économique de l'Etat lorsque ces traitements sont liés à des questions de sûreté de l'Etat) et les activités de l'Etat relatives à des domaines du droit pénal,

- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

Article 4

Droit national applicable

1. Chaque Etat membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'Etat membre ; si un même responsable du traitement est établi sur le territoire de plusieurs Etats membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

b) le responsable du traitement n'est pas établi sur le territoire de l'Etat membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public ;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit Etat membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

Chapitre II

Conditions générales de licéité des traitements de données
à caractère personnel

Article 5

Les Etats membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites.

Section I

Principes relatifs à la qualité des données

Article 6

1. Les Etats membres prévoient que les données à caractère personnel doivent être :

a) traitées loyalement et licitement ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les Etats membres prévoient des garanties appropriées ;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

Section II

Principes relatifs à la légitimation des traitements de données

Article 7

Les Etats membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a) la personne concernée a indubitablement donné son consentement

ou

b) il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c) il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis

ou

d) il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

e) il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1.

Section III

Catégories particulières de traitements

Article 8

Traitements portant sur des catégories particulières de données

1. Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque :

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'Etat membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

ou

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

ou

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

ou

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'Etat membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Les Etats membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique.

6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

7. Les Etats membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.

Article 9

Traitements de données à caractère personnel et liberté d'expression

Les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression.

Section IV

Information de la personne concernée

Article 10

Informations en cas de collecte de données auprès de la personne concernée

Les Etats membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement auquel les données sont destinées ;

c) toute information supplémentaire telle que :

- les destinataires ou les catégories de destinataires des données,

- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

Article 11

Informations lorsque les données n'ont pas été collectées
auprès de la personne concernée

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les Etats membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement ;

c) toute information supplémentaire telle que :

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les Etats membres prévoient des garanties appropriées.

Section V

Droit d'accès de la personne concernée aux données

Article 12

Droit d'accès

Les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement :

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1 ;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Section VI

Exceptions et limitations

Article 13

Exceptions et limitations

1. Les Etats membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder :

a) la sûreté de l'Etat ;

b) la défense ;

c) la sécurité publique ;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e) un intérêt économique ou financier important d'un Etat membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e) ;

g) la protection de la personne concernée ou des droits et libertés d'autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

Section VII

Droit d'opposition de la personne concernée

Article 14

Droit d'opposition de la personne concernée

Les Etats membres reconnaissent à la personne concernée le droit :

a) au moins dans les cas visés à l'article 7 points e) et f), de s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiée, le traitement mis en _uvre par le responsable du traitement ne peut plus porter sur ces données ;

b) de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

ou

d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.

Les Etats membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l'existence du droit visé au point b) premier alinéa.

Article 15

Décisions individuelles automatisées

1. Les Etats membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les Etats membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision :

a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

Section VIII

Confidentialité et sécurité des traitements

Article 16

Confidentialité des traitements

Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.

Article 17

Sécurité des traitements

1. Les Etats membres prévoient que le responsable du traitement doit mettre en _uvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en _uvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les Etats membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que :

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'Etat membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

Section IX

Notification

Article 18

Obligation de notification à l'autorité de contrôle

1. Les Etats membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l'autorité de contrôle visée à l'article 28 préalablement à la mise en _uvre d'un traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2. Les Etats membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

- lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

et/ou

- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

3. Les Etats membres peuvent prévoir que le paragraphe 1 ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

4. Les Etats membres peuvent prévoir une dérogation à l'obligation de notification ou une simplification de la notification pour les traitements visés à l'article 8 paragraphe 2 point d).

5. Les Etats membres peuvent prévoir que les traitements non automatisés de données à caractère personnel, ou certains d'entre eux, font l'objet d'une notification, éventuellement simplifiée.

Article 19

Contenu de la notification

1. Les Etats membres précisent les informations qui doivent figurer dans la notification. Elles comprennent au minimum :

a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant ;

b) la ou les finalités du traitement ;

c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données s'y rapportant ;

d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;

e) les transferts de données envisagés à destination de pays tiers ;

f) une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l'article 17.

2. Les Etats membres précisent les modalités de notification à l'autorité de contrôle des changements affectant les informations visées au paragraphe 1.

Article 20

Contrôles préalables

1. Les Etats membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en _uvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les Etats membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Article 21

Publicité des traitements

1. Les Etats membres prennent des mesures pour assurer la publicité des traitements.

2. Les Etats membres prévoient que l'autorité de contrôle tient un registre des traitements notifiés en vertu de l'article 18.

Le registre contient au minimum les informations énumérées à l'article 19 paragraphe 1 points a) à e).

Le registre peut être consulté par toute personne.

3. En ce qui concerne les traitements non soumis à notification, les Etats membres prévoient que le responsable du traitement ou une autre instance qu'ils désignent communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l'article 19 paragraphe 1 points a) à e).

Les Etats membres peuvent prévoir que la présente disposition ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

Chapitre III

Recours juridictionnels, responsabilité et sanctions

Article 22

Recours

Sans préjudice du recours administratif qui peut être organisé, notamment devant l'autorité de contrôle visée à l'article 28, antérieurement à la saisine de l'autorité judiciaire, les Etats membres prévoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.

Article 23

Responsabilité

1. Les Etats membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsable du traitement réparation du préjudice subi.

2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 24

Sanctions

Les Etats membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

Chapitre IV

Transfert de données à caractère personnel vers des pays tiers

Article 25

Principes

1. Les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les Etats membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les Etats membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Article 26

Dérogations

1. Par dérogation à l'article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les Etats membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2 peut être effectué, à condition que :

a) la personne concernée ait indubitablement donné son consentement au transfert envisagé

ou

b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée

ou

c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers

ou

d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice

ou

e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

2. Sans préjudice du paragraphe 1, un Etat membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'Etat membre informe la Commission et les autres Etats membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre Etat membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Chapitre V

Codes de conduite

Article 27

1. Les Etats membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les Etats membres en application de la présente directive.

2. Les Etats membres prévoient que les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l'examen de l'autorité nationale.

Les Etats membres prévoient que cette autorité s'assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l'estime opportun, l'autorité recueille les observations des personnes concernées ou de leurs représentants.

3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S'il l'estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

Chapitre VI

Autorité de contrôle et groupe de protection des personnes
à l'égard du traitement des données à caractère personnel

Article 28

Autorité de contrôle

1. Chaque Etat membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque Etat membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment  :

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en _uvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'Etat membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre Etat membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.

Article 29

Groupe de protection des personnes à l'égard
du traitement des données à caractère personnel

1. Il est institué un groupe de protection des personnes à l'égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».

Le groupe a un caractère consultatif et indépendant.

2. Le groupe se compose d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque Etat membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission.

Chaque membre du groupe est désigné par l'institution, l'autorité ou les autorités qu'il représente. Lorsqu'un Etat membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d'un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.

3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.

4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.

5. Le secrétariat du groupe est assuré par la Commission.

6. Le groupe établit son règlement intérieur.

7. Le groupe examine les questions mises à l'ordre du jour par son président, soit à l'initiative de celui-ci, soit à la demande d'un représentant des autorités de contrôle ou de la Commission.

Article 30

1. Le groupe a pour mission :

a) d'examiner toute question portant sur la mise en _uvre des dispositions nationales prises en application de la présente directive, en vue de contribuer à leur mise en _uvre homogène ;

b) de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers ;

c) de conseiller la Commission sur tout projet de modification de la présente directive, sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés ;

d) de donner un avis sur les codes de conduite élaborés au niveau communautaire.

2. Si le groupe constate que des divergences, susceptibles de porter atteinte à l'équivalence de la protection des personnes à l'égard du traitement des données à caractère personnel dans la Communauté, s'établissent entre les législations et pratiques des Etats membres, il en informe la Commission.

3. Le groupe peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l'égard du traitement de données à caractère personnel dans la Communauté.

4. Les avis et recommandations du groupe sont transmis à la Commission et au comité visé à l'article 31.

5. La Commission informe le groupe des suites qu'elle a données à ses avis et recommandations. Elle rédige à cet effet un rapport qui est transmis également au Parlement européen et au Conseil. Ce rapport est publié.

6. Le groupe établit un rapport annuel sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu'il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.

Chapitre VII

Mesures d'exécution communautaires

Article 31

Comité

1. La Commission est assistée par un comité composé des représentants des Etats membres et présidé par le représentant de la Commission.

2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l'urgence de la question en cause.

L'avis est émis à la majorité prévue à l'article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des Etats membres sont affectées de la pondération définie à l'article précité. Le président ne prend pas part au vote.

La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l'avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas :

- la Commission diffère l'application des mesures décidées par elle d'un délai de trois mois à compter de la date de la communication,

- le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.

DISPOSITIONS FINALES

Article 32

1. Les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption.

Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les Etats membres.

2. Les Etats membres veillent à ce que les traitements dont la mise en _uvre est antérieure à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.

Par dérogation à l'alinéa précédent, les Etats membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d'adoption de celle-ci. Les Etats membres permettent toutefois à la personne concernée d'obtenir, à sa demande et notamment lors de l'exercice du droit d'accès, la rectification, l'effacement ou le verrouillage des données incomplètes, inexactes ou conservées d'une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.

3. Par dérogation au paragraphe 2, les Etats membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.

4. Les Etats membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 33

Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l'article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l'application de la présente directive et l'assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.

La Commission examine, en particulier, l'application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s'avérer nécessaires en tenant compte des développements de la technologie de l'information et à la lumière de l'état des travaux sur la société de l'information.

Article 34

Les Etats membres sont destinataires de la présente directive.

ANNEXE

TABLEAU RÉCAPITULATIF DES FORMALITÉS PRÉALABLES
A L'ENTRÉE EN VIGUEUR DES TRAITEMENTS PRÉVUES
PAR LE PROJET DE LOI,
élaboré par Mme Ariane MOLE, avocate

 

ARTICLES

TRAITEMENTS

Dispense d'office
par la loi

22-II, 8-II 2,
et 24-II

- Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

- Les traitements mis en _uvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, ;

Lorsque le responsable du traitement est dispensé de formalités préalables, il doit communiquer à toutes personnes qui en fait la demande les informations prévues à l'article 31 I 2° à 6° (la dénomination et la finalité du traitement, l'identité et l'adresse du responsable du traitement, ou de son représentant, le service chargé du droit d'accès, les données faisant l'objet du traitement, les destinataires et catégories de destinataires, les transferts hors de l'UE)

Dispense
par la CNIL

24-II

- Sur autorisation de la CNIL certains traitements courants et n'étant pas susceptibles de porter atteinte à la vie privée ou aux libertés peuvent être dispensés de déclaration. Pour prendre cette décision de dispense, la CNIL tient compte de leurs finalités, leurs destinataires ou catégories de destinataires, des données traitées, et de la durée de conservation.

Déclaration simplifiee

24 I

Catégories les plus courantes de traitements dont la mise en _uvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Autorisation
de la CNIL

25

- Les traitements automatisés ou non qui contiennent des données sensibles ;

- Les traitements automatisés contenant des données génétiques (sauf les traitements mis en _uvre par les médecins ou biologistes) ;

- Les traitements automatisés ou non, portant sur les données relatives à des infractions, condamnations ou mesures de sûreté (sauf traitements mis en _uvre par les auxiliaires de justice pour la défense des personnes concernées) ;

- Les traitements automatisés ayant pour finalité de sélectionner des personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

- Les traitements automatisés ayant pour objet :

● l'interconnexion de fichiers relevant d'une ou plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents,

● l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes.

- Les traitements portant des données parmi lesquelles figurent le NIR, et ceux qui requièrent la consultation du RNIPP, et ceux qui portent sur la totalité ou quasi totalité de la population française ;

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

- Les traitements automatisés comportant des données biomètriques nécessaires au contrôle de l'identité des personnes.

Lorsque les traitements qui répondent à la même finalité, portent sur des catégories identiques de données et ont les mêmes destinataires ou catégories de destinataires, la CNIL peut donner une autorisation unique, sous réserve que le responsable de chaque traitement adresse à la commission un engagement de conformité.

Autorisation ministérielle après avis motivé et publié de la CNIL

(sauf dispense de publication par décret en Conseil d'Etat)

26 I

Traitements mis en _uvre pour le compte de l'Etat :

- qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

- qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

Certains traitements qui répondent à la même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, sous réserve que le responsable du traitement adresse à la commission un engagement de conformité.

Autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL

(sauf dispense de publication par décret en Conseil d'Etat pour le 26 II)

26 II

27 I

Traitements mis en _uvre pour le compte de l'Etat contenant des données sensibles qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté (26-II).

Certains traitements qui répondent à la même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, sous réserve que le responsable du traitement adresse à la commission un engagement de conformité.

Traitements mis en _uvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

- qui portent sur des données parmi lesquelles figurent le NIR ;

- qui portent sur la totalité ou la quasi totalité de la population française (27-I).

Autorisation par arrêté après avis motivé et publié de la CNIL

27 II

- Les traitements qui requièrent la consultation du RNIPP sans inclure le NIR;

- Les traitements mis en _uvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, mais :

● qui ne comportent aucune données sensibles ou relatives à des condamnations, infractions, etc...

● qui n'ont pas pour objet une interconnexion entre fichiers ayant des fins correspondant à des intérêts publics différents ;

● et qui sont mis en _uvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer les impositions et taxes, soit d'établir des statistiques.

Certains traitements qui répondent à la même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, sous réserve que le responsable du traitement adresse à la commission un engagement de conformité.

Recherche en matière de santé

V Bis

Autorisation de la CNIL après avis d'un comité consultatif

Evaluation des pratiques de soins

V Ter

Autorisation de la CNIL

Déclaration

22

Tous les autres traitements

AMENDEMENTS NON ADOPTÉS PAR LA COMMISSION

Article 2

(art. 6 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Pascal Clément :

Après le sixième alinéa (5°) de cet article, insérer l'alinéa suivant :

« 6° Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en _uvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

« Les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable. »

Article 3

(art. 11 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Emile Blessig :

I. - Dans le cinquième alinéa (c) du 3° de cet article, substituer aux mots : « peut être associée » les mots : « est associée ».

II. - Dans le même alinéa, supprimer les mots : « à la demande du Premier ministre ».

Article 5

(art. 32 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Emile Blessig :

Après le paragraphe I de cet article, insérer un paragraphe I bis ainsi rédigé :

« I bis. - L'utilisation des réseaux de communications électroniques pour stocker des informations ou pour obtenir un accès à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur sans le consentement préalable de l'abonné ou de l'utilisateur concerné doit faire l'objet d'une information explicite de ce dernier. La mention ainsi faite doit permettre à l'abonné ou à l'utilisateur d'indiquer de manière préventive s'il refuse la collecte de ces données et leur traitement. ».

(art. 38 nouveau de la loi n° 78-17du 6 janvier 1978)

Amendement présenté par M. Emile Blessig :

Dans le premier alinéa de cet article, supprimer les mots : « pour des motifs légitimes ».

(art. 39 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Jean Codognès [retiré] :

Compléter le deuxième alinéa du 4° de cet article par la phrase suivante : « Le responsable d'un traitement est tenu de conserver les données à caractère personnel concernant la personne qui exerce un droit d'accès ou de rectification pendant, au minimum, les trois mois qui suivent la réception de la demande. »

Article 7

(art. 47 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Emile Blessig [retiré] :

Rédiger ainsi le deuxième alinéa de cet article :

« Il ne peut excéder, pour une entreprise, 5 % du chiffre d'affaires hors taxe et 1 500 000 € si le contrevenant n'est pas une entreprise. »

Article 12

(art. 68 nouveau de la loi n° 78-17 du 6 janvier 1978)

Amendement présenté par M. Emile Blessig :

Dans le premier alinéa de cet article, substituer au mot : « suffisant », les mots : « équivalent à celui assuré sur le territoire national ».

LISTE DES PERSONNES AUDITIONNÉES PAR LE RAPPORTEUR

- M. Guy BRAIBANT, auteur du rapport au Premier ministre « Données personnelles et société de l'information ».

- M. Michel GENTOT, président de la Commission nationale de l'informatique et des libertés (CNIL).

- Me Ariane MOLE, avocate au Cabinet BENSOUSSAN.

DELIS (Droits et libertés face à l'informatisation de la société) :

- M. André NARRITSENS ;

- Me Alain WEBER ;

- Mme Annie MARCHEIX ;

- M. Pierre Suesser ;

- M. Daniel Naulleau.

----------------------------------------------

() Internet, la révolution numérique crée-t-elle la révolution juridique ?

() Rapport rendu le 27 juin 1975 et publié à La Documentation française.

() Voir le chapitre II de la loi du 6 janvier 1978, ainsi que le décret n° 78-774 du 17 juillet 1978 et le règlement intérieur de la CNIL : délibération n° 87-25 du 10 février 1987, modifiée par les délibérations nos 92-087 du 22 septembre 1992 et 93-048 du 8 juin 1993.

() Rapport publié par la Documentation française, 2e trimestre 1998.

() Alain Bensoussan, Informatique et télécoms, éditions Lefebvre,1997, page 471.

() C'est la première fois que ce terme était employé dans le droit positif français, donnant ainsi naissance à une nouvelle catégorie d'institutions administratives.

() Décret n° 78-774 du 17 juillet 1978.

() TA n° 705, projet de loi n° 3258.

() Hors dépenses de fonctionnement exceptionnelles dues à l'organisation d'une conférence internationale.

() On distingue au sein de l'Union plusieurs types d'autorité de contrôle : le modèle du commissaire à la protection des données - Allemagne, Luxembourg, Royaume-Uni -, le modèle de l'autorité collégiale, composée de magistrats, de parlementaires et d'autres personnalités - Italie, Portugal, Grèce, Danemark - et le modèle de la commission représentative - Suède, Espagne. Les fonctions peuvent être dévolues à plusieurs instances : c'est le cas en Autriche ou en Finlande, par exemple.

() On observera que cette disposition unifiera en quelque sorte le régime des députés et sénateurs puisque, actuellement, les sénateurs sont désignés membres de la CNIL non pas pour cinq ans, ni même après chaque renouvellement triennal du Sénat, mais pour la durée de leur mandat de sénateur, soit neuf ans.

() Ledit article punit de sept ans d'emprisonnement et de 700 000 francs d'amende le fait notamment de porter à la connaissance du public un renseignement qui a le caractère de secret de la défense nationale.

() Données personnelles et société de l'information, rapport au Premier ministre de M. Guy Braibant, la Documentation française, 2e trimestre 1998, pages 115 et 116.

() L'avis de la CNIL du 26 septembre 2000 est accessible sur son site web : www.cnil.fr.

() Op. cité, p. 53.

() Délibération n° 97-008 du 4 février 1997.

() Délibération n° 01-011 du 8 mars 2001.

() La mention d'un délai de deux mois donné à la CNIL pour autoriser les traitements est, par ailleurs, remplacée par la référence à l'article 28 nouveau de la loi ; ce qui implique un passage d'un système d'autorisation tacite où le silence valait autorisation, à une autorisation expresse. En effet, les données sensibles dont font partie les données de santé relèvent d'une autorisation de la CNIL, laquelle doit être expresse comme le mentionne cet article 28 nouveau.

() On sait qu'aucune limitation ne doit être fixée au transfert entre Etats membres de la Communauté en raison du principe de libre circulation des données posé par l'article premier de la directive.

() On a vu, lors du commentaire de l'article précédent, que ce régime d'autorisation était modifié, référence étant désormais faite à la procédure prévue à l'article 28 nouveau de la loi de 1978 qui implique bien une autorisation expresse.

() Décision n° 94-352 DC, JO du 21 janvier 1995.

() Délibération n° 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles.

() Cette décision reproduit en annexe les clauses contractuelles types qui sont considérées comme offrant des garanties suffisantes en matière de protection de la vie privée et des droits fondamentaux et libertés des individus. Elle s'applique depuis le 3 septembre 2001.


© Assemblée nationale