N° 76

SÉNAT

                  

SESSION ORDINAIRE DE 2017‑2018

21 mars 2018

                                                                                                                                             

ATTENTION

TEXTE ADOPTE PROVISOIRE

Seule l'impression définitive a valeur de texte authentique

PROJET DE LOI

relatif à la protection des données personnelles.

(procédure accélérée)







Le Sénat a modifié, en première lecture, le projet de loi adopté par l'Assemblée nationale en première lecture, après engagement de la procédure accélérée, dont la teneur suit :

                                                                                                                                             

Voir les numéros :

Assemblée nationale (15e législ.) : 490, 592, 579 et T.A. 84.

Sénat : 296, 350, 351 et 344(2017‑2018).



Projet de loi relatif à la protection des données personnelles


TITRE IER

DISPOSITIONS d’adaptation COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016


Chapitre Ier

Dispositions relatives à la Commission nationale de l’informatique et des libertés


Article 1er


L’article 11 de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au début du premier alinéa, est ajoutée la mention : « I. – » ;

2° Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité » ;

2° bis Le 1° est complété par les mots : « et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;

3° Le 2° est ainsi modifié :

aa) Le premier alinéa est complété par les mots : « et aux dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France » ;

a) Au a, les mots : « autorise les traitements mentionnés à l’article 25, » et les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;

b) Après le même a, il est inséré un a bis ainsi rédigé :

« a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous‑traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous‑traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro‑entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »

Amdt  29 rect.

c) Le b est ainsi rédigé :



« b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ; »



d) Après le f, sont insérés des f bis et f ter ainsi rédigés :



« f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro‑entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation, mentionné au b du 1 de l’article 43 du même règlement[ ] ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

Amdt  82



« f ter) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale en matière de sécurité et de défense des systèmes d’information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »

Amdt  79 rect.



e) Au g, après le mot : « certification », sont insérés les mots : « , par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;



f) À la fin du h, les mots : « d’accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41, 42 et 70‑22 » ;



g) Sont ajoutés des i et j ainsi rédigés :



« i) Elle établit une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70‑4 ;

Amdt  121



« j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611‑1 du code de la consommation, en vue de la bonne application de la présente loi ; »



4° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée : « Elle peut également être consultée par le Président de l’Assemblée nationale ou par le Président du Sénat sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel. » ;



5° Après le même 4°, il est inséré un 5° ainsi rédigé :



« 5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l’Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;



6° Au début du vingt‑sixième alinéa, est ajoutée la mention : « II. – » ;



7° (nouveau) L’avant‑dernier alinéa est supprimé.



Article 1er bis

(Supprimé)


Article 2


Au 7° du I de l’article 13 de la loi  78‑17 du 6 janvier 1978 précitée, après le mot : « numérique », sont insérés les mots : « ou des questions touchant aux libertés individuelles ».


Article 2 bis


L’article 15 de la loi  78‑17 du 6 janvier 1978 précitée est complété par trois alinéas ainsi rédigés :

« – au 4 de l’article 34 du règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;

Amdt  155

« – aux a et h du 3 de l’article 58 du même règlement.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice‑président délégué peuvent déléguer leur signature. »

Article 3

(Conforme)


Article 4


L’article 44 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au premier alinéa du I, les mots : « et qui sont à usage professionnel » sont supprimés ;

2° Le II est ainsi modifié :

a) À la première phrase du premier alinéa, les mots : « de locaux professionnels privés » sont remplacés par les mots : « de ces lieux, locaux, enceintes, installations ou établissements » ;

b) La dernière phrase du dernier alinéa est complétée par les mots : « dont la finalité est l’exercice effectif des missions prévues au III » ;

3° Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés :

« Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.

« Le secret médical est opposable s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin. » ;

4° Avant le dernier alinéa du même III, sont insérés deux alinéas ainsi rédigés :

« Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.



« Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts. » ;

Amdt  83



5° Il est ajouté un V ainsi rédigé :



« V. – Dans l’exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions. »



Article 5


La loi  78‑17 du 6 janvier 1978 précitée est ainsi modifiée :

1° A Après l’article 48, il est inséré un chapitre VII bis, intitulé : « De la coopération » et comprenant les articles 49 à 49‑5 tels qu’ils résultent des 1° à 3° du présent article ;

1° L’article 49 est ainsi rédigé :

« Art. 49. – Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres États membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

« La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

« La commission peut charger le bureau :

« – d’exercer ses prérogatives en tant qu’autorité concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

« – lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité compétente, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par ledit règlement et d’arrêter la décision au nom de la commission. » ;

2° Après le même article 49, sont insérés des articles 49‑1 à 49‑4 ainsi rédigés :

« Art. 49‑1. – I. – Pour l’application de l’article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés coopère avec les autorités de contrôle des autres États membres de l’Union européenne, dans les conditions prévues au présent article.



« II. – Qu’elle agisse en tant qu’autorité de contrôle chef de file ou en tant qu’autorité concernée au sens des articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs d’autres États membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes qu’il décide de conduire.



« III. – Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu’autorité de contrôle d’accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération. À la demande de l’autorité de contrôle d’un État membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l’autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l’article 19 de la présente loi, à exercer, sous son autorité[ ] et son contrôle, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les membres et les agents de la commission.

Amdt  128



« IV. – Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l’autorité de contrôle d’un autre État membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l’autorité requérante dans les conditions prévues à l’article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.



« Art. 49‑2. – I. – Les traitements mentionnés à l’article 70‑1 font l’objet d’une coopération entre la Commission nationale de l’informatique et des libertés et les autorités de contrôle des autres États membres de l’Union européenne dans les conditions prévues au présent article.



« II. – La commission communique aux autorités de contrôle des autres États membres les informations utiles et leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, d’inspection et d’enquête.



« La commission répond à une demande d’assistance mutuelle formulée par une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle n’est pas compétente pour traiter l’objet de la demande ou les mesures qu’elle est invitée à exécuter, ou si une disposition du droit de l’Union européenne ou du droit français y fait obstacle.



« La commission informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement du dossier ou des mesures prises pour donner suite à la demande.



« La commission peut, pour l’exercice de ses missions, solliciter l’assistance d’une autorité de contrôle d’un autre État membre de l’Union européenne.



« La commission donne les motifs de tout refus de satisfaire à une demande lorsqu’elle estime ne pas être compétente ou lorsqu’elle considère que satisfaire à la demande constituerait une violation du droit de l’Union européenne ou du droit français.



« Art. 49‑3. – Lorsque la commission agit en tant qu’autorité de contrôle chef de file s’agissant d’un traitement transfrontalier au sein de l’Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l’article 47 ainsi que l’ensemble des informations utiles de la procédure ayant permis d’établir le rapport, avant l’éventuelle audition du responsable de traitement ou de son sous‑traitant. Les autorités concernées sont mises en mesure d’assister, par tout moyen de retransmission approprié, à l’audition par la formation restreinte du responsable de traitement ou de son sous‑traitant, ou de prendre connaissance d’un procès‑verbal dressé à la suite de l’audition.



« Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l’article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. À ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d’écarter l’une des objections, le comité européen de la protection des données conformément à l’article 65 du même règlement.



« Les conditions d’application du présent article sont définies par décret en Conseil d’État, après avis de la Commission nationale de l’informatique et des libertés.



« Art. 49‑4. – Lorsque la commission agit en tant qu’autorité de contrôle concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.



« Lorsque ces mesures sont d’objet équivalent à celles définies aux I et II de l’article 45 de la présente loi, le président décide, le cas échéant, d’émettre une objection pertinente et motivée selon les modalités prévues à l’article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

Amdts  150,  154



« Lorsque ces mesures sont d’objet équivalent à celles définies au III de l’article 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu’il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités. » ;

Amdts  150,  154



3° L’article 49 bis devient l’article 49‑5.



Article 6


I. – La loi  78‑17 du 6 janvier 1978 précitée est ainsi modifiée :

1° L’intitulé du chapitre VII est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission nationale de l’informatique et des libertés » ;

2° L’article 45 est ainsi rédigé :

« Art. 45. – I. – Le président de la Commission nationale de l’informatique et des libertés peut avertir un responsable de traitement ou son sous‑traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.

« II. – Lorsque le responsable de traitement ou son sous‑traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, [ ] si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

Amdt  151

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

Amdt  151

« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

Amdt  151

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

Amdt  151

« 4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Amdt  151

« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous‑traitant de notifier aux destinataires des données les mesures qu’il a prises.

Amdt  151



« Le délai de mise en conformité peut être fixé à vingt‑quatre heures en cas d’extrême urgence.

Amdt  151



« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Amdt  151



« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

Amdt  151



« III. – Lorsque le responsable de traitement ou son sous‑traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant, en complément d’une mise en demeure[ ] prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

Amdt  151



« 1° Un rappel à l’ordre ;

Amdt  151



« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;

Amdt  151



« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense[ ] ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

Amdt  151



« 4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

Amdt  151



« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

Amdt  151



« 6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

Amdt  151



« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

Amdt  151



« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement. » ;

Amdt  151



3° L’article 46 est ainsi rédigé :



« Art. 46. – I. – Lorsque le non‑respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’État, adopter l’une des mesures suivantes :



« 1° L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;



« 2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du même chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;



« 3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous‑traitant ;



« 4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;



« 5° La suspension provisoire de l’autorisation délivrée sur le fondement du III de l’article 54 de la présente loi ;



« 6° L’injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;



« 7° Un rappel à l’ordre ;



« 8° L’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.



« II. – En cas de circonstances exceptionnelles prévues au 1 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la Commission européenne.



« Lorsque la formation restreinte a pris de telles mesures et qu’elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.



« III. – Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsqu’une autorité de contrôle compétente en application du même règlement n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l’article 66 dudit règlement.



« IV. – En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés. » ;



4° L’article 47 est ainsi rédigé :



« Art. 47. – Les mesures prévues au III de l’article 45 et aux 1° à 7° du I de l’article 46 sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle‑ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous‑traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle‑ci.

Amdt  151



« La formation restreinte peut rendre publiques les mesures qu’elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne, aux frais des personnes sanctionnées.



« Sans préjudice des obligations d’information qui incombent au responsable de traitement ou à son sous‑traitant en application de l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous‑traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.



« Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui‑ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.



« L’astreinte est liquidée par la formation restreinte qui en fixe le montant définitif.



« Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.



« Leur produit est destiné à financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous‑traitants, afin qu’ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;



5° L’article 48 est ainsi rédigé :



« Art. 48. – Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de l’agrément qui a été délivré à cet organisme. »



II (nouveau). – Au deuxième alinéa de l’article 226‑16 du code pénal, la référence : « I » est remplacée par la référence : « II ». Cet alinéa demeure applicable, dans sa rédaction résultant de la loi  2016‑1321 du 7 octobre 2016 pour une République numérique, aux faits commis avant la date d’entrée en vigueur du présent article pour lesquels l’action publique avait été valablement exercée avant cette même date.



Article 6 bis (nouveau)

Amdt  48 rect. bis


Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Amdt  48 rect. bis


Chapitre II

Dispositions relatives à certaines catégories de données


Article 7


L’article 8 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le I est ainsi rédigé :

« I. – Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » ;

2° Le II est ainsi modifié :

a) À la fin du 7°, les mots : « et dans les conditions prévues à l’article 25 de la présente loi » sont supprimés ;

b) Le 8° est ainsi rédigé :

« 8° Les traitements comportant des données concernant la santé justifiés par l’intérêt public et conformes aux dispositions du chapitre IX de la présente loi ; »

c) Sont ajoutés des 9° à 11° ainsi rédigés :

« 9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l’article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

« 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l’article L. 10 du code de justice administrative et à l’article L. 111‑13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;



« 11° (nouveau) Les traitements nécessaires à la recherche publique au sens de l’article L. 112‑1 du code de la recherche, mis en œuvre dans les conditions du 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l’informatique et des libertés délivré selon les modalités prévues à l’article 28 de la présente loi. » ;

Amdts  65 rect.,  86


3° Le III est ainsi rédigé :



« III. – N’entrent pas dans le champ de l’interdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés. » ;



4° Le IV est ainsi rédigé :



« IV. – De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés dans les conditions prévues au II de l’article 26. »



TITRE II

MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE


Article 8 A (nouveau)

Amdt  58 rect.


L’article 2 de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

Amdt  58 rect.

1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;

Amdt  58 rect.

2° L’avant‑dernier alinéa est complété par les mots : « que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Amdt  58 rect.

Chapitre Ier

Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679


Article 8

(Conforme)


Chapitre II

Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements


Article 9


I à III. – (Non modifiés)

IV (nouveau). – L’article 226‑16‑1 A du code pénal est abrogé. Il demeure applicable, dans sa rédaction résultant de la loi  2004‑801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, aux faits commis avant la date d’entrée en vigueur du présent article pour lesquels l’action publique avait été valablement exercée avant cette même date.

Chapitre III

Obligations incombant aux responsables de traitement et à leurs sous‑traitants


Article 10

(Conforme)


Article 10 bis (nouveau)

Amdt  7 rect. septies


Le premier alinéa de l’article 34 de la loi  78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Amdt  7 rect. septies


Chapitre IV

Dispositions relatives à certaines catégories particulières de traitements


Article 11


I. – L’article 9 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° A (nouveau) Au début du premier alinéa, est ajoutée la mention : « I. – » ;

1° (Supprimé)

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à l’exercice des missions qui leur sont confiées par la loi » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux‑ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à cette finalité. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités. Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111‑13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;

5° (nouveau) Il est ajouté un II ainsi rédigé :

« II. – Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.



« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui‑ci à la description figurant dans l’autorisation.



« La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. »



II (nouveau). – Le deuxième alinéa de l’article L. 111‑13 du code de l’organisation judiciaire est ainsi rédigé :



« Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions. »



III (nouveau). – Le troisième alinéa de l’article L. 10 du code de justice administrative est ainsi rédigé :



« Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions. »



Article 12


I. – L’article 36 de la loi  78‑17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;

2° Les deuxième à dernier alinéas sont supprimés ;

Amdt  89

3° Sont ajoutés deux alinéas ainsi rédigés :

« Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211‑2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Amdts  135 rect.,  136,  149 rect. bis,  40,  41,  42,  43,  53,  60,  61,  90,  91

« Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article. »

Amdts  144,  92

II (nouveau). – Au 4° du IV de l’article L. 1461‑1 du code de la santé publique, le mot : « deuxième » est remplacé par le mot : « premier ».

Amdt  153

Article 12 bis (nouveau)

Amdt  80 rect.


À la fin de la seconde phrase de l’article L. 212‑4‑1 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés.

Amdt  80 rect.


Article 13


I. – Le chapitre IX de la loi  78‑17 du 6 janvier 1978 précitée est ainsi rédigé :

« Chapitre IX

« Traitements de données à caractère personnel dans le domaine de la santé

« Section 1

« Dispositions générales