137e séance

Protection des données personnelles

Projet de loi relatif à la protection des données personnelles

Texte adopté par la commission – n° 592

Après l’article 13

Amendement n° 134 présenté par Mme Forteza.

Après l’article 13, insérer l’article suivant :

Après l’article L. 121‑4‑1 du code de l’éducation, il est inséré un article ainsi rédigé :

« Art. L. 121‑4‑2. – Les établissements d’enseignement scolaire mettent à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

Amendements identiques :

Amendements n° 90 rectifié présenté par Mme Forteza, n° 144 rectifié présenté par M. Latombe, M. Balanant, M. Bru, Mme Florennes, Mme Jacquier-Laforge, Mme Vichnievsky et les membres du groupe du Mouvement Démocrate et apparentés et n° 167 rectifié présenté par M. Rebeyrotte, Mme Moutchou, Mme Abadie, Mme Avia, M. Boudié, Mme Braun-Pivet, Mme Chalas, M. Clément, Mme Degois, Mme Dubost, Mme Dubré-Chirat, M. Euzet, Mme Fajgeles, M. Fauvergue, M. Gauvain, Mme Guévenoux, M. Houbron, M. Houlié, Mme Kamowski, Mme Louis, M. Matras, M. Mazars, M. Mis, M. Molac, M. Paris, M. Pont, M. Poulliat, M. Questel, M. Rudigoz, M. Rupin, M. Terlier, Mme Thourot, M. Tourret, M. Valls, M. Villani, M. Vuilletet, Mme Zannier, M. Attal, Mme Amadou, Mme Bergé, M. Bois, Mme Brugnera, Mme Calvez, Mme Cazarian, M. Claireaux, Mme Charrière, Mme Charvier, Mme Colboc, M. Cormier-Bouligeon, Mme Jacqueline Dubois, Mme Frédérique Dumas, M. Freschi, M. Galbadon, M. Gérard, Mme Gomez-Bassac, M. Henriet, Mme Hérin, M. Kerlogot, Mme Lang, M. Le Bohec, Mme Liso, Mme Mörch, Mme Muschotti, Mme O’Petit, Mme Piron, Mme Racon-Bouzon, M. Raphan, Mme Rilhac, Mme Rist, Mme Rixain, M. Cédric Roussel, M. Sorre, M. Studer, M. Testé, Mme Thill, M. Ferrand et les membres du groupe La République en marche.

Après l’article 13, insérer l’article suivant :

La seconde phrase de l’article L. 312‑9 du code de l’éducation est complétée par les mots : « , ainsi qu’aux règles applicables aux traitements des données à caractère personnel. »

Amendement n° 62 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Après l’article 13, insérer l’article suivant :

Le chapitre X de la loi n° 78‑17 du 6 janvier 1978 précitée est ainsi rétabli :

« Chapitre X

« Traitements de données à caractère personnel dans le domaine scolaire :

« Art. 62. – L’ensemble des données collectées par les services du ministère de l’Éducation nationale aux fins d’assurer la mission d’enseignement et d’encadrement des élèves, doivent être considérées comme des données d’intérêt public. À ce titre, conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les traitements de ces données sont dispensés du consentement des personnes concernées.

« Art. 63. – I. – Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent.

« II. – Des référentiels et règlements types, au sens des a bis et b du 2° de l’article 11, s’appliquant aux traitements relevant du présent chapitre sont établis par la Commission nationale de l’informatique et des libertés en concertation avec le ministre chargé de l’éducation et des organismes publics et privés représentatifs des acteurs concernés.

« III. – Le ministre chargé de l’éducation s’assure que l’ensemble des traitements des données effectués par les services de son ministère sont conformes à ces référentiels.

« Ces référentiels, peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données scolaires présentant un faible risque d’impact sur la vie privée.

« IV. – La Commission nationale de l’informatique et des libertés peut, par décision unique, délivrer au ministre de l’éducation une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

« V. – La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président ou lorsque l’Inspection générale est saisie en application du II du présent article.

« Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée acceptée. Cette disposition n’est toutefois pas applicable si l’autorisation fait l’objet d’un avis préalable en vertu des dispositions du présent chapitre et que l’avis ou les avis rendus ne sont pas expressément favorables.

« Art. 64. – S’agissant des mineurs, sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale. »

Amendement n° 75 présenté par M. Latombe, M. Balanant, M. Bru, Mme Florennes, Mme Jacquier-Laforge, Mme Vichnievsky et les membres du groupe du Mouvement Démocrate et apparentés.

Après l’article 13, insérer l’article suivant :

Le chapitre X de la loi n° 78‑17 du 6 janvier 1978 précitée est ainsi rétabli :

« Chapitre X

« Traitements de données à caractère personnel dans le domaine scolaire

« Art. 62. – L’ensemble des données collectées par les services du ministère de l’Éducation nationale aux fins d’assurer la mission d’enseignement et d’encadrement des élèves doivent être considérées comme des données d’intérêt public. À ce titre, conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les traitements de ces données sont dispensés du consentement des personnes concernées.

« Art. 63. – I. – Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent.

« III. – Le ministre chargé de l’éducation s’assure que l’ensemble des traitements des données effectués par les services de son ministère sont conformes à ces référentiels. Ces référentiels, peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données scolaires présentant un faible risque d’impact sur la vie privée.

« Art. 64. – S’agissant des mineurs de moins de 15 ans, sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale. »

Chapitre V

Dispositions particulières relatives aux droits des personnes concernées

Avant l’article 14 A

Amendement n° 86 présenté par M. Balanant, M. Bru, Mme Vichnievsky, Mme Jacquier-Laforge et M. Latombe.

Avant l’article 14 A, insérer l’article suivant :

L’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée est complété par six alinéas ainsi rédigés :

« Le consentement de la personne concernée doit être obtenu de manière loyale et résulter d’une action volontaire, explicite, libre, spécifique. Il ne doit pas être exigé en contrepartie d’un bien ou d’un service à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. »

« Pour être valide le consentement de la personne doit résulter d’une action informée, en toute connaissance de la finalité réservée à ses données, notamment dans le cas où les données seraient susceptibles d’être cédées, vendues ou encore transférées. »

« Si la possibilité de refuser le consentement est dissociée de son acceptation, les deux propositions doivent être accolées et présentées sous la même forme et notamment dans les mêmes tailles de caractère, couleur, typographie ou intensité sonore. »

« L’objet du consentement doit être spécifique et comporter le nom de la personne morale ou physique responsable du traitement ainsi que la finalité du traitement. Si plusieurs personnes morales ou physiques sont destinataires des données collectées, le consentement doit être donné de manière distincte pour chaque destinataire. »

« Le consentement ne peut pas être présumé et, à ce titre, ne doit pas être présenté sous la forme d’une case précochée, d’un bouton radio ou d’une liste d’options, prédéfinis sur l’acceptation. Il ne peut être recueilli que par une action spécifique de la personne concernée sans aucune autre finalité. Cela implique notamment que cette action n’ait pas pour conséquence de faire disparaître l’option de refus, de diriger la navigation vers une nouvelle page, ou de valider l’envoi d’un formulaire. »

« Le consentement ne peut être obtenu de manière indirecte, notamment par l’acceptation de conditions générales ou d’un règlement. De ce fait, une information faisant mention de la finalité réservée aux données personnelles, rédigée de façon claire, visible, dans des termes aisément compréhensibles devra apparaître lorsque le consentement de la personne sera demandé. »

Amendement n° 91 présenté par Mme Brocard, M. Villani, Mme Michel, M. Bothorel, Mme Brunet, M. Studer, Mme Gipson, M. Nadot, Mme Guerel, M. Masséglia, Mme O’Petit, M. Vignal, Mme Beaudouin-Hubiere, M. Morenas, Mme Kerbarh, M. Fiévet, Mme Rauch, Mme Jacqueline Dubois, Mme Pascale Boyer, Mme Fontenel-Personne, M. Martin, Mme Abba, M. Thiébaut, M. Besson-Moreau, M. Barbier, M. Galbadon, Mme Vanceunebrock-Mialon, M. Sorre, M. Testé, M. Bonnell et Mme Charvier.

Avant l’article 14 A, insérer l’article suivant :

L’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée est complété par deux alinéas ainsi rédigés :

« Le consentement ne peut pas être présumé et, à ce titre, ne doit pas être présenté sous une forme prédéfinie sur l’acceptation.

« Le consentement doit être recueilli par une action spécifique de la personne concernée sans que cette action n’ait aucune autre finalité. Cela implique notamment que cette action n’ait pas pour conséquence de faire disparaître l’option de refus, de diriger la navigation vers une nouvelle page, ou de valider l’envoi d’un formulaire.»

Amendement n° 92 présenté par Mme Brocard, M. Villani, Mme Michel, M. Bothorel, Mme Brunet, M. Studer, Mme Gipson, M. Nadot, Mme Guerel, M. Masséglia, Mme O’Petit, M. Vignal, Mme Beaudouin-Hubiere, M. Morenas, Mme Kerbarh, M. Fiévet, Mme Rauch, Mme Jacqueline Dubois, Mme Pascale Boyer, Mme Fontenel-Personne, M. Martin, Mme Abba, M. Thiébaut, M. Besson-Moreau, M. Barbier, M. Galbadon, Mme Vanceunebrock-Mialon, M. Sorre, M. Testé, M. Bonnell et Mme Charvier.

Avant l’article 14 A, insérer l’article suivant :

L’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée est complété par deux alinéas ainsi rédigés :

« Le consentement de la personne concernée doit être obtenu de manière loyale et résulter d’une action volontaire, explicite, libre, spécifique et informée.

« La Commission nationale de l’informatique et de libertés adopte une norme précisant la manière dont le consentement peut être obtenu pour être conforme aux alinéas précédents. Cette norme est révisée annuellement pour tenir compte des évolutions techniques et des nouvelles pratiques observées dans le cadre de l’obtention du consentement. »

Amendement n° 184 présenté par Mme Forteza, rapporteure au nom de la commission des lois.

Avant l’article 14 A, insérer l’article suivant :

Au premier alinéa de l’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée, après le mot :

« concernée »,

sont insérés les mots :

« , dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, »

Article 14 A (nouveau)

La section 1 du chapitre II de la loi n° 78‑17 du 6 janvier 1978 précitée est complétée par un article 7‑1 ainsi rédigé :

« Art. 7‑1. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.

« Un mineur âgé de moins de quinze ans peut être autorisé par le ou les titulaires de l’autorité parentale à l’égard de ce mineur à consentir seul à un traitement mentionné au premier alinéa du présent article.

« Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, toute information et communication relatives au traitement qui le concerne. »

Amendement n° 35 présenté par Mme Ménard.

Supprimer cet article.

Amendement n° 69 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

I. – À la fin de l’alinéa 2, substituer au mot :

« quinze »

le mot :

« treize ».

II. – En conséquence, à l’alinéa 3, procéder à la même substitution.

III – En conséquence, substituer à l’alinéa 4 les deux alinéas suivants :

« Le responsable de traitement ne peut obtenir le consentement du mineur de treize ans ou plus que par l’intermédiaire d’une information et d’une communication relatives à ce traitement qui soient présentée sur un support et en des termes, clairs et simples adaptés à l’âge minimum de ce mineur, qui puissent objectivement garantir que ce consentement n’a pas été obtenu indûment.

« Le fait de ne pas avoir présenté à un mineur de treize ans ou plus une information et une communication relatives au traitement, et le fait d’avoir indûment obtenu le consentement d’un mineur de treize ans ou plus , dans les conditions prévues à l’alinéa précédent, peuvent être sanctionnés par une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent ».

Amendement n° 21 présenté par Mme Hennion.

I. – À l’alinéa 2, substituer au mot :

« quinze »

le mot :

« treize ».

II. – En conséquence, procéder à la même substitution à l’alinéa 3.

Amendement n° 10 présenté par M. Vatin, M. Ramadier, M. Marlin, M. Hetzel, M. Nury, M. Sermier, Mme Genevard, M. Le Fur, Mme Anthoine, Mme Kuster, M. Leclerc, M. Bazin et Mme Louwagie.

À l’alinéa 2, substituer au mot :

« quinze »

les mots :

« dix-huit ».

Amendement n° 103 présenté par Mme Forteza.

Rédiger ainsi l’alinéa 3 :

« Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le titulaire de la responsabilité parentale à l’égard de ce mineur. »

Sous-amendement n° 182 présenté par M. Latombe, M. Balanant, M. Bru, Mme Florennes, Mme Jacquier-Laforge et Mme Vichnievsky.

À l’alinéa 2, substituer au mot :

« titulaire »

les mots :

« ou les titulaires ».

Amendement n° 12 présenté par Mme Forteza.

À l’alinéa 4, substituer aux mots :

« toute information et communication »

les mots :

« les informations et communications ».

Après l’article 14 A

Amendement n° 19 présenté par Mme Karamanli, Mme Untermaier, M. Saulignac, M. David Habib et les membres du groupe Nouvelle Gauche.

Après l’article 14 A, insérer l’article suivant :

La seconde phrase du premier alinéa de l’article L. 311‑3‑1 du code des relations entre le public et l’administration est ainsi modifiée :

1° Après le mot : « sont », il est inséré le mot : « systématiquement » ;

2° À la fin, les mots : « à l’intéressé s’il en fait la demande » sont remplacés par les mots : « aux intéressés ».

Article 14

L’article 10 de la loi n° 78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le deuxième alinéa est ainsi modifié :

a) (Supprimé)

b) Les mots : « définir le profil de l’intéressé » sont remplacés par le mot : « prévoir » ;

c) Après le mot : « aspects », la fin est ainsi rédigée : « personnels relatifs à la personne concernée, à l’exception : » ;

1° bis (nouveau) Après le même deuxième alinéa, sont insérés des 1° et 2° ainsi rédigés :

« 1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et sous les réserves mentionnées au 3 du même article 22 ;

« 2° Des décisions administratives individuelles prises dans le respect de l’article L. 311‑3‑1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi. » ;

2° Le dernier alinéa est ainsi rédigé :

« Pour les décisions administratives individuelles mentionnées au deuxième alinéa du présent article, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. »

Amendements identiques :

Amendements n° 53 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine et n° 119 présenté par M. Peu, M. Azerot, Mme Bello, M. Brotherson, M. Bruneel, Mme Buffet, M. Chassaigne, M. Dharréville, M. Dufrègne, Mme Faucillon, M. Jumel, M. Lecoq, M. Nilor, M. Fabien Roussel, M. Serville et M. Wulfranc.

Supprimer cet article.

Amendement n° 127 présenté par Mme Forteza.

À l’alinéa 7, substituer aux mots :

« et sous les réserves mentionnées au 3 du même article 22 ; »

les mots :

« , sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l’exception des secrets protégés par la loi, par le responsable de traitement à l’intéressé s’il en fait la demande. »

Après l’article 14

Amendement n° 61 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Après l’article 14, insérer l’article suivant :

I. – Après l’article 11 de la loi n° 78‑17 du 6 janvier 1978 précitée, il est inséré un article 11 bis ainsi rédigé :

« Art. 11 bis. – À titre expérimental, la Commission nationale de l’informatique et des libertés exerce aussi la mission suivante :

« Elle exerce une mission de contrôle et d’inspection sur les algorithmes des traitements de données, en évaluant notamment la loyauté de ces algorithmes et les risques de discrimination. Cette mission est effectuée avec la participation directe de citoyens et de citoyennes, dans des conditions fixées par décret en Conseil d’État. »

II. – À titre expérimental, pour une durée maximale de trois ans, la mission de la Commission nationale de l’informatique et des libertés mentionnée au I peut être mise en œuvre dans les ministères qui en formulent la demande auprès de l’autorité administrative compétente. Un décret en Conseil d’État précise les conditions d’applications du présent article. Cette expérimentation fait l’objet d’un bilan transmis au Parlement évaluant l’opportunité d’une généralisation de ce dispositif.

Amendement n° 154 présenté par M. Gosselin, M. Aubert, Mme Bassire, M. Bazin, M. Bony, M. Brun, M. Cinieri, M. Cordier, M. Descoeur, M. Dive, Mme Duby-Muller, M. Hetzel, M. Le Fur, Mme Louwagie, M. Nury, M. Jean-Pierre Vigier, M. Viala et Mme Genevard.

Après l’article 14, insérer l’article suivant :

Le III de l’article 32 de la loi n° 78‑17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

« Lorsque les données sont collectées auprès de mineurs de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées au I dans un langage clair et facilement accessible. »

Article 15

L’article 40 de la loi n° 78‑17 du 6 janvier 1978 précitée est complété par un III ainsi rédigé :

« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement. »

Amendements identiques :

Amendements n° 74 rectifié présenté par M. Latombe, M. Balanant, M. Bru, Mme Florennes, Mme Jacquier-Laforge, Mme Vichnievsky et les membres du groupe du Mouvement Démocrate et apparentés, n° 149 rectifié présenté par M. Gosselin, M. Aubert, Mme Bassire, M. Bazin, M. Bony, M. Brun, M. Cinieri, M. Cordier, M. Descoeur, M. Dive, Mme Duby-Muller, M. Hetzel, M. Le Fur, Mme Louwagie, M. Nury, M. Jean-Pierre Vigier, M. Viala et Mme Genevard et n° 160 rectifié présenté par Mme Le Grip, M. Marlin, M. Minot, M. Ramadier, M. Straumann et M. Pierre-Henri Dumont.

Avant l’alinéa 1, insérer les cinq alinéas suivants :

« Le II de l’article 40 de la loi n° 78‑17 du 6 janvier 1978 précitée est ainsi modifié :

« 1° Après le mot : « peut », la fin du deuxième alinéa est ainsi rédigée : « recourir à un médiateur en vue de la résolution amiable du litige qui l’oppose au responsable du traitement, en application de la section 1 du chapitre Ier du titre II de la loi n° 95‑125 du 8 février 1995 relative à l’organisation des juridictions et à la procédure civile, pénale et administrative. » ;

« 2° Après le deuxième alinéa, il est inséré un alinéa ainsi rédigé :

« En cas d’échec de la médiation, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation. » ;

3° Au troisième alinéa, le mot : « deux » est remplacé par le mot : « trois ».

Amendement n° 55 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

À la première phrase de l’alinéa 2, après le mot :

« risque »,

insérer le mot :

« majeur ».

Amendement n° 56 présenté par Mme Obono, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Compléter cet article par l’alinéa suivant :

« IV. – Toute dérogation prévue au III doit faire l’objet d’une validation par le juge des libertés et de la détention, dans un délai de 72 heures, qui s’attache à vérifier le respect de la procédure et des libertés individuelles. »

Après l’article 15

Amendement n° 71 rectifié présenté par M. Prud’homme, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Après l’article 15, insérer l’article suivant :

Après le deuxième alinéa de l’article L. 341‑4 du code de l’énergie est inséré un alinéa ainsi rédigé :

« Il ne peut être procédé à une installation de compteurs dits « intelligents », tels les compteurs nommés « Linky », « Gazpar » et équivalents, sans le consentement exprès et écrit des personnes dont le compteur permet de collecter et de transmettre des informations relatives à sa consommation. Toute installation réalisée sans ce consentement est constitutive d’un délit d’atteinte à la vie privée tel que prévu à l’article 226‑4 du code pénal. »

Chapitre VI

Voies de recours

Article 16 A (nouveau)

L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est ainsi rédigé :

« III. – Cette action peut être exercée en vue soit de la cessation du manquement mentionné au II, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

Amendement n° 82 présenté par M. Masson, Mme Anthoine, M. Bazin, M. Bony, M. Dive, M. Hetzel, Mme Kuster, M. Le Fur, Mme Louwagie, M. Straumann et Mme Trastour-Isnart.

Supprimer cet article.

Amendement n° 164 présenté par M. Rebeyrotte, M. Cesarini, Mme Moutchou, Mme Abadie, Mme Avia, M. Boudié, Mme Braun-Pivet, Mme Chalas, M. Clément, Mme Degois, Mme Dubost, Mme Dubré-Chirat, M. Euzet, Mme Fajgeles, M. Fauvergue, M. Gauvain, Mme Guévenoux, M. Houbron, M. Houlié, Mme Kamowski, Mme Louis, M. Matras, M. Mazars, M. Mis, M. Molac, M. Paris, M. Pont, M. Poulliat, M. Questel, M. Rudigoz, M. Rupin, M. Terlier, Mme Thourot, M. Tourret, M. Valls, M. Villani, M. Vuilletet, Mme Zannier, M. Ferrand et les membres du groupe La République en Marche.

Après l’alinéa 1, insérer l’alinéa suivant :

« 1 A Le II est complété par les mots :

« au vu des cas individuels présentés par le demandeur ».

Amendements identiques :

Amendements n° 87 présenté par Mme Forteza et n° 165 présenté par M. Rebeyrotte, M. Cesarini, Mme Moutchou, Mme Abadie, Mme Avia, M. Boudié, Mme Braun-Pivet, Mme Chalas, M. Clément, Mme Degois, Mme Dubost, Mme Dubré-Chirat, M. Euzet, Mme Fajgeles, M. Fauvergue, M. Gauvain, Mme Guévenoux, M. Houbron, M. Houlié, Mme Kamowski, Mme Louis, M. Matras, M. Mazars, M. Mis, M. Molac, M. Paris, M. Pont, M. Poulliat, M. Questel, M. Rudigoz, M. Rupin, M. Terlier, Mme Thourot, M. Tourret, M. Valls, M. Villani, M. Vuilletet, Mme Zannier, M. Ferrand et les membres du groupe La République en Marche.

À l’alinéa 5, après le mot :

« au »,

insérer les mots :

« chapitre X du titre VII du livre VII du code de justice administrative et au ».

Amendements identiques :

Amendements n° 70 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine, n° 73 présenté par M. Latombe, M. Balanant, M. Bru, Mme Florennes, Mme Jacquier-Laforge, Mme Vichnievsky et les membres du groupe du Mouvement Démocrate et apparentés, n° 109 présenté par M. Peu, M. Azerot, Mme Bello, M. Brotherson, M. Bruneel, Mme Buffet, M. Chassaigne, M. Dharréville, M. Dufrègne, Mme Faucillon, M. Jumel, M. Lecoq, M. Nilor, M. Fabien Roussel, M. Serville et M. Wulfranc et n° 150 présenté par M. Gosselin, M. Aubert, Mme Bassire, M. Bazin, M. Bony, M. Brun, M. Cinieri, M. Cordier, M. Descoeur, M. Dive, Mme Duby-Muller, M. Hetzel, M. Le Fur, Mme Louwagie, M. Nury, M. Jean-Pierre Vigier, Mme Le Grip et M. Viala.

Compléter cet article par les six alinéas suivants :

« 3° Il est complété par un V ainsi rédigé :

« V. – Au moins deux personnes mentionnées au II peuvent agir directement en justice sans l’intervention des associations, ou à la place des associations mentionnées au IV, dans l’un des cas suivants :

« 1° Il n’existe pas d’association compétente ou ayant un intérêt à agir ;

« 2° L’association reste inactive et n’agit pas en justice même quinze jours après mise en demeure par les usagers susvisés ;

« 3° L’association est dans l’impossibilité d’agir ou de continuer son action en justice ;

« 4° L’association est dans une situation de conflit d’intérêts ou de risque de ce conflit. »

Article 16

La section 2 du chapitre V de la loi n° 78‑17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :

« Art. 43 quater. – Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle‑ci devant un juge ou contre le responsable de traitement ou son sous‑traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII de la présente loi. »

Amendement n° 88 présenté par Mme Forteza.

À l’alinéa 2, après la référence :

« 79 »,

insérer les mots :

« et 82 ».

Amendement n° 110 présenté par M. Peu, M. Azerot, Mme Bello, M. Brotherson, M. Bruneel, Mme Buffet, M. Chassaigne, M. Dharréville, M. Dufrègne, Mme Faucillon, M. Jumel, M. Lecoq, M. Nilor, M. Fabien Roussel, M. Serville et M. Wulfranc.

Compléter l’alinéa 2 par la phrase suivante :

« Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement ou à son sous-traitant de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées ».

Amendement n° 151 présenté par M. Gosselin, M. Aubert, Mme Bassire, M. Bazin, M. Bony, M. Brun, M. Cinieri, M. Cordier, M. Descoeur, M. Dive, Mme Duby-Muller, M. Hetzel, M. Le Fur, Mme Louwagie, M. Nury, M. Jean-Pierre Vigier, Mme Le Grip et M. Viala.

Compléter l’alinéa 2 par la phrase suivante :

« Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées ».

Article 17

La section 2 du chapitre V de la loi n° 78‑17 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé :

« Art. 43 quinquies. – Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’État d’ordonner la suspension du transfert de données en cause, le cas échéant sous astreinte, et assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données pris sur le fondement de l’article 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir dans les mêmes conditions le Conseil d’État pour ordonner la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision cadre 2008/977/JAI du Conseil dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation. »

Amendement n° 83 présenté par M. Masson, Mme Anthoine, M. Bazin, M. Bony, M. Dive, M. Hetzel, Mme Kuster, M. Le Fur, Mme Louwagie, M. Straumann et Mme Trastour-Isnart.

Supprimer cet article.

Après l’article 17

Amendement n° 169 présenté par Mme Cariou.

Après l’article 17, insérer l’article suivant :

I. – La section II du chapitre III du titre II de la première partie du Livre de procédures fiscales est complétée par un article L. 135 ZJ ainsi rédigé :

« Art. L. 135 ZJ. – Afin d’assurer l’exécution de sa mission, la Commission nationale de l’informatique et des libertés peut obtenir des informations et documents conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la loi n° 78‑17 du 6 janvier 1978 précitée, en particulier au III de l’article 44, dans sa rédaction issue de la présente loi.

II. – Le rapport public mentionné au dernier alinéa de l’article 11 de la loi n° 78‑17 du 6 janvier 1978 précitée présente les éléments quantitatifs et qualitatifs relatifs aux échanges d’informations entre la Commission nationale de l’informatique et des libertés et l’administration fiscale ainsi que les suites qu’y sont données.

Amendement n° 173 présenté par M. Bothorel, M. Villani, Mme Michel, Mme Brocard, M. Bouyx, Mme Hennion, M. Morenas, Mme Bessot Ballot, M. Barbier, Mme Rist, M. Cellier, M. Démoulin, Mme Abba, M. Thiébaut et M. Sorre.

Après l’article 17, insérer l’article suivant :

Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent de telles données pour remplir leurs fonctions, les fabricants ou distributeurs de terminaux, fixes ou mobiles, permettant l’accès à des services de communication au public en ligne sont responsables conjoints du traitement.

Afin de s’assurer qu’ils sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données, les responsables conjoints mentionnés à l’alinéa précédent ont obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Ces mesures peuvent consister à configurer par défaut un terminal d’une manière à garantir que seules les données qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Lorsque le traitement repose sur le consentement, les responsables conjoints précités sont soumis à l’obligation de s’assurer du caractère libre du consentement et notamment que, par défaut, le choix d’un service qui ne collecte et ne conserve pas de données personnelles associées aux recherches effectuées est proposé explicitement.

En application des articles 25.2 et 26.1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, toute clause contractuelle ayant pour effet de contraindre les responsables conjoints précités à une obligation contraire est nulle lorsqu’elle conduit l’utilisateur final à recourir à un service qui collecte et conserve des données personnelles non nécessaires au regard de la finalité de recherche d’information. Tel est notamment le cas de la conservation de données personnelles liées aux recherches effectuées lorsque le traitement est effectué à des fins de recherches d’informations.

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA dÉCISION‑CADRE 2008/977/JAI DU CONSEIL

Article 18

I. – Le début du V de l’article 32 de la loi n° 78‑17 du 6 janvier 1978 précitée est ainsi rédigé : « Sans préjudice de l’application des dispositions du chapitre XIII, les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en œuvre pour le compte de l’État et intéressant la sûreté de l’État, la défense ou la sécurité publique, dans la... (le reste sans changement) ».

II. – Le VI de l’article 32 de la loi n° 78‑17 du 6 janvier 1978 précitée est abrogé.

III. – Au premier alinéa de l’article 41 de la loi n° 78‑17 du 6 janvier 1978 précitée, après les mots : « sécurité publique », sont insérés les mots : « , sous réserve de l’application des dispositions du chapitre XIII ».

IV. – À l’article 42 de la loi n° 78‑17 du 6 janvier 1978 précitée, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés.

Article 19

Le chapitre XIII de la loi n° 78‑17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

« Chapitre XIII

« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

« Section 1

« Dispositions générales

« Art. 70‑1. – Les dispositions du présent chapitre s’appliquent, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements des données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci‑après dénommés autorité compétente.

« Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour les finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa, et où sont respectées les dispositions des articles 70‑3 et 70‑4. Le traitement doit notamment assurer la proportionnalité de la durée de conservation des données personnelles, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions concernées.

« Pour l’application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.

« Art. 70‑2. – Le traitement de données mentionnées au I de l’article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est prévu par un acte législatif ou règlementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée.

« Art. 70‑3. – Si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités prévues au premier alinéa de l’article 70‑1, il doit être prévu par un acte règlementaire pris dans les conditions prévues au I de l’article 26 et aux articles 28 à 31.

« Si le traitement porte sur des données mentionnées au I de l’article 8, il est prévu par un acte règlementaire pris dans les conditions prévues au II de l’article 26.

« Art. 70‑4. – Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel.

« Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue à l’article 30.

« Dans les autres cas, le responsable de traitement ou son sous‑traitant consulte la Commission nationale de l’informatique et des libertés préalablement au traitement des données à caractère personnel :

« 1° Soit lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;

« 2° Soit lorsque le type de traitement, en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

« Art. 70‑5. – Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de l’article 70‑1 ne peuvent être traitées pour d’autres finalités, à moins qu’un tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de l’Union européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Lorsque les autorités compétentes sont chargées d’exécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de l’article 70‑1 de la présente loi, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Si le traitement est soumis à des conditions spécifiques, l’autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter.

« L’autorité compétente qui transmet les données n’applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l’Union européenne des conditions en vertu du troisième alinéa du présent article différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève l’autorité compétente qui transmet les données.

« Art. 70‑6. – Les traitements effectués pour l’une des finalités énoncées au premier alinéa de l’article 70‑1 autre que celles pour lesquelles les données ont été collectées sont autorisés sous réserve du respect des principes prévus au chapitre Ier et au présent chapitre.

« Ces traitements peuvent comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées au premier alinéa de l’article 70‑1.

« Art. 70‑7. – Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l’article 36.

« Art. 70‑8. – Les données à caractère personnel fondées sur des faits sont dans la mesure du possible distinguées de celles fondées sur des appréciations personnelles.

« Art. 70‑9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées au I de l’article 8 est interdit.

« Art. 70‑10. – Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous‑traitant que dans les conditions prévues aux 1, 2 et 10 de l’article 28 et à l’article 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article.

« Les sous‑traitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent chapitre et garantisse la protection des droits de la personne concernée.

« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous‑traitant à l’égard du responsable de traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable de traitement, et qui prévoit que le sous-traitant n’agit que sur instruction du responsable de traitement. Le contenu de ce contrat ou de cet acte juridique est précisé par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés.

« Section 2

« Obligations incombant aux autorités compétentes
et aux responsables de traitements de données à caractère personnel

« Art. 70‑11. – Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.

« S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70‑20.

« Art. 70‑12. – Le responsable de traitement établit dans la mesure du possible et le cas échéant une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

« 1° Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

« 2° Les personnes reconnues coupables d’une infraction pénale ;

« 3° Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;

« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux 1° et 2°.

« Art. 70‑13. – I. – Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son sous‑traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées à l’article 8 de la présente loi.

« II. – En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous‑traitant met en œuvre, à la suite d’une évaluation des risques, des mesures destinées à :

« 1° Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement ;

« 2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

« 3° Empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées ;

« 4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;

« 5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation ;

« 6° Garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

« 7° Garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites ;

« 8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

« 9° Garantir que les systèmes installés puissent être rétablis en cas d’interruption ;

« 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

« Art. 70‑14. – Le responsable de traitement et son sous‑traitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de l’article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l’article 8 de la présente loi, l’indication de la base juridique de l’opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

« Art. 70‑15. – Le responsable de traitement ou son sous‑traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, l’interconnexion et l’effacement, portant sur de telles données.

« Les journaux des opérations de consultation et de communication permettent d’en établir le motif, la date et l’heure. Ils permettent également, dans la mesure du possible, d’identifier les personnes qui consultent ou communiquent les données et leurs destinataires.

« Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et à des fins de procédures pénales.

« Ce journal est mis à la disposition de la Commission nationale de l’informatique et des libertés à sa demande.

« Art. 70‑16. – Les articles 31, 33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements des données à caractère personnel relevant du présent chapitre.

« Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement d’un autre État membre de l’Union européenne ou à celui‑ci, le responsable de traitement notifie également la violation au responsable de traitement de l’autre État membre dans les meilleurs délais.

« La communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d’autrui.

« Art. 70‑17. – Sauf pour les juridictions agissant dans l’exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.

« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

« Les dispositions des 5 et 7 de l’article 37, des 1 et 2 de l’article 38 et du 1 de l’article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu’elles concernent le responsable de traitement, sont applicables aux traitements des données à caractère personnel relevant du présent chapitre.

« Section 3

« Droits de la personne concernée par un traitement de données à caractère personnel

« Art. 70‑18. – I. – Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

« 1° L’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;

« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;

« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;

« 4° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 5° L’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, ou celle d’une limitation du traitement des données à caractère personnel relatives à une personne concernée.

« II. – En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :

« 1° La base juridique du traitement ;

« 2° La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les États non membres de l’Union européenne ou au sein d’organisations internationales ;

« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.

« Art. 70‑19. – La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accéder auxdites données ainsi qu’aux informations suivantes :

« 1° Les finalités du traitement ainsi que sa base juridique ;

« 2° Les catégories de données à caractère personnel concernées ;

« 3° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des États non membres de l’Union européenne ou au sein d’organisations internationales ;

« 4° Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 5° L’existence du droit de demander au responsable de traitement la rectification ou l’effacement des données à caractère personnel, ou celle d’une limitation du traitement de ces données ;

« 6° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 7° La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.

« Art. 70‑20. – I. – La personne concernée a le droit d’obtenir du responsable de traitement :

« 1° Que soient rectifiées dans les meilleurs délais des données à caractère personnel la concernant qui sont inexactes ;

« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

« 3° Que soient effacées dans les meilleurs délais des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.

« II. – Lorsque l’intéressé en fait la demande, le responsable de traitement doit justifier qu’il a procédé aux opérations exigées en application du I.

« III. – Au lieu de procéder à l’effacement, le responsable de traitement limite le traitement lorsque :

« 1° Soit l’exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non ;

« 2° Soit les données à caractère personnel doivent être conservées à des fins probatoires.

« Lorsque le traitement est limité en vertu du 1°, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.

« IV. – Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.

« V. – Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente de laquelle ces données proviennent.

« VI. – Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux‑ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.

« Art. 70‑21. – I. – Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :

« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;

« 2° Éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;

« 3° Protéger la sécurité publique ;

« 4° Protéger la sécurité nationale ;

« 5° Protéger les droits et libertés d’autrui.

« Ces restrictions sont prévues par l’acte instaurant le traitement.

« II. – Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :

« 1° Retarder ou limiter la fourniture à la personne concernée des informations mentionnées au II de l’article 70‑18, ou ne pas fournir ces informations ;

« 2° Refuser ou limiter le droit d’accès de la personne concernée prévu par l’article 70‑19 ;

« 3° Ne pas informer la personne du refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs de cette décision conformément au IV de l’article 70‑20.

« III. – Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision, et met ces informations à la disposition de la Commission nationale de l’informatique et des libertés.

« IV. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d’exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés. Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.

« Art. 70‑22. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III de l’article 70‑21, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés.

« Les dispositions des deuxième et troisième alinéas de l’article 41 sont alors applicables.

« Lorsque la commission informe la personne concernée qu’il a été procédé aux vérifications nécessaires, elle l’informe également de son droit de former un recours juridictionnel.

« Art. 70‑23. – I (nouveau). – Les informations mentionnées aux articles 70‑18 à 70‑20 sont fournies par le responsable de traitement à la personne concernée par tout moyen approprié, y compris par voie électronique et, de manière générale, sous la même forme que la demande.

« II. – Aucun paiement n’est exigé pour prendre les mesures et fournir ces mêmes informations, sauf en cas de demande manifestement infondée ou abusive.

« En cas de demande manifestement infondée ou abusive, le responsable de traitement peut également refuser de donner suite à la demande.

« En cas de contestation, la charge de la preuve du caractère manifestement infondé ou abusif des demandes incombe au responsable de traitement auprès duquel elles sont adressées.

« Art 70‑24. – Les dispositions de la présente section ne s’appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l’objet d’un traitement lors d’une procédure pénale. Dans ces cas, l’accès à ces données ne peut se faire que dans les conditions prévues par le code de procédure pénale.

« Section 4

« Transferts de données à caractère personnel vers des États non membres de l’Union européenne ou vers des destinataires établis dans des États non membres de l’Union européenne

« Art. 70‑25. – Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque les conditions suivantes sont respectées :

« 1° Le transfert de ces données est nécessaire à l’une des finalités énoncées au premier alinéa de l’article 70‑1 ;

« 2° Les données à caractère personnel sont transférées à un responsable dans cet État non membre de l’Union européenne ou au sein d’une organisation internationale qui est une autorité compétente chargée dans cet État des fins relevant en France du premier alinéa de l’article 70‑1 ;

« 3° Si les données à caractère personnel proviennent d’un autre État, l’État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

« Toutefois, si l’autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l’autorisation préalable de l’État qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts essentiels de la France. L’autorité d’où provenaient ces données personnelles en est informée sans retard ;

« 4° La Commission européenne a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, à défaut, des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou, à défaut d’une telle décision d’adéquation et de garanties appropriées, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

« Les garanties appropriées fournies dans un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État non membre de l’Union européenne, soit de dispositions juridiquement contraignantes exigées à l’occasion de l’échange de données.

« Lorsque le responsable de traitement de données à caractère personnel transfère des données à caractère personnel sur le seul fondement de l’existence de garanties appropriées au regard de la protection des données à caractère personnel, autre qu’une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles, il avise la Commission nationale de l’informatique et des libertés des catégories de transferts relevant de ce fondement.

« Dans ce cas, le responsable de traitement de données doit garder trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Cette documentation est mise à la disposition de la Commission nationale de l’informatique et des libertés, sur sa demande.

« Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d’adéquation adoptée en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement de données à caractère personnel peut néanmoins transférer des données personnelles ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime après avoir évalué toutes les circonstances du transfert qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

« Art. 70‑26. – Par dérogation à l’article 70‑25, le responsable de traitement de données à caractère personnel ne peut, en l’absence de décision d’adéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque le transfert est nécessaire :

« 1° À la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ;

« 2° À la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;

« 3° Pour prévenir une menace grave et immédiate pour la sécurité publique d’un autre État ;

« 4° Dans des cas particuliers, à l’une des finalités énoncées au premier alinéa de l’article 70‑1 ;

« 5° Dans un cas particulier, à la constatation, à l’exercice ou à la défense de droits en justice en rapport avec les mêmes fins.

« Dans les cas visés aux 4° et 5°, le responsable de traitement de données à caractère personnel ne transfère pas ces données s’il estime que les libertés et droits fondamentaux de la personne concernée l’emportent sur l’intérêt public dans le cadre du transfert envisagé.

« Lorsqu’un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l’informatique et des libertés, à sa demande.

« Art. 70‑27. – Toute autorité publique compétente mentionnée au premier alinéa de l’article 70‑1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État n’appartenant pas à l’Union européenne, lorsque les autres dispositions de la présente loi applicables aux traitements relevant de l’article 70‑1 sont respectées et que les conditions ci‑après sont remplies :

« 1° Le transfert est nécessaire à l’exécution de la mission de l’autorité compétente qui transfère ces données pour l’une des finalités énoncées au premier alinéa de l’article 70‑1 ;

« 2° L’autorité compétente qui transfère ces données établit qu’il n’existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l’intérêt public nécessitant le transfert dans le cas considéré ;

« 3° L’autorité compétente qui transfère ces données estime que le transfert à l’autorité compétente de l’autre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;

« 4° L’autorité compétente de l’autre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;

« 5° L’autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l’objet d’un traitement par ce destinataire, à condition qu’un tel traitement soit nécessaire.

« L’autorité compétente qui transfère des données informe la Commission nationale de l’informatique et des libertés des transferts relevant du présent article.

« L’autorité compétente garde trace de la date et de l’heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »

Amendement n° 57 présenté par Mme Obono, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Supprimer cet article.

Amendement n° 13 présenté par Mme Forteza.

À la seconde phrase de l’alinéa 7, substituer aux mots :

« doit notamment assurer »

les mots :

« assure notamment ».

Amendement n° 14 présenté par Mme Forteza.

À l’alinéa 10, substituer aux mots :

« doit être »

le mot :

« est ».

Amendement n° 15 présenté par Mme Forteza.

À l’alinéa 18, supprimer les mots :

« de la présente loi ».

Amendement n° 16 présenté par Mme Forteza.

À la seconde phrase de l’alinéa 53, substituer à la troisième occurrence du mot :

« à »

les mots :

« au I de ».

Amendement n° 17 présenté par Mme Forteza.

À l’alinéa 122, supprimer la seconde occurrence des mots :

« dans cet État ».

Amendement n° 18 présenté par Mme Forteza.

Après la première occurrence du mot :

« ou, »

rédiger ainsi la fin de l’alinéa 125 :

« en l’absence d’une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l’absence d’une telle décision et d’un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu’il existe de telles garanties appropriées. ».

TITRE IV

HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES

Article 20

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

1° À la réécriture de l’ensemble de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision cadre 2008/977/JAI du Conseil dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation, telles que résultant de la présente loi ;

2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

3° À l’adaptation et aux extensions aux collectivités régies par l’article 73 de la Constitution des dispositions prévues aux 1° et 2° du présent I, ainsi qu’à l’application de la présente loi et des mesures mentionnées aux mêmes 1° et 2° en Nouvelle-Calédonie, à Wallis-et-Futuna en Polynésie française et dans les Terres australes et antarctique françaises.

II. – Cette ordonnance est prise, après avis de la Commission nationale de l’informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.

III. – Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance.

Amendements identiques :

Amendements n° 31 présenté par Mme Ménard, n° 58 présenté par M. Bernalicis, Mme Autain, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Obono, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine, n° 120 présenté par M. Peu, M. Azerot, Mme Bello, M. Brotherson, M. Bruneel, Mme Buffet, M. Chassaigne, M. Dharréville, M. Dufrègne, Mme Faucillon, M. Jumel, M. Lecoq, M. Nilor, M. Fabien Roussel, M. Serville et M. Wulfranc et n° 129 présenté par M. Huyghe, Mme Beauvais, M. Bazin, M. Brun, M. Dive, Mme Duby-Muller, M. Pierre-Henri Dumont, M. Hetzel, Mme Kuster, M. Le Fur, Mme Le Grip, M. Leclerc, Mme Louwagie, Mme Bazin-Malgras, M. Marlin, M. Peltier et M. Jean-Pierre Vigier.

Supprimer cet article.

Après l’article 20

Amendement n° 155 présenté par M. Rebeyrotte, M. Bothorel, Mme Moutchou, Mme Abadie, Mme Avia, M. Boudié, Mme Braun-Pivet, Mme Chalas, M. Clément, Mme Degois, Mme Dubost, Mme Dubré-Chirat, M. Euzet, Mme Fajgeles, M. Fauvergue, M. Gauvain, Mme Guévenoux, M. Houbron, M. Houlié, Mme Kamowski, Mme Louis, M. Matras, M. Mazars, M. Mis, M. Molac, M. Paris, M. Pont, M. Poulliat, M. Questel, M. Rudigoz, M. Rupin, M. Terlier, Mme Thourot, M. Tourret, M. Valls, M. Villani, M. Vuilletet, Mme Zannier, M. Ferrand et les membres du groupe La République en Marche.

Après l’article 20, insérer l’article suivant :

I. – Le code de la consommation est ainsi modifié :

1° La sous-section 4 de la section 3 du chapitre IV du titre II du livre II du code de la consommation, dans sa rédaction résultant de l’article 48 de la loi n° 2016‑1321 du 7 octobre 2016 pour une République numérique, est abrogée ;

2° Au premier alinéa de l’article L. 242‑20, dans sa rédaction résultant du même l’article 48, la référence : « L. 224‑42‑3 » est supprimée.

II. – Le II de l’article 48 de la loi n° 2016‑1321 du 7 octobre 2016 pour une République numérique est abrogé.

TITRE V

DISPOSITIONS DIVERSES ET FINALES

Article 21

I. – La loi n° 78‑17 du 6 janvier 1978 précitée est ainsi modifiée :

1° A (nouveau) Au second alinéa du II de l’article 13, après la référence : « 3° », est insérée la référence : « du I » ;

1° L’article 15 est ainsi modifié :

a) Le quatrième alinéa est supprimé ;

b) (nouveau) Aux cinquième et sixième alinéas, après la référence : « 2° », est insérée la référence : « du I » ;

c) (nouveau) Au septième alinéa, après la référence : « 4° », est insérée la référence : « du I » ;

2° Le troisième alinéa de l’article 16 est supprimé ;

2° bis (nouveau) Au second alinéa de l’article 17, après la référence : « 2° », est insérée la référence : « du I » ;

2° ter (nouveau) Au second alinéa de l’article 21, après la référence : « 2° », est insérée la référence : « du I » ;

3° Au premier article de l’article 29, la référence : « 25, » est supprimée ;

4° Le I de l’article 30 est ainsi modifié :

a) Au premier alinéa, le mot : « déclarations, » est supprimé ;

b) Aux 2° et 6°, la référence : « 25, » est supprimée ;

5° Le I de l’article 31 est ainsi modifié :

a) Au premier alinéa, la référence : « 23 à » est remplacée par la référence : « 26 et » ;

b) À la fin du 1°, les mots : « ou la date de la déclaration de ce traitement » sont supprimés ;

6° À la seconde phrase du second alinéa du II de l’article 39, les mots : « ou dans la déclaration » sont supprimés ;

6° bis (nouveau) À l’article 42, la référence : « 25, » est supprimée ;

7° L’article 67 est ainsi modifié :

a) Au premier alinéa, les références : « 22, les 1° et 3° du I de l’article 25, les articles » sont supprimées ;

b) Le quatrième alinéa est supprimé ;

c) La seconde phrase de l’avant‑dernier alinéa est supprimée ;

8° L’article 70 est ainsi modifié :

a) Le premier alinéa est supprimé ;

b) À la deuxième phrase du second alinéa, les mots : « saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet État, la Commission nationale de l’informatique et des libertés délivre le récépissé et » sont remplacés par les mots : « consultée en application de l’article 36 du règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 précité et en cas de transfert de données à caractère personnel vers cet État, la Commission nationale de l’informatique et des libertés » ;

9° La seconde phrase de l’article 71 est supprimée.

II (nouveau). – L’article 226‑16‑1-A du code pénal est abrogé.

Amendements identiques :

Amendements n° 32 présenté par Mme Ménard et n° 89 présenté par Mme Forteza.

À l’alinéa 10, substituer à la première occurrence du mot :

« article »

le mot :

« alinéa ».

Article 22

Pour les traitements ayant fait l’objet de formalités antérieurement au 25 mai 2018, la liste mentionnée à l’article 31 de la loi n° 78‑17 du 6 janvier 1978 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans.

Après l’article 22

Amendement n° 84 présenté par M. Masson, Mme Anthoine, M. Bazin, M. Bony, M. Dive, M. Hetzel, Mme Kuster, M. Le Fur, Mme Louwagie, M. Straumann et Mme Trastour-Isnart.

Après l’article 22, insérer la division et l’intitulé suivants :

I. – Le chapitre VIII de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est abrogé.

II. – La section 5 du chapitre VI du titre II du livre II du code pénal est abrogée.

Article 23

I. – L’article 230‑8 du code de procédure pénale est ainsi modifié :

1° Le premier alinéa est ainsi rédigé :

« Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent qui, d’office ou à la demande de la personne concernée, ordonne qu’elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu’elles fassent l’objet d’une mention. La rectification pour requalification judiciaire est de droit. Le procureur de la République se prononce dans un délai de deux mois sur les suites qu’il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d’une décision devenue définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non‑lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d’irrecevabilité, que lorsque ne figure plus aucune mention dans le bulletin n° 2 de son casier judiciaire. En cas de décision de relaxe ou d’acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d’une décision de relaxe ou d’acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause font l’objet d’une mention, sauf si le procureur de la République ordonne l’effacement des données personnelles. Lorsque les données personnelles relatives à la personne concernée font l’objet d’une mention, elles ne peuvent faire l’objet d’une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114‑1, L. 234‑1 à L. 234‑3 du code de la sécurité intérieure et à l’article 17‑1 de la loi n° 95‑73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l’effacement des données personnelles ou ordonnant qu’elles fassent l’objet d’une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de l’intéressé. » ;

2° Au troisième alinéa, les mots : « en matière d’effacement ou de rectification des données personnelles » sont supprimés.

I bis (nouveau). – À la dernière phrase du deuxième alinéa de l’article 230‑9 du code de procédure pénale, les mots : « d’un » sont remplacés par les mots : « de deux ».

II. – Le premier alinéa de l’article 804 du code de procédure pénale est ainsi rédigé :

« Le présent code est applicable, dans sa rédaction résultant de loi n° du relative à la protection des données personnelles, en Nouvelle‑Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve des adaptations prévues au présent titre et aux seules exceptions : ».

Après l’article 23

Amendement n° 60 présenté par Mme Obono, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Panot, M. Prud’homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin et Mme Taurine.

Après l’article 23, insérer l’article suivant :

Le I de l’article L. 33‑1 du code des postes et des communications électroniques est ainsi modifié :

1° Le q est complété par les mots : « par le traitement égal et non discriminatoire du trafic par les opérateurs dans la fourniture des services d’accès à l’internet, sans limitation ni interférence, indépendamment de l’expéditeur, du destinataire, du type du contenu, de l’appareil, du service ou de l’application, ainsi que par le droit des utilisateurs finaux, y compris les personnes fournissant des services de communication au public en ligne d’accéder et de contribuer à l’internet. »

2° Après le q, il est inséré un alinéa ainsi rédigé :

« Les fournisseurs proposant un accès à l’internet aux utilisateurs finaux n’opèrent pas de discrimination tarifaire. »

Article 23 bis (nouveau)

Au 6° de l’article L. 1461‑7 du code de la santé publique, la référence : « 56 » est remplacée par la référence : « 57 ».

Article 24

Les titres Ier à III et les articles 21 et 22 de la présente loi entrent en vigueur le 25 mai 2018.

Toutefois, les dispositions de l’article 70‑15 de la loi n° 78‑17 du 6 janvier 1978 précitée entrent en vigueur à une date fixée par décret, et au plus tard :

1° Le 6 mai 2023 lorsqu’une telle obligation exigerait des efforts disproportionnés ;

2° Le 6 mai 2026 lorsque, à défaut d’un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l’entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire.

Après l’article 24

Amendement n° 20 présenté par M. Bonnell, Mme Brocard, M. Ardouin, Mme Tiegna, M. Blanchet, Mme Gregoire, M. Fugit, M. Marilossian, M. Adam et M. Besson-Moreau.

Après l’article 24, insérer l’article suivant :

Après l’alinéa 1 de l’article L. 341‑1 du code de la propriété intellectuelle, il est inséré un alinéa ainsi rédigé :

« Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »

Annexes

DÉpÔt d’une proposition de loi constitutionnelle

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Laurent Garcia, une proposition de loi constitutionnelle relative à la consécration constitutionnelle de l’ordre juridictionnel administratif.

Cette proposition de loi constitutionnelle, n° 643, est renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, en application de l’article 83 du règlement.

DÉpÔt de propositions de loi

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Jean-Claude Bouchet et plusieurs de ses collègues, une proposition de loi visant à étendre le dispositif par l’envoi d’un message à tous les abonnés en téléphonie mobile et fixe lors du déclenchement d’une « alerte enlèvement ».

Cette proposition de loi, n° 644, est renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Rémi Delatte et plusieurs de ses collègues, une proposition de loi visant à uniformiser les sanctions en cas d’atteinte à la dignité des personnes dépositaires de l’autorité publique.

Cette proposition de loi, n° 645, est renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Emmanuelle Ménard et plusieurs de ses collègues, une proposition de loi visant à la reconnaissance des crimes commis contre la population vendéenne en 1793-1796 et annulant les lois en exécution desquelles ils ont été commis.

Cette proposition de loi, n° 646, est renvoyée à la commission des affaires culturelles et de l’éducation, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Antoine Herth et plusieurs de ses collègues, une proposition de loi visant à autoriser la commercialisation de semences sous forme de mélanges.

Cette proposition de loi, n° 647, est renvoyée à la commission des affaires économiques, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Brigitte Kuster et plusieurs de ses collègues, une proposition de loi relative à l’apprentissage de l’hymne national et à sa pratique régulière dans les établissements d’enseignement du premier et du second degré.

Cette proposition de loi, n° 648, est renvoyée à la commission des affaires culturelles et de l’éducation, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Damien Abad, une proposition de loi relative à la présence des paroles de l’hymne national et d’une carte de l’Union européenne dans les classes des écoles de la République française.

Cette proposition de loi, n° 649, est renvoyée à la commission des affaires culturelles et de l’éducation, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Thibault Bazin et plusieurs de ses collègues, une proposition de loi visant à assujettir le fonds de compensation pour la taxe sur la valeur ajoutée à la prise en charge de dépenses d’investissement des communes pour des biens acquis par portage foncier.

Cette proposition de loi, n° 650, est renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Véronique Louwagie et plusieurs de ses collègues, une proposition de loi visant à appliquer le droit à l’oubli à cinq ans pour les personnes déclarées guéries d’un cancer.

Cette proposition de loi, n° 651, est renvoyée à la commission des affaires sociales, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Julien Aubert et plusieurs de ses collègues, une proposition de loi de défense du droit de propriété et créant un délit d’occupation sans droit ni titre d’un immeuble.

Cette proposition de loi, n° 652, est renvoyée à la commission des affaires économiques, en application de l’article 83 du règlement.

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Marc Le Fur et plusieurs de ses collègues, une proposition de loi visant à faciliter l’expulsion des squatteurs de domicile.

Cette proposition de loi, n° 653, est renvoyée à la commission des affaires économiques, en application de l’article 83 du règlement.

DÉpÔt d’une proposition de rÉsolution

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Fabrice Brun et plusieurs de ses collègues, une proposition de résolution visant à créer une commission d’enquête sur les difficultés rencontrées par les clients des opérateurs de téléphonie et des fournisseurs d’accès à internet situés dans les zones dites « grises » et « blanches ».

Cette proposition de résolution, n° 636, est renvoyée à la commission des affaires économiques, en application de l’article 83 du règlement.

DÉpÔt de rapports

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Jean-Luc Warsmann, un rapport, n° 637, fait au nom de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République sur la proposition de loi, modifiée par le Sénat, permettant une bonne application du régime d’asile européen (n° 601).

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Sacha Houlié, un rapport, n° 639, fait au nom de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République sur le projet de loi, adopté avec modifications par le Sénat, en deuxième lecture, ratifiant l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations (n° 629).

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de M. Maurice Leroy, un rapport, n° 640, fait au nom de la commission des affaires étrangères sur le projet de loi autorisant l’approbation de l’accord entre le Gouvernement de la République française et le Gouvernement de la Principauté d’Andorre concernant l’amélioration de la viabilité des routes nationales 20, 320 et 22 entre Tarascon-sur-Ariège et la frontière franco-andorrane (n° 509).

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Monica Michel, un rapport, n° 641, fait au nom de la commission des affaires étrangères sur le projet de loi, adopté par le Sénat, autorisant la ratification de l’accord euro-méditerranéen relatif aux services aériens entre l’Union européenne et ses Etats membres, d’une part, et le Gouvernement de l’Etat d’Israël, d’autre part (n° 374).

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Bérengère Poletti, un rapport, n° 642, fait au nom de la commission des affaires étrangères sur le projet de loi autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l’homme et des libertés fondamentales (n° 510).

DÉpÔt d’un rapport d’information

M. le président de l’Assemblée nationale a reçu, le 7 février 2018, de Mme Aude Luquet et M. Michel Vialay, un rapport d’information n° 638, déposé en application de l’article 145-7 alinéa 1 du règlement, par la commission du développement durable et de l’aménagement du territoire sur la mise en application de la loi n° 2016-339 du 22 mars 2016 relative à la prévention et à la lutte contre les incivilités, contre les atteintes à la sécurité publique et contre les actes terroristes dans les transports collectifs de voyageurs.

Textes soumis en application de l’article 88-4 de la Constitution

Par lettre du mercredi 7 février 2018, M. le Premier ministre a transmis, en application de l’article 88-4 de la Constitution, à M. le président de l’Assemblée nationale, les textes suivants :

5666/18. – Décision du Conseil portant nomination d’un membre du Comité des régions, proposé par la République italienne.

C(2018) 234 final. – Décision de la Commission du 18.1.2018 portant retrait du règlement délégué C(2017) 6261 de la Commission du 25 septembre 2017 rectifiant la version en langue espagnole du règlement délégué (UE) nº 812/2013 de la Commission complétant la directive 2010/30/UE du Parlement européen et du Conseil en ce qui concerne l’étiquetage énergétique des chauffe-eau, des ballons d’eau chaude et des produits combinés constitués d’un chauffe-eau et d’un dispositif solaire.

COM(2017) 753 final. – Proposition de directive du Parlement européen et du Conseil relative à la qualité des eaux destinées à la consommation humaine (refonte).

COM(2017) 806 final. – Recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et l’État d’Israël sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités israéliennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme.

COM(2017) 807 final. – Recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et la Tunisie sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités tunisiennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme.

COM(2017) 809 final. – Recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et la République arabe d’Égypte sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités égyptiennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme.

COM(2017) 811 final. – Recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et la République algérienne démocratique et populaire sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités algériennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme.

COM(2018) 8 final. – Proposition de règlement du Conseil établissant l’entreprise commune européenne pour le calcul à haute performance.

COM(2018) 51 final. – Proposition de règlement du Parlement européen et du Conseil concernant l’évaluation des technologies de la santé et modifiant la directive 2011/24/UE.

COM(2018) 54 final. – Proposition de décision du Conseil relative à la position à prendre, au nom de l’Union européenne, au sein du comité APE créé par l’Accord de Partenariat Economique (APE) d’étape entre la Côte d’Ivoire, d’une part, et la Communauté européenne et ses États membres, d’autre part, concernant l’adoption du règlement intérieur du comité APE.

ANALYSE DES SCRUTINS

137e séance

Scrutin public n° 387

sur l’amendement n° 19 de Mme Karamanli après l’article 14 A du projet de loi relatif à la protection des données personnelles (première lecture).

Nombre de votants :.................85

Nombre de suffrages exprimés :.......71

Majorité absolue :..................36

Pour l’adoption :..........13

Contre :.................58

L’Assemblée nationale n’a pas adopté.

Groupe La République en marche (310)

Contre : 51

M. Éric Alauzet, Mme Aude Bono-Vandorme, M. Éric Bothorel, M. Bertrand Bouyx, Mme Pascale Boyer, Mme Yaël Braun-Pivet, M. Stéphane Buchou, Mme Émilie Cariou, M. Jean-François Cesarini, Mme Mireille Clapot, M. Jean-Charles Colas-Roy, Mme Yolaine de Courson, M. Nicolas Démoulin, M. Loïc Dombreval, Mme Nicole Dubré-Chirat, Mme Élise Fajgeles, Mme Valéria Faure-Muntian, Mme Paula Forteza, Mme Albane Gaillot, Mme Laurence Gayte, Mme Véronique Hammerer, Mme Christine Hennion, M. Philippe Huppé, M. Loïc Kervran, M. Daniel Labaronne, Mme Marie Lebec, Mme Marion Lenne, Mme Cendra Motin, M. Matthieu Orphelin, M. Laurent Pietraszewski, Mme Béatrice Piron, M. Éric Poulliat, M. Bruno Questel, M. Rémy Rebeyrotte, Mme Cécile Rilhac, Mme Stéphanie Rist, M. Cédric Roussel, M. Jean-Bernard Sempastous, M. Bertrand Sorre, Mme Sira Sylla, Mme Marie Tamarelle-Verhaeghe, Mme Liliana Tanguy, M. Adrien Taquet, M. Jean Terlier, M. Stéphane Testé, M. Vincent Thiébaut, Mme Agnès Thill, Mme Sabine Thillaye, M. Cédric Villani, Mme Martine Wonner et M. Jean-Marc Zulesi.

Abstention : 1

Mme Jennifer De Temmerman.

Non-votant(s) : 2

Mme Carole Bureau-Bonnard (présidente de séance) et M. François de Rugy (président de l’Assemblée nationale).

Groupe Les Républicains (101)

Contre : 2

M. Éric Diard et M. Frédéric Reiss.

Abstention : 11

Mme Emmanuelle Anthoine, M. Pierre Cordier, M. Fabien Di Filippo, M. Pierre-Henri Dumont, M. Laurent Furst, M. Philippe Gosselin, Mme Véronique Louwagie, M. Gilles Lurton, M. Raphaël Schellenberger, M. Pierre Vatin et M. Arnaud Viala.

Groupe du Mouvement démocrate et apparentés (47)

Contre : 5

M. Erwan Balanant, M. Philippe Bolo, M. Mohamed Laqhila, M. Frédéric Petit et M. Sylvain Waserman.

Abstention : 1

Mme Sarah El Haïry.

Groupe UDI, Agir et Indépendants (32)

Groupe Nouvelle Gauche (30)

Pour : 7

Mme Marie-Noëlle Battistel, M. Christophe Bouillon, M. Jean-Louis Bricout, Mme Marietta Karamanli, Mme Christine Pires Beaune, M. Dominique Potier et Mme Michèle Victory.

Groupe La France insoumise (17)

Pour : 4

M. Ugo Bernalicis, Mme Danièle Obono, M. Loïc Prud’homme et M. Jean-Hugues Ratenon.

Groupe de la Gauche démocrate et républicaine (16)

Pour : 2

M. Jean-Paul Dufrègne et M. Stéphane Peu.

Non inscrits (18)

Abstention : 1

Mme Emmanuelle Ménard.

Mises au point

(Sous réserve des dispositions de l’article 68, alinéa 4, du Règlement de l’Assemblée nationale)

M. François Ruffin qui était présent au moment du scrutin ou qui avait délégué son droit de vote a fait savoir qu’il avait voulu « voter pour ».

M. Jean-Hugues Ratenon n’a pas pris part au scrutin.

Scrutin public n° 388

sur l’amendement n° 71 de M. Prud’homme après l’article 15 du projet de loi relatif à la protection des données personnelles (première lecture).

Nombre de votants :.................79

Nombre de suffrages exprimés :.......69

Majorité absolue :..................35

Pour l’adoption :...........8

Contre :.................61

L’Assemblée nationale n’a pas adopté.

Groupe La République en marche (310)

Contre : 52

Mme Bérangère Abba, M. Saïd Ahamada, M. Éric Alauzet, M. Xavier Batut, M. Hervé Berville, M. Bruno Bonnell, Mme Aude Bono-Vandorme, M. Éric Bothorel, M. Bertrand Bouyx, Mme Pascale Boyer, Mme Yaël Braun-Pivet, M. Stéphane Buchou, Mme Émilie Cariou, M. Jean-François Cesarini, M. Guillaume Chiche, Mme Mireille Clapot, M. Nicolas Démoulin, M. Loïc Dombreval, Mme Nicole Dubré-Chirat, Mme Élise Fajgeles, Mme Valéria Faure-Muntian, M. Jean-Marie Fiévet, Mme Paula Forteza, Mme Albane Gaillot, Mme Laurence Gayte, Mme Véronique Hammerer, Mme Christine Hennion, M. Philippe Huppé, M. François Jolivet, M. Loïc Kervran, M. Daniel Labaronne, Mme Marie Lebec, Mme Marion Lenne, M. Stéphane Mazars, M. Jean-Michel Mis, M. Bruno Questel, M. Rémy Rebeyrotte, Mme Cécile Rilhac, Mme Stéphanie Rist, Mme Mireille Robert, M. Bertrand Sorre, M. Bruno Studer, Mme Sira Sylla, Mme Liliana Tanguy, M. Adrien Taquet, M. Jean Terlier, M. Stéphane Testé, M. Vincent Thiébaut, Mme Sabine Thillaye, M. Jean-Louis Touraine, M. Cédric Villani et Mme Martine Wonner.

Non-votant(s) : 2

Mme Carole Bureau-Bonnard (présidente de séance) et M. François de Rugy (président de l’Assemblée nationale).

Groupe Les Républicains (101)

Pour : 2

M. Éric Diard et M. Pierre-Henri Dumont.

Contre : 1

M. Raphaël Schellenberger.

Abstention : 8

Mme Emmanuelle Anthoine, M. Thibault Bazin, M. Pierre Cordier, M. Fabien Di Filippo, M. Laurent Furst, Mme Véronique Louwagie, M. Gilles Lurton et Mme Laurence Trastour-Isnart.

Groupe du Mouvement démocrate et apparentés (47)

Contre : 6

M. Erwan Balanant, M. Philippe Bolo, Mme Sarah El Haïry, M. Mohamed Laqhila, M. Frédéric Petit et M. Sylvain Waserman.

Groupe UDI, Agir et Indépendants (32)

Groupe Nouvelle Gauche (30)

Contre : 2

Mme Marietta Karamanli et Mme Christine Pires Beaune.

Abstention : 1

Mme Michèle Victory.

Groupe La France insoumise (17)

Pour : 4

M. Ugo Bernalicis, Mme Danièle Obono, M. Loïc Prud’homme et M. François Ruffin.

Groupe de la Gauche démocrate et républicaine (16)

Pour : 2

M. Jean-Paul Dufrègne et M. Stéphane Peu.

Non inscrits (18)

Abstention : 1

Mme Emmanuelle Ménard.

37/37