Allez au contenu, Allez à la navigation



Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

 

Rapport n° 367 (2003-2004) de M. Alex TÜRK, fait au nom de la commission des lois, déposé le 23 juin 2004

Disponible au format Acrobat (1,1 Moctet)

Tableau comparatif au format Acrobat (314 Koctets)

N° 367

SÉNAT

SESSION ORDINAIRE DE 2003-2004

Annexe au procès-verbal de la séance du 23 juin 2004

RAPPORT

FAIT

au nom de la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi, ADOPTÉ AVEC MODIFICATIONS PAR L'ASSEMBLÉE NATIONALE EN DEUXIÈME LECTURE, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,

Par M. Alex TÜRK,

Sénateur.

(1) Cette commission est composée de : M. René Garrec, président ; M. Patrice Gélard, Mme Michèle André, MM. Pierre Fauchon, José Balarello, Robert Bret, Georges Othily, vice-présidents ; MM. Jean-Pierre Schosteck, Laurent Béteille, Jacques Mahéas, Jean-Jacques Hyest, secrétaires ; MM. Nicolas Alfonsi, Jean-Paul Amoudry, Robert Badinter, Mme Nicole Borvo, MM. Charles Ceccaldi-Raynaud, Christian Cointat, Raymond Courrière, Jean-Patrick Courtois, Marcel Debarge, Michel Dreyfus-Schmidt, Gaston Flosse, Jean-Claude Frécon, Bernard Frimat, Jean-Claude Gaudin, Charles Gautier, Charles Guené, Daniel Hoeffel, Pierre Jarlier, Lucien Lanier, Jacques Larché, Jean-René Lecerf, Gérard Longuet, Jean Louis Masson, Mme Josiane Mathon, MM. Jean-Claude Peyronnet, Josselin de Rohan, Bernard Saugey, Jean-Pierre Sueur, Simon Sutour, Alex Türk, Maurice Ulrich, Jean-Paul Virapoullé, François Zocchetto.

Voir les numéros :

Assemblée nationale (11ème législ.) : Première lecture : 3250, 3526 et T.A. 780

(12ème législ.) : Deuxième lecture : 762, 1537 et T.A. 283

Sénat : Première lecture : 203 (2001-2002), 218 et T.A. 96 (2002-2003)

Deuxième lecture : 285 (2003-2004)

Droits de l'homme et libertés publiques.

LES CONCLUSIONS DE LA COMMISSION

Réunie le mercredi 23 juin 2004 sous la présidence de M. René Garrec, président, la commission des Lois a examiné, en deuxième lecture, sur le rapport de M. Alex Türk, le projet de loi n° 285 (2003-2004), adopté avec modifications par l'Assemblée nationale en deuxième lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Après avoir indiqué que le projet de loi tendait à mettre en oeuvre la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dont la transposition avait déjà six années de retard, le rapporteur a rappelé les principales modifications apportées par l'Assemblée nationale :

- l'habilitation des sociétés d'auteurs à mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes ;

- l'encadrement du statut des correspondants à la protection des données personnelles chargés de contrôler l'application de la loi au sein des organismes tant publics que privés en échange d'une dispense de formalités préalables, afin d'affirmer leur indépendance et les conditions de leur intervention, limitée aux traitements soumis à simple déclaration ;

- la possibilité de prévoir une exemption de contrôle sur place pour les fichiers intéressant la sûreté nationale ;

- ainsi que le renforcement des pouvoirs de sanction de la CNIL (tant en matière de publicité que de sanctions pécuniaires).

Le rapporteur s'est félicité de ces apports, soulignant qu'ils correspondaient à une démarche pragmatique. Il a insisté sur l'urgence de l'adoption du présent projet de loi, rappelant les dangers nouveaux auxquels étaient exposées les personnes physiques, du fait notamment du développement de la géolocalisation (possible à partir d'un téléphone portable, même éteint), de la biométrie et de l'utilisation d'Internet.

La commission propose d'adopter le projet de loi sans modification.

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Le Sénat est appelé à examiner en deuxième lecture le projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'origine de la première autorité administrative indépendante, la Commission nationale de l'informatique et des libertés (CNIL).

Ce texte tend à transposer la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, qui présente des différences substantielles avec la loi du 6 janvier 1978.

Si cette loi a été maintenue, pour des raisons symboliques, sa présentation a été profondément remaniée, afin de suivre l'ordre de la directive, ce qui explique des déplacements de dispositions figurant déjà, par ailleurs, dans la loi en vigueur.

Outre la substitution de la notion de « données à caractère personnel » à celle d'« informations nominatives » pour recouvrir, outre le texte, l'image et le son, le projet de loi poursuit plusieurs objectifs.

Actuellement, la loi du 6 janvier 1978 prévoit des formalités préalables à la mise en oeuvre de tout traitement automatisé d'informations nominatives différentes selon la nature du responsable du traitement, les traitements publics requérant un avis de la CNIL, puis un acte réglementaire d'autorisation, les traitements privés étant soumis à une simple déclaration.

Parallèlement, la loi prévoit une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL pour les traitements (tant publics que privés) les plus courants ne portant manifestement pas atteinte à la vie privée ou aux libertés, tandis que certaines données dites sensibles, telles les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les moeurs, le numéro de sécurité sociale, les condamnations pénales et désormais les données médicales font l'objet de réglementations spécifiques.

Conformément à la directive, le projet de loi retient un critère matériel de contrôle, le développement considérable de l'informatique au sein des entreprises ayant montré qu'à côté des grands ordinateurs publics, certains traitements privés pouvaient porter atteinte aux libertés individuelles, en conduisant notamment à refuser des prestations à une personne.

Les traitements de données à caractère personnel, publics comme privés, devront désormais uniquement faire l'objet d'une déclaration préalable auprès de la CNIL, seuls demeurant soumis à autorisation préalable les traitements susceptibles de comporter des risques particuliers au regard des droits et des libertés.

A l'inverse, ceux non susceptibles de porter atteinte aux droits et libertés des personnes concernées pourront ne donner lieu qu'à une déclaration simplifiée, voire être exonérés de toute formalité.

Parallèlement à la limitation des contrôles a priori, la directive invite à un recentrage de la CNIL, trop tournée vers un contrôle essentiellement formel et a priori sur les déclarations, vers un contrôle a posteriori. En effet, des millions de traitements n'ont pas été déclarés, tandis que la répression est restée faible (61 avertissements et 35 dénonciations au parquet depuis 1978), en raison notamment des moyens réduits dont dispose la CNIL (82 agents).

La CNIL devra disposer en particulier de pouvoirs d'investigation ou d'accès aux données ainsi que de pouvoirs « effectifs d'intervention » lui permettant d'ordonner le verrouillage, l'effacement ou la destruction des données. Le président de la CNIL se verra mieux associé aux procédures judiciaires, et pourra saisir le président du tribunal d'instance en référé.

Le projet de loi prévoit surtout des pouvoirs de sanction administrative graduée, la CNIL pouvant prononcer des avertissements, mises en demeure ou injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi, et, à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire.

Enfin, le projet de loi consacre la liberté de circulation des données dans l'Union européenne, tout en encadrant les transferts de données en direction des Etats tiers, subordonnés à un niveau de protection « suffisant », des dérogations étant néanmoins prévues.

Votre commission ne peut que regretter le retard de transposition de cette directive, qui expose la France à des actions en manquement. Ainsi, alors que la transposition devait intervenir avant le 24 octobre 1998, l'examen du projet de loi a commencé avec plus de trois ans de retard, puisque ce texte a été examiné en première lecture à l'Assemblée nationale le 30 janvier 2002, puis plus d'un an plus tard au Sénat le 1er avril 2003, et enfin à l'Assemblée nationale en deuxième lecture le 29 avril dernier.

Le projet de loi initial comportait 17 articles. Après deux lectures à l'Assemblée nationale et une au Sénat, et compte tenu des ajouts opérés par chaque assemblée, 13 articles restent en discussion, dont deux insérés par l'Assemblée nationale en deuxième lecture.

Après avoir rappelé les apports du Sénat en première lecture, votre rapporteur évoquera les modifications apportées au texte de l'Assemblée nationale en deuxième lecture, avant de présenter les propositions de votre commission des Lois.

I. LES MODIFICATIONS APPORTÉES PAR LE SÉNAT EN PREMIÈRE LECTURE

Tout en avalisant largement le projet de loi et les modifications apportées en première lecture par l'Assemblée nationale, le Sénat a cherché à concilier le renforcement de la protection des personnes avec la préservation des intérêts des entreprises, de la recherche et de l'intérêt général.

1. La promotion de l'anonymisation des données à caractère personnel

Le Sénat a ainsi tout d'abord défini plus clairement les données rendues anonymes, pour des motifs de sécurité juridique (article 2 de la loi du 6 janvier 1978 modifié par l'article 1er du projet de loi).

Par ailleurs, il a également autorisé les traitements d'anonymisation portant sur des données sensibles, notamment de santé, à condition que des garanties aient été préalablement reconnues par la CNIL et prévu un allègement des informations à fournir aux personnes concernées pour ces traitements (articles 8, 11 et 32 de la loi du 6 janvier 1978 modifiés par les articles 2, 3 et 5 du projet de loi).

2. Le renforcement de l'effectivité de la loi

Le Sénat a en outre cherché à améliorer la protection des droits des personnes tout en évitant un alourdissement des formalités à accomplir par les responsables de traitements.

a) Une meilleure protection des droits et libertés des personnes concernées...

La Haute Assemblée a ainsi développé les garanties apportées aux personnes physiques.

Le Sénat a retenu le terme de « vie sexuelle des personnes » issu de la directive plutôt que celui d'« orientation sexuelle » plus restrictif (article 8 modifié de la loi du 6 janvier 1978).

De plus, il a précisé que le consentement exprès des personnes concernées ne suffit pas nécessairement à fonder des traitements de données sensibles (article 8 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi), ce consentement pouvant être donné sans véritable prise de consciences des conséquences auxquelles les personnes s'exposent.

Pour cette raison, le Sénat a considérablement amélioré l'information fournie aux personnes physiques en matière d'informations relatives aux éventuels transferts à destination d'un Etat tiers (qu'il s'agisse des formalités préalables, de la mise à disposition du public de listes), prévu la communication au public des avis, décisions et recommandations de la CNIL, et rendu obligatoire l'indication du recours à un sous-traitant (articles 30 à 32 modifiés de la loi du 6 janvier 1978 par les articles 4 et 5 du projet de loi).

Par ailleurs, le Sénat a amélioré l'information en matière d'interconnexions (article 27 de la loi du 6 janvier 1978 modifié par l'article 42 du projet de loi).

b) ...par une réorganisation et un renforcement des pouvoirs de la CNIL

Afin de permettre à la CNIL de faire face à ses nouvelles missions, le Sénat a procédé à un renforcement de ses pouvoirs.

Il a tout d'abord mis en valeur son rôle de veille technologique, en encourageant sa collaboration avec d'autres autorités administratives indépendantes dans le domaine de la protection des données à caractère personnel, et en renforçant sa position lors des négociations internationales (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi).

En outre, le Sénat, afin de permettre un fonctionnement plus souple et efficient de la CNiL, a étendu le champ de délégation au président et au vice-président délégué à la réception des réclamations, à la participation de la CNIL à la préparation de la position française aux négociations internationales et à l'information délivrée par la CNIL à la Commission européenne et aux autorités de contrôle des Etats membres s'agissant des transferts transfrontières, et au bureau à l'autorisation de certains traitements en cas d'urgence (articles 15 et 16 de la loi du 6 janvier 1978 modifiés par l'article 3 du projet de loi).

Enfin, la CNIL a vu ses pouvoirs renforcés, puisque ses possibilités de saisies ont été étendues par le Sénat aux disques durs (article 44 de la loi du 6 janvier 1978 modifié par l'article 6 du projet de loi).

3. Le rapprochement de la CNIL et des entreprises

Le Sénat, soucieux d'alléger les formalités auxquelles sont soumises notamment les entreprises, a entrepris de favoriser des mesures de simplification, tout en préservant les droits des personnes.

a) La préservation des intérêts économiques et de la recherche...

Le Sénat a adopté une approche résolument pragmatique, afin d'éviter le développement de traitements souterrains.

Ainsi, il a autorisé les entreprises à constituer des traitements sur les infractions dont elles ont été victimes (article 9 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi).

En outre, la Haute Assemblée a privilégié la simplification des formalités en autorisant des déclarations uniques pour des catégories similaires de traitements dont les responsables relèvent d'un même organisme (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).

Le Sénat a également distingué le niveau de protection à accorder selon que les décisions prises visaient à attribuer ou refuser une prestation. Ainsi, a été prévue une dérogation à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité si les demandes de la personne concernée étaient satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi), tandis que n'étaient plus soumis à l'autorisation de la CNIL que les traitements ayant pour finalité d'exclure des personnes du bénéfice d'un droit et non ceux en attribuant (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).

Par ailleurs, le Sénat a modifié le régime introduit par l'Assemblée nationale concernant les témoins de connexion (cookies) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps. Il a ainsi supprimé l'interdiction de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal et le régime répressif y afférant ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).

Le Sénat est également intervenu sur un autre point sensible pour les entreprises, en encadrant le pouvoir de sanction pécuniaire de la CNIL, malgré l'avis défavorable de la commission des Lois. Ainsi, il a subordonné la possibilité de prononcer des sanctions pécuniaires à l'existence de « profit ou d'avantage économique », et limité la possibilité pour la CNIL de rendre publiques les sanctions qu'elle prononce aux cas de « mauvaise foi » du responsable du traitement » (articles 45 et 46 de la loi du 6 janvier 1978 modifiés par l'article 7 du projet de loi).

Par ailleurs, le Sénat a supprimé la possibilité réintroduite par l'Assemblée nationale de permettre à la CNIL d'ordonner la destruction de traitements, aux conséquences dramatiques pour les entreprises, le nouvel article 226-22-2 du code pénal prévoyant que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).

Il a enfin étendu la possibilité de dérogations à l'interdiction de procéder à des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur garantissant la protection des droits et des libertés des personnes concernées (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi).

b) ... en développant une véritable collaboration avec la CNIL

Le Sénat a cherché à vaincre la méfiance de certaines entreprises, notamment les plus petites, vis-à-vis de la CNIL, afin que celle-ci apparaisse comme un véritable partenaire.

Au-delà de la précision symbolique selon laquelle la CNIL doit non seulement informer les personnes concernées mais également les responsables de traitements (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi), le Sénat a permis à des institutions de faire homologuer des règles professionnelles par la CNIL, notamment des procédés d'anonymisation des données (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi).

L'innovation majeure du Sénat en matière de partenariat réside dans l'encouragement de l'institution de correspondants de la CNIL dans les entreprises privées -sur la base du volontariat, sur le modèle des correspondants prévus pour les journalistes et existant déjà en pratique dans les organismes publics. Cette possibilité était ouverte par le point 2 de l'article 18 de la directive et s'applique déjà en Allemagne, aux Pays-Bas et en Suède. En contrepartie, les entreprises bénéficieront d'une exemption de déclaration de leurs traitements sous réserve de la tenue d'un registre (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi).

4. La suppression de dispositions inadaptées

Enfin, le Sénat a supprimé un certain nombre de dispositions qui ne paraissaient plus adaptées.

Ainsi, a été supprimée l'exigence d'une autorisation de la CNIL pour les traitements portant sur la totalité ou de la quasi-totalité de la population, le critère quantitatif n'apparaissant pas pertinent pour apprécier la dangerosité d'un traitement (articles 25 et 27 de la loi du 6 janvier 1978 modifiés par l'article 4 du projet de loi).

De plus, le Sénat a soustrait les traitements des journalistes à l'exigence d'autorisation de la CNIL pour les traitements portant sur des données sensibles ou des données pénales (article 67 de la loi du 6 janvier 1978 modifié par l'article 11 du projet de loi).

Enfin, dans un tout autre domaine, le Sénat a supprimé la disposition introduite par l'Assemblée nationale à l'initiative de MM. Gérard Gouzes et Jean-Pierre Michel, malgré l'opposition tant de Mme Marylise Lebranchu, alors Garde des Sceaux, que de M. Bernard Roman, alors président de la commission des Lois, visant à supprimer les registres tenus au lieu de naissance des signataires d'un pacte civil de solidarité pour leur substituer une mention en marge de l'acte de naissance des intéressés.

Cette disposition devait remédier à des difficultés pratiques dues à l'absence de publicité des registres de PACS, les notaires devant demander de manière systématique aux tribunaux d'instance des certificats de « non PACS ».

Cette suppression est intervenue à l'initiative de MM. Patrice Gélard, Jean-Jacques Hyest et Jean-Paul Alduy, la commission s'en étant remise à la sagesse de l'assemblée, rappelant que si le Sénat était opposé à ce que le PACS soit considéré comme un acte d'état civil, elle était consciente de l'encombrement des greffes, alors que le Gouvernement donnait un avis favorable (article 515-3 du code civil modifié par l'article 15 ter du projet de loi).

II. LES APPORTS DE L'ASSEMBLÉE NATIONALE EN DEUXIÈME LECTURE

Tout en se félicitant de la plupart des ajouts du Sénat et de l'équilibre du texte ainsi obtenu, à l'exception des restrictions apportées au pouvoir de sanction de la CNIL, l'Assemblée nationale a apporté certains compléments et précisions, tous à l'initiative du rapporteur, M. Francis Delattre -qui a succédé à M. Gérard Gouzes, rapporteur du texte en première lecture-, avec l'avis favorable du Gouvernement, un seul amendement émanant du Gouvernement et ayant d'ailleurs fait l'objet d'un avis favorable de la commission des Lois de l'Assemblée nationale.

Outre des amendements rédactionnels ou de correction d'erreur matérielle, l'Assemblée nationale a adopté des amendements tendant à conforter les droits des personnes, protéger les entreprises, favoriser la recherche, renforcer les pouvoirs effectifs de la CNIL et revoir les procédures applicables aux traitements publics.

1. Conforter les droits des personnes

L'Assemblée nationale à en deuxième lecture complété l'information devant être donnée aux personnes physiques concernées en matière d'interconnexions éventuelles avec d'autres traitements (article 30 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) et prévu que lorsque les données sont collectées par voie de questionnaires, ceux-ci doivent indiquer l'identité du responsable du traitement, la finalité de ce dernier, le caractère facultatif ou obligatoire des réponses ainsi que les droits d'opposition, d'accès et de rectification reconnus aux personnes (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).

Par ailleurs, l'Assemblée nationale a souhaité préciser et encadrer les modalités d'exercice des fonctions du correspondant à la protection des données à caractère personnel introduit par le Sénat, en indiquant, sans attendre la parution du décret en Conseil d'Etat, que le correspondant exerce ses attributions d'une manière indépendante et bénéficie des qualifications requises, qu'il peut intervenir également pour les traitements susceptibles de faire l'objet d'une déclaration simplifiée, mais pas pour les traitements nécessitant une autorisation préalable (ce qui était déjà prévu par le Sénat mais est formulé de manière plus explicite), et qu'en cas de non-respect des dispositions de la loi, la CNIL peut enjoindre au responsable du traitement de procéder aux formalités de déclaration (article 22 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).

2. Protéger les entreprises

Souscrivant aux objectifs poursuivis par le Sénat, l'Assemblée nationale a apporté un certain nombre de précisions visant à protéger les entreprises.

Ainsi, elle a précisé le dispositif introduit par le Sénat permettant aux victimes d'infractions de mettre en oeuvre des traitements portant sur leurs auteurs, en indiquant que pourraient également mettre en oeuvre ces traitements les personnes agissant pour le compte des victimes et en étendant l'objet de ces traitements à la prévention de la fraude et à la réparation du préjudice subi. De plus, l'Assemblée nationale l'a ouvert, dès l'entrée en vigueur de la présente loi, aux sociétés de perception et de gestion des droits d'auteur, afin de renforcer la lutte contre la contrefaçon et d'encourager la création (article 9 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi).

L'Assemblée nationale a en outre modulé les pouvoirs de verrouillage de la CNIL en cas d'urgence et de menaces pour les libertés en fonction de la nature des traitements, afin de prévoir que la CNIL pourrait décider l'interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, s'il ne s'agissait ni d'un traitement de souveraineté ni d'un traitement mis en oeuvre par l'Etat requérant une consultation du répertoire national d'identification des personnes physiques (I et II de l'article 26, et article 27), et décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, s'il ne s'agissait pas de traitements de souveraineté (I et II de l'article 26) (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).

3. Favoriser la recherche

L'Assemblée nationale a également visé à encourager la recherche :

- en permettant la réutilisation des données à caractère personnel aux fins d'établissement de statistiques ou de recherches scientifiques (sans, dans ce dernier cas, qu'il soit nécessaire d'informer la personne concernée) (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;

- en revoyant la définition donnée par le Sénat d'une personne identifiable, en précisant que l'ensemble des moyens destinés à permettre son identification devrait être pris en considération, et non uniquement les moyens susceptibles d'être raisonnablement mis en oeuvre, afin de prévenir des difficultés d'interprétation (article 2 de la loi du 6 janvier 1978 modifié par l'article 1er du projet de loi) ;

- en précisant les modalités juridiques de l'autorisation préalable par la CNIL des traitements d'anonymisation, en unifiant les procédures d'autorisation au sein de l'article 25 nouveau de la loi (procédure d'autorisation de droit commun), même s'agissant de traitements de recherche dans le domaine de la santé ou de traitements de données à des fins d'évaluation des pratiques de santé.

4. Renforcer les pouvoirs effectifs de la CNIL

L'Assemblée nationale est ensuite revenue sur deux restrictions au pouvoir de sanction de la CNIL apportées par le Sénat malgré l'avis défavorable de votre commission des Lois.

Ainsi, elle a supprimé la limitation de la possibilité pour la CNIL de prononcer des sanctions pécuniaires aux seuls cas où des profits ou des avantages économiques auraient été tirés de la mise en oeuvre du traitement, tout en excluant l'Etat du champ de ces sanctions, la CNIL ne disposant pas de la personnalité morale (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).

Elle a de même revu les restrictions apportées à la possibilité pour la CNIL de rendre publiques les sanctions qu'elle prononce aux cas de mauvaise foi du responsable du traitement, afin de ne pas priver la CNIL d'une possibilité d'action pédagogique tout en proportionnant le degré de publicité en fonction de la gravité des manquements. Elle a ainsi rétabli la possibilité pour la CNIL de rendre publics les avertissements qu'elle prononce, tout en prévoyant qu'en cas de mauvaise foi du responsable du traitement, elle pourrait ordonner l'insertion des autres sanctions dans des publications (article 46 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).

5. Revoir les procédures applicables aux traitements publics

Enfin, l'Assemblée nationale a en deuxième lecture modifié les règles relatives aux traitements publics :

- en soumettant les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes à une autorisation par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, et non plus à une autorisation de la CNIL (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en soumettant les traitements tendant à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices et ayant recours au numéro d'inscription des personnes au répertoire national d'identification à un simple arrêté pris après avis motivé et publié de la CNIL, afin de faciliter le développement de l'administration électronique (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en prévoyant, à l'initiative du Gouvernement et avec l'avis favorable du rapporteur, que le décret en Conseil d'Etat autorisant une dispense de publication de l'acte réglementaire autorisant les traitements intéressant la sûreté de l'Etat (en pratique les fichiers les plus sensibles de la DST et de la DGSE) pourrait également exempter ces traitements des pouvoirs de contrôle sur place et sur pièces reconnues aux membres et agents de la CNIL (accès aux locaux de 6 heures à 21 heures, demande de communication de tout document nécessaire pour l'accomplissement de leur mission). Il est à noter que cette dérogation exceptionnelle de contrôle a posteriori ne remettra en cause le contrôle préalable de la CNIL, ni l'exercice du droit d'accès indirect sur ce fichier (chapitre VI de la loi du 6 janvier 1978 modifié par l'article 6 du projet de loi) ;

- en mettant en cohérence les dispositions de l'article 24 de la loi du 18 mars 2003 pour la sécurité intérieure et celles figurant à l'article 68 nouveau du projet de loi, afin que les données contenues dans les traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales puissent être transmises à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers présentant un niveau de protection suffisant de la vie privée et des droits fondamentaux (article 15 sexies nouveau du projet de loi) ;

- en prévoyant une date de mise en conformité différée pour les traitements non automatisés de données à caractère personnel intéressant la sûreté de l'Etat, la défense et la sécurité publique au 24 octobre 2010 (et non plus 2007), s'agissant des dispositions des articles 6 à 9 modifiés de la loi du 6 janvier 1978 relatives à la qualité des données, à la légitimité des traitements, aux données sensibles et aux condamnations pénales (article 16 bis nouveau du projet de loi).

III. LES PROPOSITIONS DE VOTRE COMMISSION DES LOIS : ADOPTER LE PROJET DE LOI SANS MODIFICATION

La commission des Lois souscrit aux compléments et précisions apportés par l'Assemblée nationale en deuxième lecture.

Elle se réjouit de voir s'achever le processus d'examen parlementaire, au terme de plus de deux années.

Certes, ce texte est le résultat de compromis, et apparaîtra donc trop timoré aux yeux de certains. Néanmoins, il apporte une réponse efficace aux nouveaux besoins issus de l'évolution de la CNIL.

Par conséquent, sa mise en oeuvre rapide apparaît désormais primordiale, après six ans de retard sur la date prévue de transposition de la directive.

*

* *

Au bénéfice de l'ensemble de ces observations, la commission des Lois vous propose d'adopter le projet de loi.

EXAMEN DES ARTICLES
TITRE PREMIER
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE A L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTÉS

Article 1er
(art. 2 à 5 du chapitre 1er de la loi n° 78-17 du 6 janvier 1978)
Détermination du champ d'application de la loi

Le présent article regroupe les articles 2 à 5 modifiés de la loi du 6 janvier 1978, qui déterminent les principales définitions, le champ d'application et le droit national applicable.

Article 2 de la loi du 6 janvier 1978
Champ d'application matériel et définitions

Le projet de loi substitue la notion de « données à caractère personnel » à celle « d'informations nominatives », conformément à la directive.

Actuellement, l'article 4 de la loi du 6 janvier 1978 définit les informations nominatives comme celles permettant « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».

Le projet de loi initial définissait les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Cette définition étend le champ de la protection aux domaines de la voix et de l'image.

En première lecture, l'Assemblée nationale a précisé, conformément aux dispositions de la directive et à la définition actuelle, que cette identification peut être directe ou indirecte.

Afin de faciliter le recours aux traitements tendant à anonymiser ces données et d'éviter que des données issues de l'anonymisation soient encore soumises à la loi dès lors que les individus demeurent identifiables au moyen d'efforts exceptionnels, le Sénat, à l'initiative de votre commission, a précisé cette définition, en reproduisant le considérant 26 de la directive, qui précise que doivent être pris en considération pour déterminer si une personne est identifiable les moyens susceptibles d'être raisonnablement mis en oeuvre pour parvenir à l'identification de la personne concernée, ainsi que la personne susceptible de mettre en oeuvre ces moyens (le responsable du traitement ou une personne tierce).

Tout en partageant cette volonté d'encourager le développement des traitements d'anonymisation en clarifiant la frontière entre données à caractère personnel et données anonymes, l'Assemblée nationale a, en deuxième lecture, à l'initiative de son rapporteur M. Francis Delattre, et avec l'avis favorable du Gouvernement, adopté un amendement tendant à prévoir que, pour déterminer si une personne est identifiable, « l'ensemble des moyens destinés à permettre son identification » doit être pris en considération, nonobstant le caractère raisonnable ou non des procédés mis en oeuvre. La suppression de l'adverbe « raisonnablement » doit permettre de prévenir des difficultés d'interprétation.

Votre commission souscrit à cette volonté de sécurité juridique.

Article 3 de la loi du 6 janvier 1978
Responsable du traitement et destinataire

La définition du responsable et du destinataire du traitement a été adoptée dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 4 de la loi du 6 janvier 1978
Copies temporaires

Les dispositions relatives aux copies temporaires ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 5 de la loi du 6 janvier 1978
Compétence territoriale

Les dispositions relatives à la compétence territoriale de la loi du 6 janvier 1978 ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Votre commission vous propose d'adopter l'article premier sans modification.

Article 2
(Chapitre II de la loi n° 78-17 du 6 janvier 1978)
Conditions de licéité des traitements
de données à caractère personnel

Cet article traite des conditions générales de licéité des traitements de données à caractère personnel, ainsi que des conditions particulières applicables aux traitements de données dites « sensibles » en raison de la nature des informations concernées.

Article 6 de la loi du 6 janvier 1978
Conditions de collecte et de traitement

L'article 6 reprendra l'essentiel des dispositions de la loi du 6 janvier 1978 déterminant les règles fondamentales de licéité des traitements des informations nominatives (notamment le respect des principes de loyauté et d'exactitude), tout en les complétant par les nouveaux principes de proportionnalité et de finalité issus de la directive.

Ainsi les données doivent-elle être collectées « pour des finalités déterminées » et ne peuvent-elles être « traitées ultérieurement de manière incompatible avec ces finalités ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques, scientifiques ou historiques, sous réserve du respect de certaines dispositions prévues aux chapitres II (conditions de licéité), IV (formalités préalables à la mise en oeuvre des traitements) et V (obligations imposées aux responsables de traitements).

L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a réparé une omission, en complétant ces références avec celles des chapitres IX et X, respectivement relatifs aux demandes d'autorisation pour les traitements de recherche médicale et pour les traitements de données de santé à des fins d'évaluation ou d'analyse des pratiques de santé, ce à quoi votre commission souscrit pleinement.

Article 7 de la loi du 6 janvier 1978
Conditions de licéité du traitement

Les dispositions relatives aux conditions de licéité du traitement ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 8 de la loi du 6 janvier 1978
Interdiction de la collecte
et du traitement des « données sensibles »

Tout en reprenant les dispositions de l'actuel article 31 de la loi du 6 janvier 1978, qui interdit « de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes », considérées comme des « données sensibles », cet article les complète, conformément à la directive, par une référence aux données relatives à la santé et à l'orientation sexuelle.

En première lecture, le Sénat, à l'initiative de son rapporteur, et toujours pour promouvoir l'anonymisation, a étendu les exceptions prévues à ce principe en autorisant les traitements portant sur des données sensibles appelées à faire l'objet « à bref délai d'un procédé d'anonymisation ». Néanmoins, ledit procédé devrait avoir été préalablement reconnu conforme aux dispositions de la loi du 6 janvier 1978 et il appartiendrait à la CNIL d'autoriser ou de refuser les traitements concernés « compte tenu de leur finalité ».

L'Assemblée nationale, tout en reconnaissant la pertinence de cet objectif, s'est inquiétée de la complexité du dispositif retenu par le Sénat.

En effet, ces traitements d'anonymisation sont susceptibles de relever de trois procédures concurrentes, respectivement prévues au chapitre IX nouveau de la loi du 6 janvier 1978 s'agissant des traitements ayant pour finalité la recherche dans le domaine de la santé (requérant une autorisation de la CNIL après avis du comité consultatif), au chapitre X de la loi s'agissant des traitements de données à des fins d'évaluation des pratiques de santé (requérant une autorisation expresse spécifique de la CNIL), et à l'article 25 modifié de la loi s'agissant de la procédure d'autorisation de droit commun.

A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a donc, en deuxième lecture unifié par souci de simplification les régimes d'autorisation au profit de la procédure de droit commun prévue à l'article 25 modifié de la loi.

Votre commission approuve cette volonté, ainsi que les deux amendements de précision adoptés par l'Assemblée nationale.

Article 9 de la loi du 6 janvier 1978
Traitements relatifs aux infractions,
condamnations et mesures de sûreté

L'article 9 modifié, reprenant largement les dispositions de l'actuel article 30 de la loi, prévoit des garanties spécifiques aux traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.

Ils ne peuvent être mis en oeuvre que par les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, ainsi que les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

En première lecture, le Sénat, se fondant sur une possibilité offerte par la directive, avait, sur proposition de votre rapporteur, adopté un amendement permettant aux victimes d'infractions, pour les besoins de la lutte contre la fraude et dans des conditions prévues par une loi ultérieure, de mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes. Cet amendement visait, dans une démarche pragmatique, à permettre à la CNIL d'exercer un contrôle sur des traitements actuellement clandestins, et susceptibles de nuire aux droits des personnes concernées, notamment en matière d'accès au crédit ou au logement.

Souscrivant pleinement à cet objectif, l'Assemblée nationale a adopté à l'initiative du rapporteur de la commission des Lois et avec l'avis favorable du Gouvernement un amendement précisant que peuvent également mettre en oeuvre ces traitements les personnes agissant pour le compte des victimes, ces traitements pouvant également avoir pour objet de prévenir la fraude et de réparer le préjudice subi.

En outre, l'Assemblée nationale, toujours à l'initiative de son rapporteur, a adopté un amendement autorisant, dès l'entrée en vigueur de la présente loi, les sociétés de perception et de gestion des droits d'auteur à faire de même. La mise en oeuvre de ces traitements sera subordonnée à une autorisation de la CNIL prise en application du 3° de l'article 25.

Votre commission approuve ces deux utiles compléments.

Article 10 de la loi du 6 janvier 1978
Fondement des décisions

Les dispositions relatives au fondement des décisions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Vous commission vous propose d'adopter l'article 2 sans modification.

Article 3
(Chapitre III de la loi n° 78-17 du 6 janvier 1978)
Dispositions relatives à la CNIL

Cet article vise à réformer la CNIL, en particulier sa composition, son rôle et ses méthodes.

Article 11 de la loi du 6 janvier 1978
Missions de la CNIL

L'Assemblée nationale, tout en approuvant très largement les missions dévolues à la CNIL, a précisé en deuxième lecture, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, une disposition introduite par le Sénat en première lecture à l'initiative de votre rapporteur, prévoyant que la CNIL peut apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données. Elle a indiqué que la CNIL n'intervient qu'à la demande d'autres autorités administratives indépendantes.

Votre commission se félicite de cette précision.

Article 12 de la loi du 6 janvier 1978
Crédits

Les dispositions relatives aux crédits de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 13 de la loi du 6 janvier 1978
Membres de la CNIL

Les dispositions relatives aux membres de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 14 de la loi du 6 janvier 1978
Incompatibilités

Les dispositions relatives aux incompatibilités ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 15 de la loi du 6 janvier 1978
Formation plénière

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de précision, s'agissant des matières dans lesquelles la commission peut déléguer ses attributions à son président ou au vice-président délégué.

Votre commission y souscrit pleinement.

Article 16 de la loi du 6 janvier 1978
Bureau de la commission

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de correction d'une erreur de référence, s'agissant des attributions du bureau de la commission.

Votre commission approuve cette utile correction.

Article 17 de la loi du 6 janvier 1978
Formation restreinte

Les dispositions relatives aux pouvoirs de la formation restreinte ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 18 de la loi du 6 janvier 1978
Commissaire du Gouvernement

L'actuel article 9 de la loi du 6 janvier 1978 prévoit qu'un commissaire du Gouvernement, désigné par le Premier ministre et rattaché au Secrétariat général du Gouvernement, siège auprès de la commission. Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.

Alors que le projet de loi initial supprimait le délai de dix jours, l'Assemblée nationale l'a utilement rétabli à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ce dont votre commission se félicite.

Article 19 de la loi du 6 janvier 1978
Services de la CNIL

Les dispositions relatives aux services de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 20 modifié de la loi du 6 janvier 1978
Secret professionnel des membres et agents de la CNIL

Les dispositions relatives au secret professionnel des membres et agents de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 21 de la loi du 6 janvier 1978
Collaboration des personnes contrôlées

Les dispositions relatives à la collaboration des personnes contrôlées ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Votre commission des Lois vous propose d'adopter l'article 3 sans modification.

Article 4
(Chapitre IV de la loi n° 78-17 du 6 janvier 1978)
Formalités préalables à la mise en oeuvre des traitements
Régimes de la déclaration et de l'autorisation

Cet article constitue l'une des dispositions majeures du projet de loi, puisqu'il substitue au critère organique actuel (traitements publics soumis à autorisation / traitements privés soumis à simple déclaration) un critère matériel, la déclaration devenant la procédure de droit commun et seuls les traitements présentant des risques pour les libertés individuelles (qu'ils émanent de personnes privées ou publiques) étant soumis à autorisation.

Article 22 de la loi du 6 janvier 1978
Régime de droit commun de la déclaration

Cet article traite de la déclaration des traitements de données à caractère personnel auprès de la CNIL, désormais régime de droit commun.

Il prévoit en outre de dispenser de toute formalité préalable, outre les traitements mis en oeuvre par les organismes à caractère religieux, philosophique, politique ou syndical, ceux ayant pour seul objet la tenue d'un registre destiné à l'information du public en vertu de dispositions législatives ou réglementaires, comme les registres du cadastre ou des hypothèques.

L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a souhaité préciser que ces traitements devaient avoir l'information du public pour objet exclusif, ce que votre commission approuve.

Par ailleurs, le Sénat avait en première lecture introduit à l'initiative de votre rapporteur une nouvelle dérogation à l'obligation de notification, s'agissant des traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer l'application des obligations prévues au présent chapitre et de tenir un registre des traitements effectués.

Prévue par la directive 95/46 pour les Etats membres le souhaitant (comme l'Allemagne, les Pays-Bas et la Suède), cette dérogation avait été cantonnée par le projet de loi initial à la presse.

Or, le Sénat avait considéré que la mise en place d'un réseau de correspondants dans les entreprises, associations ou collectivités territoriales, à l'instar de ce qui existe déjà, d'une certaine manière, dans les ministères, permettrait à la CNIL de mieux protéger les libertés individuelles.

Cette nouvelle dérogation avait cependant été encadrée :

- les formalités préalables demeureraient requises en cas de transfert envisagé de données vers un Etat tiers ;

- le correspondant devrait tenir un registre des traitements effectués immédiatement accessible à toute personne en faisant la demande ;

- la désignation du correspondant serait notifiée à la CNIL et portée à la connaissance des instances représentatives du personnel ;

- le correspondant ne pourrait faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions, et pourrait saisir la CNIL des difficultés rencontrées dans l'exercice de ses attributions ;

- en cas de manquement constaté à ses devoirs, le correspondant pourrait être révoqué, sur demande ou après consultation de la CNIL, et le responsable du traitement recevoir une injonction de procéder à la déclaration.

Un décret en Conseil d'Etat précisant les modalités d'application de cet article était également prévu.

L'Assemblée nationale, tout en souscrivant pleinement à l'objectif de rapprochement de la CNIL et des entreprises, a en deuxième lecture souhaité améliorer le dispositif sans attendre la parution du décret en Conseil d'Etat.

A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, elle a donc adopté un amendement prévoyant que :

- le correspondant exerce ses attributions d'une manière indépendante et doit bénéficier des qualifications requises. Même si le texte ne le précise pas, il est clair que ces qualifications seront portées à la connaissance de la CNIL ;

- cette dérogation concerne également les traitements susceptibles de faire l'objet d'une déclaration simplifiée ; elle ne porte pas en revanche sur les traitements nécessitant une autorisation préalable (ce qui était déjà prévu par le Sénat mais est formulé de manière plus explicite). La rédaction adoptée par l'Assemblée nationale laisse penser que le correspondant sera désigné pour certains traitements seulement de l'organisme. Bien entendu, il le sera en réalité pour l'ensemble ;

- en cas de non-respect des dispositions de la loi, la CNIL peut enjoindre au responsable du traitement de procéder aux formalités de déclaration.

Votre commission approuve ces utiles éclaircissements.

Article 23 de la loi du 6 janvier 1978
Déclaration

Les dispositions relatives à la déclaration ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 24 de la loi du 6 janvier 1978
Normes simplifiées

Les dispositions relatives aux normes simplifiées ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 25 de la loi du 6 janvier 1978
Régime général d'autorisation

Le dispositif proposé pour l'article 25 modifié de la loi du 6 janvier 1978 distingue huit catégories de traitements soumis à l'autorisation préalable de la CNIL en se fondant, d'une part, sur la nature des données concernées et, d'autre part, sur la finalité des traitements.

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de précision, un amendement de coordination, ainsi qu'un amendement rédactionnel, auxquels votre commission souscrit.

Article 26 de la loi du 6 janvier 1978
Traitements mis en oeuvre pour le compte de l'Etat
Traitements portant sur des données sensibles

Les dispositions relatives aux traitements mis en oeuvre pour le compte de l'Etat et aux traitements portant sur des données sensibles ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 27 de la loi du 6 janvier 1978
Traitements publics -
Traitements requérant une consultation du RNIPP

Cet article précise les conditions d'autorisation des traitements publics requérant la consultation du répertoire national d'identification des personnes physiques.

Le projet de loi prévoit que sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.

A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a en deuxième lecture adopté un amendement prévoyant que les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes sont soumis à la même procédure.

Par ailleurs, l'Assemblée nationale a, toujours à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ajouté à la liste des traitements autorisés par simple arrêté pris après avis motivé et publié de la CNIL les traitements tendant à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique et ayant recours au numéro d'inscription des personnes au répertoire national d'identification, afin de faciliter le développement de l'administration électronique. La notion de téléservices de l'administration électronique devra être précisée par décret, de manière à ce que la compétence de la CNIL soit nettement définie car de très nombreux services administratifs seront à l'avenir offerts sous forme de téléprocédures.

Votre commission approuve ces différents apports.

Article 28 de la loi du 6 janvier 1978
Procédures et délais

Les dispositions relatives aux procédures et délais ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 29 de la loi du 6 janvier 1978
Mentions obligatoires dans les autorisations

Les dispositions relatives aux mentions obligatoires dans les autorisations ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

SECTION 3
Dispositions communes à la déclaration
et à l'autorisation préalables

La section 3 de ce chapitre IV regroupe les dispositions communes concernant les régimes de déclaration et d'autorisation.

Article 30 de la loi du 6 janvier 1978
Informations requises

L'article 30 précise les informations que doivent contenir les déclarations, demandes d'autorisation et d'avis adressées à la CNIL.

Ainsi, le responsable doit notamment indiquer les interconnexions éventuelles avec d'autres traitements. Afin d'améliorer l'information de la CNIL, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, prévu que devront également être signalés les rapprochements ou toute autre forme de mise en relation avec d'autres traitements.

En outre, l'Assemblée nationale a, toujours à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement afin de préciser que l'obligation de mentionner les transferts de données à caractère personnel envisagés vers des Etats tiers ne touchait pas les traitements utilisés aux seules fins de transit sur le territoire d'un Etat membre.

Votre commission souscrit à ces précisions.

Article 31 de la loi du 6 janvier 1978
Mise à la disposition du public de listes de traitements

S'agissant des documents que la CNIL tient à la disposition du public, l'Assemblée nationale a, toujours à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement afin de préciser que seule la fonction de la personne responsable du droit d'accès et non son nom devait être communiquée.

Votre commission des Lois vous propose d'adopter l'article 4 sans modification.

Article 5
(Chapitre V de la loi n° 78-17 du 6 janvier 1978)
Obligations des responsables des traitements
et droits des personnes concernées
SECTION 1
Obligations incombant aux responsables des traitements

Article 32 de la loi du 6 janvier 1978
Obligation d'information

Cet article traite des informations devant être délivrées à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant.

A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement reprenant les dispositions actuelles du deuxième alinéa de l'article 27 de la loi du 6 janvier 1978 afin de prévoir que lorsque des données à caractère personnel sont recueillies par voie de questionnaires, ceux-ci doivent indiquer l'identité du responsable du traitement, la finalité de ce dernier, le caractère facultatif ou obligatoire des réponses ainsi que les droits d'opposition, d'accès et de rectification reconnus aux personnes.

L'Assemblée nationale a en outre adopté un amendement du même auteur, toujours avec l'avis favorable du Gouvernement, permettant la réutilisation des données à caractère personnel aux fins d'établissement de statistiques ou de recherches scientifiques (sans, dans ce dernier cas, qu'il soit alors nécessaire d'informer la personne concernée).

Votre commission approuve ces deux compléments.

Article 33 de la loi du 6 janvier 1978
Certification électronique des signatures électroniques

Les dispositions relatives à la certification électronique des signatures électroniques ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 34 de la loi du 6 janvier 1978
Obligation de sécurité

Les dispositions relatives aux obligations de sécurité ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 35 de la loi du 6 janvier 1978
Sous-traitance

Les dispositions relatives à la sous-traitance ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 36 de la loi du 6 janvier 1978
Durée de conservation

S'agissant des dispositions relatives à la durée de conservation, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination avec la codification de la loi n° 79-18 du 3 janvier 1979 relative aux archives, initiative bienvenue.

Article 37 de la loi du 6 janvier 1978
Tiers non autorisé

S'agissant des dispositions relatives aux tiers non autorisés, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination avec la codification de la loi n° 79-18 du 3 janvier 1979 relative aux archives, ce dont votre commission se félicite.

SECTION 2
Droits des personnes à l'égard des
traitements de données à caractère personnel
(droits d'opposition, d'accès et de rectification)

Article 38 de la loi du 6 janvier 1978
Droit d'opposition

Les dispositions relatives au droit d'opposition ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 39 de la loi du 6 janvier 1978
Droit d'accès

L'article 39 traite du droit d'accès des personnes physiques aux données à caractère personnel les concernant.

L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a en deuxième lecture adopté un amendement tendant à préciser qu'une personne ne peut se prévaloir du droit d'accès aux informations permettant de connaître et de contester la logique sous-tendant le traitement automatisé que lorsqu'une décision est prise sur son fondement et produit des effets juridiques à son égard, et non simplement lorsque les résultats de celui-ci lui sont opposés.

Votre commission souscrit à cette précision.

Article 40 de la loi du 6 janvier 1978
Droit de rectification

A cet article, relatif au droit de rectification, l'Assemblée nationale a en deuxième lecture adopté un amendement rédactionnel, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ce que votre commission approuve.

Article 41 de la loi du 6 janvier 1978
Droit d'accès indirect en matière de traitements de souveraineté

Les dispositions relatives au droit d'accès indirect en matière de traitements de souveraineté ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 42 de la loi du 6 janvier 1978
Droit d'accès indirect en matière d'infractions et d'impositions

Les dispositions relatives au droit d'accès indirect en matière d'infractions et d'impositions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Votre commission des Lois vous propose d'adopter l'article 5 sans modification.

Article 6
(Chapitre VI de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de contrôle sur place et sur pièces de la CNIL

L'article 6 traite des pouvoirs de contrôle sur place et sur pièces de la CNIL.

A l'initiative du Gouvernement et avec l'avis favorable du rapporteur, l'Assemblée nationale a adopté un amendement prévoyant que le décret en Conseil d'Etat autorisant en application du III de l'article 26 une dispense de publication de l'acte réglementaire autorisant les traitements intéressant la sûreté de l'Etat peut également exempter ces traitements des modalités de contrôles sur place et sur pièces reconnues aux membres et agents de la CNIL (accès aux locaux de 6 heures à 21 heures, demande de communication de tous documents nécessaires pour l'accomplissement de leur mission).

Cette dérogation exceptionnelle de contrôle a posteriori pour les fichiers les plus sensibles de la DST et de la DGSE ne remet cependant pas en cause le contrôle préalable de la CNIL, et devrait faciliter la coopération internationale, notamment en matière de lutte contre le terrorisme. Elle ne remet pas non plus en cause l'exercice du droit d'accès indirect sur ces fichiers.

Votre commission, consciente des impératifs de sécurité, vous propose d'adopter l'article 6 sans modification.

Article 7
(Chapitre VII de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de sanction administrative de la CNIL

La directive vise à renforcer le contrôle a posteriori, contrepartie indispensable de l'allègement des formalités préalables et de la priorité donnée à la procédure de déclaration. Afin de maintenir un niveau de protection équivalent, le projet de loi dote la CNIL de moyens d'intervention a posteriori et de sanctions accrus.

Article 45 de la loi du 6 janvier 1978
Pouvoir de sanction administrative - Juge des référés

La création d'un dispositif de sanction pécuniaire par l'autorité de contrôle, qui n'était pas requise par la directive.

En première lecture, alors que votre commission proposait une simple amélioration rédactionnelle, le Sénat avait, malgré l'avis défavorable du rapporteur, mais avec l'approbation du Gouvernement, adopté un amendement présenté par MM. Jean-Jacques Hyest, Patrice Gélard et les membres du groupe de l'Union pour un mouvement populaire, tendant à limiter la possibilité pour la CNIL de prononcer des sanctions pécuniaires aux seuls cas où des profits ou des avantages économiques auraient été tirés de la mise en oeuvre du traitement.

Si les auteurs de l'amendement et le Gouvernement arguaient du principe de proportionnalité et estimaient que les sanctions financières pourraient être disproportionnées par rapport aux capacités des entreprises et mettre leur survie en danger, votre rapporteur rappelait en revanche la modération dont avait toujours fait preuve la CNIL (18 dénonciations au parquet et 47 avertissements en 25 ans), et soulignait qu'il s'agissait d'un affaiblissement contraire à l'objectif de renforcement des pouvoirs de contrôle a posteriori de la CNIL.

L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a en deuxième lecture supprimé cette disposition, qui traduisait une certaine méfiance vis-à-vis de la CNIL, tout en précisant que l'Etat était exclu du champ de ces sanctions. Ainsi que l'a souligné le Garde des Sceaux, la CNIL ne disposant pas de la personnalité morale, lui permettre d'infliger des sanctions à l'Etat reviendrait à ce que l'Etat s'impose à lui-même une amende.

Par ailleurs, l'Assemblée nationale a en deuxième lecture, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, amendé les mesures prévues par le projet de loi initial en cas d'urgence et de menaces pour les libertés, selon lesquelles, après une procédure contradictoire, la CNIL pourrait décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois (hormis pour les traitements dits de souveraineté), afin de moduler les pouvoirs de verrouillage de la CNIL en fonction de la nature des traitements.

Ainsi, la CNIL pourrait décider l'interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, s'il ne s'agissait ni d'un traitement de souveraineté ni d'un traitement mis en oeuvre par l'Etat requérant une consultation du répertoire national d'identification des personnes physiques (I et II de l'article 26, et article 27).

Elle pourrait en outre décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, s'il ne s'agissait pas de traitements de souveraineté (I et II de l'article 26).

Votre commission approuve ces dispositions, ainsi que l'amendement de coordination rédactionnelle du même auteur adopté par l'Assemblée nationale.

Article 46 de la loi du 6 janvier 1978
Procédure en matière de sanction

Cet article précise la procédure de prise de sanctions.

Le projet de loi initial prévoyait que la CNIL puisse décider de rendre publiques les sanctions qu'elle prononce, ce qui peut présenter un réel intérêt pédagogique.

Néanmoins a été adopté en première lecture au Sénat malgré l'avis défavorable de votre rapporteur (avec l'avis favorable du Gouvernement) un amendement présenté par MM. Jean-Jacques Hyest, Patrice Gélard et les membres du groupe Union pour un mouvement populaire, tendant à restreindre cette possibilité aux cas de mauvaise foi du responsable du traitement, afin d'éviter de trop importantes incidences économiques pour les entreprises.

Votre rapporteur avait souligné l'inconvénient de priver la CNIL d'une possibilité d'action pédagogique, à l'efficacité démontrée, et s'était inquiété de la subjectivité de la notion de bonne foi. Il avait en outre indiqué que la CNIL pourrait toujours décider de ne pas rendre publiques les sanctions, en fonction des circonstances, et qu'il paraissait plus opportun de lui laisser son pouvoir d'appréciation.

L'Assemblée nationale est en deuxième lecture revenue sur ce dispositif et a rétabli la possibilité pour la CNIL de rendre publics les avertissements qu'elle prononce, tout en prévoyant qu'en cas de mauvaise foi du responsable du traitement, elle pourrait ordonner l'insertion des autres sanctions dans des publications, journaux et supports qu'elle désigne aux frais des personnes sanctionnées.

Votre commission se félicite de cette solution équilibrée.

Article 47 de la loi du 6 janvier 1978
Montant des sanctions

Les dispositions relatives au montant des sanctions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 48 de la loi du 6 janvier 1978
Champ territorial des sanctions

Les dispositions relatives au champ territorial des sanctions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 49 nouveau de la loi du 6 janvier 1978
Coopération internationale

Les dispositions relatives à la coopération internationale ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Votre commission des Lois vous propose d'adopter l'article 7 sans modification.

Article 8
(Chapitre VIII de la loi n° 78-17 du 6 janvier 1978)
Sanctions pénales et délit d'entrave à l'action de la CNIL -
Information de la CNIL par le procureur de la République

Article 50 nouveau de la loi du 6 janvier 1978
Sanctions prévues par le code pénal

Les dispositions relatives aux sanctions prévues par le code pénal ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Article 51 nouveau de la loi du 6 janvier 1978
Délit d'entrave

Cet article sanctionne le fait d'entraver l'action de la CNIL.

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de rectification d'une erreur matérielle, ce dont votre commission se félicite.

Article 52 nouveau de la loi du 6 janvier 1978
Information de la CNIL par les juridictions

Les dispositions relatives à l'information de la CNIL par les juridictions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.

Votre commission des Lois vous propose d'adopter l'article 8 sans modification.

Article 11
(Chapitre XI de la loi n° 78-17 du 6 janvier 1978)
Traitements de données aux fins de journalisme
et d'expression littéraire et artistique

Cet article concerne les traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique, et vise à concilier liberté de la presse et d'expression et protection de la vie privée.

Le projet de loi prévoit des dérogations (à la limitation de durée de conservation, à l'interdiction de traiter des données dites sensibles ou relatives aux infractions, condamnations, aux obligations de déclaration et d'information, aux droits d'accès et de rectification, aux transmissions de données à des Etats tiers) pour les traitements de données à caractère personnel mis en oeuvre aux seules fins d'expression littéraire et artistique et d'exercice à titre professionnel de l'activité de journaliste.

La contrepartie de cette dérogation réside, conformément aux recommandations de la CNIL et de la directive, dans la création de « correspondants à la protection des données ».

En deuxième lecture, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination afin d'harmoniser les dispositions relatives à ces correspondants oeuvrant dans le domaine de la presse avec celles concernant ceux institués plus généralement.

Votre commission des Lois souscrit à ces modifications et vous propose d'adopter l'article 11 sans modification.

TITRE II
DISPOSITIONS MODIFIANT
D'AUTRES TEXTES LÉGISLATIFS

Article 15 quater
Coordinations

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, rappelé pour coordination en deuxième lecture cet article qui vise précisément à modifier les références aux articles de la loi du 6 janvier 1978 figurant dans divers codes et lois afin de tenir compte de la nouvelle numérotation résultant du projet de loi.

Votre commission des Lois vous propose d'adopter l'article 15 quater sans modification.

Article 15 quinquies (nouveau)
Coordinations

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté en deuxième lecture un amendement tendant à insérer un article additionnel afin d'opérer diverses modifications de références.

Votre commission vous propose d'adopter l'article 15 quinquies sans modification.

Article 15 sexies (nouveau)
Coopération policière internationale

L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a adopté en deuxième lecture un amendement tendant à insérer un article additionnel afin de mettre en cohérence les dispositions de l'article 24 de la loi du 18 mars 2003 pour la sécurité intérieure avec celles figurant à l'article 68 nouveau du projet de loi.

Il prévoit que les données contenues dans les traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales pourront être transmises dans le cadre d'engagements internationaux à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers présentant un niveau de protection suffisant de la vie privée et des droits fondamentaux.

Le caractère suffisant de la protection s'appréciera en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.

Votre commission vous propose d'adopter l'article 15 sexies sans modification.

TITRE III
DISPOSITIONS TRANSITOIRES

Article 16 bis (nouveau)
Entrée en vigueur différée

L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté en deuxième lecture un amendement tendant à insérer un article additionnel afin de prévoir une entrée en vigueur différée pour certains traitements.

Ainsi, les responsables de traitements non automatisés de données à caractère personnel intéressant la sûreté de l'Etat, la défense et la sécurité publique, par dérogation à l'article 16 du présent projet de loi, auront jusqu'au 24 octobre 2010 (et non plus 2007) pour mettre leurs traitements en conformité avec les dispositions des articles 6 à 9 modifiés de la loi du 6 janvier 1978 (relatives à la qualité des données, à la légitimité des traitements, aux données sensibles et aux condamnations pénales), lorsque leur mise en oeuvre sera régulièrement intervenue avant la date de publication de la présente loi.

Votre commission des Lois vous propose d'adopter l'article 16 bis sans modification.

*

* *

Au bénéfice de l'ensemble de ces observations, votre commission des Lois vous propose d'adopter le projet de loi sans modification.

TABLEAU COMPARATIF

Texte adopté
par l'Assemblée nationale
en première lecture

___

Texte adopté

par le Sénat en

première lecture
___

Texte adopté
par l'Assemblée nationale
en deuxième lecture

___

Propositions
de la commission

___

Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et

modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et

modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et

modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

La commission

propose d'adopter

le projet de loi

sans modification.

TITRE IER

DISPOSITIONS

MODIFIANT LA LOI DU

6 JANVIER 1978

RELATIVE À L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS

TITRE IER

DISPOSITIONS

MODIFIANT LA LOI DU

6 JANVIER 1978

RELATIVE À L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS

TITRE IER

DISPOSITIONS

MODIFIANT LA LOI DU

6 JANVIER 1978

RELATIVE À L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS

 

Article 1er

Les articles 2 à 5 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont ainsi rédigés :

Article 1er

(Alinéa sans modification).

Article 1er

(Alinéa sans modification).

 

« Art. 2. --  La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

« Art. 2. --  (Alinéa sans modification).

« Art. 2. --  (Alinéa sans modification).

 

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne.

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

 

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Est la personne concernée par un traitement de données à caractère personnel celle à laquelle se rapportent les données qui font l'objet du traitement.

« La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

(Alinéa sans modification).

 

« Art. 3. --  I. --  Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.

« Art. 3. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« II. --  Le destinataire d'un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

 
 
 

« Art. 4. --  Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

« Art. 4. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 5. --  I. --  Sont soumis à la présente loi les traitements de données à caractère personnel :

« Art. 5. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« 1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

 
 
 

« 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre État membre de la Communauté européenne.

 
 
 

« II. --  Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

 
 
 

Article 2

Le chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

Article 2

(Alinéa sans modification).

Article 2

(Alinéa sans modification).

 

« Chapitre II

« Conditions de licéité des traitements de données à caractère personnel

« Section 1

« Dispositions générales

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 6. --  Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes :

« Art. 6. --  Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

« Art. 6. --  (Alinéa sans modification).

 

« 1° Les données sont collectées et traitées de manière loyale et licite ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

 

« 3° Elles sont adéquates, pertinentes et non excessives au regard de leurs finalités et de leurs traitements ultérieurs ;

« 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

« 3° Non modifié...

 

« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

« 4° (Sans modification).

« 4° Non modifié...

 

« 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

« 5° (Sans modification).

« 5° Non modifié...

 

« Art. 7. --  Un traitement de données à caractère personnel doit soit avoir reçu le consentement de la personne concernée, soit être nécessaire à l'une des conditions suivantes :

« Art. 7. --  Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

« Art. 7. --  Non modifié...

 

« 1° Au respect d'une obligation légale incombant au responsable du traitement ;

« 1° Le respect d'une obligation légale incombant au responsable du traitement ;

 
 

« 2° À la sauvegarde de la vie de la personne concernée ;

« 2° La sauvegarde de la vie de la personne concernée ;

 
 

« 3° À l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

« 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

 
 

« 4° À l'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

« 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

 
 

« 5° À la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

« 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

 
 

« Section 2

« Dispositions propres à

certaines catégories

de données

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 8. --  I. --  Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci.

« Art. 8. --  I. --  Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

« Art. 8. --  I. --  Non modifié...

 

« II. --  Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

« II. --  (Alinéa sans modification).

« II. --  (Alinéa sans modification).

 
 

« 1° A (nouveau) Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;

« 1° A Non modifié...

 

« 1° Le traitement qui est nécessaire à la sauvegarde de la vie humaine, mais auquel la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

« 1° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

« 1° Non modifié...

 

« 2° Le traitement qui est mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, pour les seules données mentionnées au I correspondant à l'objet dudit organisme, sous réserve qu'il ne concerne que les membres de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité, et qu'il ne porte que sur des données qui ne sont pas communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

« 2° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

« - pour les seules données mentionnées au I correspondant à l'objet dudit organisme ;

« - sous réserve qu'ils ne concernent que les membres de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

« - et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

« 2° (Alinéa sans modification).

« - pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;

« - sous réserve qu`ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

(Alinéa sans modification).

 

« 3° Le traitement qui porte sur des données rendues publiques par la personne concernée ;

« 3° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

« 3° Non modifié...

 

« 4° Le traitement qui est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;

« 4° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;

« 4° Non modifié...

 

« 5° Le traitement qui est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et qui est mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

« 5° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

« 5° Non modifié...

 
 

« 5° bis (nouveau) Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 ;

« 5° bis (nouveau) Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;

 

« 6° (nouveau) Le traitement qui est nécessaire à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

« 6° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

« 6° Non modifié...

 
 

« II bis (nouveau). --  Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements.

« II bis. --  Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.

 

« III. --  Lorsque l'intérêt public l'impose et dans les conditions prévues au I de l'article 25 ou au II de l'article 26, d'autres traitements ne sont pas soumis à l'interdiction prévue au I du présent article.

« III. --  De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26.

« III. --  Non modifié...

 

« Art. 9. --  Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

« Art. 9. --  (Alinéa sans modification).

« Art. 9. --  (Alinéa sans modification).

 

« 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

« 2° (Sans modification).

« 2° Non modifié...

 
 

« 3° (nouveau) Les personnes morales victimes d'infractions, pour les stricts besoins de la lutte contre la fraude et dans les conditions prévues par la loi.

« 3° Les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi.

 
 
 

« 4° (nouveau) Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits. 

 

« Art. 10. --  Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

« Art. 10. --  Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

« Art. 10. --  Non modifié...

 

« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

(Alinéa sans modification).

 
 

« Une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat et pour laquelle la personne concernée a été mise à même de présenter ses observations n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé. »

« Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée. »

 
 

Article 3

Le chapitre III de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

Article 3

(Alinéa sans modification).

Article 3

(Alinéa sans modification).

 

« Chapitre III

« La Commission nationale
de l'informatique et

des libertés

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 11. --  La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

« Art. 11. --  (Alinéa sans modification).

« Art. 11. --  (Alinéa sans modification).

 

« 1° A (nouveau). Elle informe toutes les personnes concernées de leurs droits et obligations ;

« 1° A Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;

« 1° A Non modifié...

 

« 1° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

« 1° (Alinéa sans modification).

« 1° Non modifié...

 

« À ce titre :

(Alinéa sans modification).

 
 

« a) Elle autorise les traitements mentionnés aux articles 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

« a) Elle autorise les traitements mentionnés à l'article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

 
 

« b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;

« b) (Sans modification).

 
 

« c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

« c) (Sans modification).

 
 

« d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

« d) (Sans modification).

 
 

« e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

« e) (Sans modification).

 
 

« f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l'article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

« f) (Sans modification).

 
 

« g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l'égard d'un responsable de traitement l'une des mesures prévues à l'article 45 ;

« g) (Sans modification).

 
 

« h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;

« h) (Sans modification).

 
 

« 2° À la demande des organismes professionnels regroupant des responsables de traitements :

« 2° À la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

« 2° Non modifié...

 

« a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, qui lui sont soumis ;

« a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;

 
 

« b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

« b) (Sans modification).

 
 

« c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi ;

« c) (Sans modification).

 
 

« 3° Elle se tient informée de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés mentionnées à l'article 1er ;

« 3° Elle se tient informée de l'évolution des technologies de l'infor-mation et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

« 3° (Alinéa sans modification).

 

« À ce titre :

(Alinéa sans modification).

(Alinéa sans modification).

 

« a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques ;

« a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés ;

« a) (Non modifié...

 

« b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

« b) (Sans modification).

« b) Non modifié...

 
 

« b bis) (nouveau) Elle peut apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données ;

« b bis) À la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

 

« c) Elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel.

« c) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.

« c) Non modifié...

 

« Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

(Alinéa sans modification).

(Alinéa sans modification).

 

« La commission présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission.

« La commission présente chaque année au Président de la République, au Premier ministre et au Parlement un rapport public rendant compte de l'exécution de sa mission.

(Alinéa sans modification).

 

« Art. 12. --  La Commission nationale de l'informatique et des libertés dispose des crédits nécessaires à l'accomplissement de ses missions. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

« Art. 12. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 13. --  I. --  La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :

« Art. 13. --  I. --  (Alinéa sans modification).

« Art. 13. --  Non modifié...

 

« 1° Deux députés et deux sénateurs, désignés respectivement par l'Assemblée nationale et par le Sénat ;

« 1° (Sans modification).

 
 

« 2° Deux membres du Conseil économique et social, élus par cette assemblée ;

« 2° (Sans modification).

 
 

« 3° Deux membres ou anciens membres du Conseil d'État, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'État ;

« 3° (Sans modification).

 
 

« 4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

« 4° (Sans modification).

 
 

« 5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller maître, élus par l'assemblée générale de la Cour des comptes ;

« 5° (Sans modification).

 
 

« 6° Trois personnalités nommées par décret, dont deux qualifiées pour leur connaissance de l'informatique ;

« 6° Trois personnalités qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles, nommées par décret ;

 
 

« 7° Deux personnalités qualifiées pour leur connaissance de l'informatique, désignées respectivement par le Président de l'Assemblée nationale et par le Président du Sénat.

« 7° (Sans modification).

 
 

« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué.

« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué. Ils composent le bureau.

 
 
 

« La formation restreinte de la commission est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat.

 
 
 

« En cas de partage égal des voix, celle du président est prépondérante.

 
 

« II. --  Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° sont désignés après chaque renouvellement de l'assemblée à laquelle ils appartiennent ; ils peuvent être membres de la commission pendant une durée maximum de dix ans.

« II. --  Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° siègent pour la durée du mandat à l'origine de leur désignation ; leurs mandats de membre de la Commission nationale de l'informatique et des libertés ne peuvent excéder une durée de dix ans.

 
 

« Le membre de la commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.

(Alinéa sans modification).

 
 

« Sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

(Alinéa sans modification).

 
 
 

« La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

 
 

« III. --  La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

« III. --  Supprimé.

 
 

« Art. 14. --  I. --  La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.

« Art. 14. --  I. --  (Sans modification).

« Art. 14. --  Non modifié...

 

« II. --  Aucun membre de la commission ne peut :

« II. --  (Alinéa sans modification).

 
 

« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, exerce des fonctions ou détient un mandat ;

« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, direct ou indirect, exerce des fonctions ou détient un mandat ;

 
 

« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des dix-huit mois précédant la délibération ou les vérifications, détenu un intérêt, exercé des fonctions ou détenu un mandat.

« - participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des trente-six mois précédant la délibération ou les vérifications, détenu un intérêt direct ou indirect, exercé des fonctions ou détenu un mandat.

 
 

« III. --  Tout membre de la commission doit informer le président des intérêts qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou vient à détenir au sein d'une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.

« III. --  Tout membre de la commission doit informer le président des intérêts directs ou indirects qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou vient à détenir au sein d'une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.

 
 

« Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant de l'alinéa précédent.

« Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant du présent article.

 
 

« Art. 15. --  Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.

« Art. 15. --  (Alinéa sans modification).

« Art. 15. --  (Alinéa sans modification).

 

« En cas de partage égal des voix, la voix du président est prépondérante.

(Alinéa sans modification).

(Alinéa sans modification).

 

« La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :

(Alinéa sans modification).

(Alinéa sans modification).

 

« - au troisième alinéa du I de l'article 23 ;

(Alinéa sans modification).

(Alinéa sans modification).

 

« - aux e et f du 1° de l'article 11 ;

(Alinéa sans modification).

(Alinéa sans modification).

 
 

« - au c du 1° de l'article 11 ;

(Alinéa sans modification).

 
 

« - au c du 3° de l'article 11 ;

(Alinéa sans modification).

 

« - aux articles 41 et 42 ;

(Alinéa sans modification).

(Alinéa sans modification).

 

« - à l'article 54 ;

(Alinéa sans modification).

(Alinéa sans modification).

 

« - aux articles 63 et 64 ;

« - aux articles 63 et 64 ;

« - aux articles 63, 64 et 65 ;

 
 

« - au dernier alinéa de l'article 69 ;

(Alinéa sans modification).

 

« - au premier alinéa de l'article 70.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 16. --  Le bureau de la commission est composé du président et des deux vice-présidents.

« Art. 16. --  Le bureau peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :

« Art. 16. --  (Alinéa sans modification).

 

« Il peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :

Alinéa supprimé.

Suppression maintenue

 

« - au troisième alinéa de l'article 19 ;

« - au troisième alinéa de l'article 19 ;

« - au dernier alinéa de l'article 19 ;

 
 

« - à l'article 25, en cas d'urgence ;

(Alinéa sans modification).

 

« - au second alinéa de l'article 70.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Le bureau peut aussi être chargé de prendre, en cas d'urgence, les décisions mentionnées au premier alinéa du I de l'article 45.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 17. --  La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l'article 45.

« Art. 17. --  (Alinéa sans modification).

« Art. 17. --  Non modifié...

 

« Cette formation est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat.

Alinéa supprimé.

 
 

« En cas de partage égal des voix, la voix du président est prépondérante.

Alinéa supprimé.

 
 

« Art. 18. --  Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.

« Art. 18. --  (Alinéa sans modification).

« Art. 18. --  (Alinéa sans modification).

 

« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations ; il est rendu destinataire de tous ses avis et décisions.

« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ou en formation restreinte, ainsi qu'à celles des réunions de son bureau qui ont pour objet l'exercice des attributions déléguées en vertu de l'article 16 ; il est rendu destinataire de tous ses avis et décisions.

(Alinéa sans modification).

 

« Il peut, sauf en matière de sanctions, provoquer une seconde délibération.

« Il peut, sauf en matière de sanctions, provoquer une seconde délibération.

« Il peut, sauf en matière de sanctions, provoquer une seconde délibération, qui doit intervenir dans les dix jours de la délibération initiale.

 

« Art. 19. --  La commission dispose de services qui sont dirigés par le président ou le vice-président délégué et placés sous son autorité.

« Art. 19. --  La commission dispose de services dirigés par le président et placés sous son autorité.

« Art. 19. --  Non modifié...

 

« Les agents de la commission sont nommés par le président ou le vice-président délégué.

« Les agents de la commission sont nommés par le président.

 
 
 

« En cas de besoin, le vice-président délégué exerce les attributions du président.

 
 
 

« Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l'autorité du président.

 
 

« Ceux d'entre eux qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.

« Ceux des agents qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.

 
 

« Art. 20. --  Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel, à l'article 226-13 du même code.

« Art. 20. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 21. --  Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.

« Art. 21. --  (Alinéa sans modification).

« Art. 21. --  Non modifié...

 
 

« Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

 
 

« Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions. »

(Alinéa sans modification).

 
 

Article 4

Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

Article 4

(Alinéa sans modification).

Article 4

(Alinéa sans modification).

 

« Chapitre IV

« Formalités préalables à la mise en oeuvre des traitements

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 22. --  I. --  À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

« Art. 22. --  I. --  A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au second alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

« Art. 22. --  I. --  Non modifié...

 

« II. --  Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

« II. --  (Alinéa sans modification).

« II. --  (Alinéa sans modification).

 

« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

 

« 2° Les traitements mentionnés au 2° du II de l'article 8.

« 2° (Sans modification).

« 2° Non modifié...

 
 

« 3° (nouveau) Les traitements pour lesquels le responsable du traitement a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer le respect des obligations prévues dans la présente loi et de tenir un registre des traitements effectués immédiatement accessible à toute personne en faisant la demande ; ces traitements sont dispensés de la déclaration prévue à l'article 23, sauf lorsqu'il est envisagé un transfert de données à caractère personnel à destination d'un État non membre de la Communauté européenne.

« II bis (nouveau) --  Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de la Communauté européenne est envisagé.

 
 

« La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

(Alinéa sans modification).

 
 

« Le correspondant ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses attributions. En cas de manquement constaté à ses devoirs, il peut être révoqué, sur demande ou après consultation de la Commission nationale de l'informatique et des libertés, et le responsable du traitement peut être enjoint de procéder à la déclaration prévue à l'article 23.

« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions.

« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.

 
 

« Un décret en Conseil d'État détermine les modalités d'application du présent 3°.

Alinéa supprimé.

 

« Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.

« III. --  Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.

« III. --  Non modifié...

 

« Section 1

« Déclaration

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 23. --  I. --  La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

« Art. 23. --  I. --  (Sans modification).

« Art. 23. --  Non modifié...

 

« Elle peut être adressée à la Commission nationale de l'informatique et des libertés par voie électronique.

 
 
 

« La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités.

 
 
 

« II. --  Les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique. Dans ce cas, les informations requises en application de l'article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

« II. --  Les traitements relevant d'un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique. Dans ce cas, les informations requises en application de l'article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

 
 

« Art. 24. --  I. --  Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l'obligation de déclaration.

« Art. 24. --  I. --  (Alinéa sans modification).

« Art. 24. --  Non modifié...

 

« Ces normes précisent :

(Alinéa sans modification).

 
 

« 1° Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;

« 1° (Sans modification).

 
 

« 2° Les données ou catégories de données traitées ;

« 2° Les données à caractère personnel ou catégories de données à caractère personnel traitées ;

 
 

« 3° La ou les catégories de personnes concernées ;

« 3° (Sans modification).

 
 

« 4° Les destinataires ou catégories de destinataires auxquels les données sont communiquées ;

« 4° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;

 
 

« 5° La durée de conservation des données.

« 5° La durée de conservation des données à caractère personnel.

 
 

« Les traitements qui correspondent à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

(Alinéa sans modification).

 
 

« II. --  La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

« II. --  La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

 
 

« Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l'article 23.

(Alinéa sans modification).

 
 

« Section 2

« Autorisation

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 25. --  I. --  Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

« Art. 25. --  I. --  Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 ou qui sont visés au second alinéa de l'article 36 :

« Art. 25. --  I. --  Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

 

« 1° Les traitements, automatisés ou non, mentionnés au III de l'article 8 ;

« 1° Les traitements, automatisés ou non, mentionnés au III de l'article 8 ;

« 1°Les traitements, automatisés ou non, mentionnés au 5° bis du II, au II bis et au III de l'article 8 ;

 

« 2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;

« 2° (Sans modification).

« 2° Non modifié...

 

« 3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

« 3° (Sans modification).

« 3° Non modifié.

 

« 4° Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

« 4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire les y habilitant ;

« 4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ;

 

« 5° Les traitements automatisés ayant pour objet :

« 5° (Sans modification).

« 5° Non modifié...

 

« - l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;

 
 
 

« - l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;

 
 
 

« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes, et ceux qui portent sur la totalité ou la quasi-totalité de la population de la France ;

« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes ;

« 6° Non modifié...

 

« 7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

« 7° (Sans modification).

« 7° Non modifié...

 

« 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

« 8° (Sans modification).

« 8° Non modifié...

 
 

« 9° (nouveau) Les traitements, automatisés ou non, mentionnés au 5° bis du II de l'article 8.

« 9° Supprimé.

 

« II. --  Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

« II. --  (Sans modification).

« II. --  Non modifié...

 

« III (nouveau). --  La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision de son président lorsque la complexité du dossier le justifie. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

« III (nouveau). --  La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

« III. --  Non modifié...

 

« Art. 26. --  I. --  Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :

« Art. 26. --  I. --  (Alinéa sans modification).

« Art. 26. --  Non modifié...

 

« 1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;

« 1° (Sans modification).

 
 

« 2° Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

« 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

 
 

« L'avis de la commission est publié avec l'arrêté autorisant le traitement.

(Alinéa sans modification).

 
 

« II. --  Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

« II. --  (Sans modification).

 
 

« III. --  Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

« III. --  (Sans modification).

 
 

« IV. --  Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

« IV. --  (Sans modification).

 
 

« Art. 27. --  I. --  Sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

« Art. 27. --  I. --  Sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.

« Art. 27. --  I. --  Sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

« 1° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

 

« 1° Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

Alinéa supprimé.

« 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.

 

« 2° Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.

Alinéa supprimé.

Maintien de la suppression.

 

« II. --  Sont autorisés par arrêté pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

« II. --  Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

« II. --  (Alinéa sans modification).

 

« 1° Les traitements qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

« 1° Les traitements mis en oeuvre par l'État ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

« 1° Non modifié...

 

« 2° Ceux des traitements mentionnés au I :

« 2° (Alinéa sans modification).

« 2° Non modifié...

 

« - qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;

(Alinéa sans modification).

 
 

« - qui n'ont pas pour objet une interconnexion entre des fichiers ayant des fins correspondant à des intérêts publics différents ;

« - qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;

 
 

« - et qui sont mis en oeuvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques.

« - et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques ;

 
 
 

« 3° (nouveau) Les traitements relatifs au recensement de la population en métropole et dans les collectivités situées outre-mer ;

« 3° Non modifié...

 
 
 

« 4° (nouveau) Les traitements mis en oeuvre par l'État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques.

 

« III. --  Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.

« III. --  (Alinéa sans modification).

« III. --  Non modifié...

 

« Art. 28. --  I. --  La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président lorsque la complexité du dossier le justifie.

« Art. 28. --  I. --  La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

« Art. 28. --  Non modifié...

 

« II. --  L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

« II. --  (Sans modification).

 
 

« Art. 29. --  Les actes autorisant la création d'un traitement en application des articles 25, 26 et 27 précisent :

« Art. 29. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« 1° La dénomination et la finalité du traitement ;

 
 
 

« 2° Le service auprès duquel s'exerce le droit d'accès défini au chapitre VII ;

 
 
 

« 3° Les catégories de données à caractère personnel enregistrées ;

 
 
 

« 4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

 
 
 

« 5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 32.

 
 
 

« Section 3

« Dispositions communes

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 30. --  I. --  Les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :

« Art. 30. --  I. --  (Alinéa sans modification).

« Art. 30. --  I. --  (Alinéa sans modification).

 

« 1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre État membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° La finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements relevant des articles 25, 26 et 27, ses caractéristiques ;

« 2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ;

« 2° Non modifié...

 

« 3° Le cas échéant, les interconnexions avec d'autres traitements ;

« 3° Le cas échéant, les interconnexions avec d'autres traitements ;

« 3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;

 

« 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

« 4° (Sans modification).

« 4° (Sans modification).

 

« 5° La durée de conservation des informations traitées ;

« 5° (Sans modification).

« 5° Non modifié...

 

« 6° Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

« 6° (Sans modification).

« 6° Non modifié...

 

« 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

« 7° (Sans modification).

« 7° Non modifié...

 

« 8° L'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;

« 8° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;

« 8° Non modifié...

 

« 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;

« 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;

« 9° Non modifié...

 

« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne, sous quelque forme que ce soit.

« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne, sous quelque forme que ce soit, sous réserve des dispositions du 2° du I de l'article 5.

« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne au sens des dispositions du 2° du I de l'article 5.

 

« II. --  Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la commission :

« II. --  (Alinéa sans modification).

« II. --  (Alinéa sans modification).

 

« - de tout changement affectant les informations mentionnées au I ;

(Alinéa sans modification).

(Alinéa sans modification).

 

« - de toute suppression du traitement.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 31. --  I. --  La commission met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26.

« Art. 31. --  I. --  (Alinéa sans modification).

« Art. 31. --  I. --  (Alinéa sans modification).

 

« Cette liste précise pour chacun de ces traitements :

(Alinéa sans modification).

(Alinéa sans modification).

 

« 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° La dénomination et la finalité du traitement ;

« 2° (Sans modification).

« 2° Non modifié...

 

« 3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre État membre de la Communauté européenne, celles de son représentant ;

« 3° (Sans modification).

« 3° Non modifié...

 

« 4° La personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;

« 4° La personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;

« 4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;

 

« 5° Les données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

« 5° Les catégories de données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

« 5°Non modifié...

 

« 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne.

« 6° (Sans modification).

« 6° Non modifié...

 

« II. --  La commission tient à la disposition du public ceux de ses avis, décisions ou recommandations dont la connaissance est utile à l'application ou à l'interprétation de la présente loi. »

« II. --  La commission tient à la disposition du public ses avis, décisions ou recommandations.

« II. --  Non modifié.. 

 
 

« III (nouveau). --  La Commission nationale de l'informatique et des libertés publie la liste des États dont la Commission des Communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel. »

« III. --  Non modifié...

 

Article 5

Le chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est intitulé : « Obligations incombant aux responsables de traitements et droits des personnes ». Ce chapitre comprend les articles 32 à 42 ainsi que l'article 40, qui devient l'article 43. Il comprend deux sections ainsi rédigées :

Article 5

(Alinéa sans modification).

Article 5

(Alinéa sans modification).

 

« Section 1

« Obligations incombant
aux responsables de traitements

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 32. --  I. --  La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

« Art. 32. --  I. --  (Alinéa sans modification).

« Art. 32. --  I. --  (Alinéa sans modification).

 

« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

« 2° (Sans modification).

« 2° Non modifié...

 

« 3° Du caractère obligatoire ou facultatif des réponses ;

« 3° (Sans modification).

« 3° Non modifié...

 

« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

« 4° (Sans modification).

« 4° Non modifié...

 

« 5° Des destinataires ou catégories de destinataires des données ;

« 5° (Sans modification).

« 5° Non modifié...

 

« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre.

« 6° (Sans modification).

« 6° Non modifié...

 
 

« 7° (nouveau) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne.

« 7° Non modifié...

 
 
 

« Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

 

« I bis (nouveau). -- L'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur est autorisée si l'abonné ou l'utilisateur a reçu, au préalable, une information claire et complète sur les finalités du traitement et sur les moyens dont il dispose pour s'y opposer.

« I bis. --  Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

« - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

« I bis. --  Non modifié...

 
 

« - des moyens dont elle dispose pour s'y opposer.

 
 

« Ces dispositions ne font pas obstacle au stockage ou à l'accès technique visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou qui sont strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

« Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

« - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

 
 
 

« - soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

 
 

« Il est interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement terminal.

Alinéa supprimé.

 
 

« Le fait de stocker ou collecter des informations stockées dans l'équipement terminal de l'abonné ou de l'utilisateur, sans l'avoir préalablement informé conformément aux dispositions du premier alinéa du présent I bis, ou d'avoir subordonné l'accès à un service à l'acceptation, par l'abonné ou l'utilisateur, du traitement des informations stockées dans son terminal, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Alinéa supprimé.

 
 

« II. --  Lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

« II. --  Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

« II. --  (Alinéa sans modification).

 

« Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent également pas quand l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

« Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à caractère personnel à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données à caractère personnel ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

« Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

 
 

« II bis (nouveau). --   Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

« II bis. --  Non modifié...

 

« III. --  Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en oeuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

« III. --  (Sans modification).

« III. --  Non modifié...

 

« IV. --  Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche ou la poursuite d'infractions pénales.

« IV. --  Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

« IV. --  Non modifié...

 

« Art. 33. --  Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

« Art. 33. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 34. --  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

« Art. 34. --  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

« Art. 34. --  Non modifié...

 

« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 1° et au 5° du II de l'article 8.

(Alinéa sans modification).

 
 

« Art. 35. --  Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

« Art. 35. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

 
 
 

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

 
 
 

« Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

 
 
 

« Art. 36. --  Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des informations ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 précitée.

« Art. 36. --  Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 précitée.

« Art. 36. --  Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l'article L. 212-4 du code du patrimoine.

 

« Toutefois, il peut être procédé à un traitement à d'autres finalités que celles mentionnées à l'alinéa premier soit avec l'accord exprès de la personne concernée, soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ou, lorsque les données conservées sont au nombre de celles qui sont mentionnées au I de l'article 8, dans les conditions prévues au III du même article.

« Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre de la loi n° 79-18 du 3 janvier 1979 précitée sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.

« Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.

 
 

« Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :

(Alinéa sans modification).

 
 

« - soit avec l'accord exprès de la personne concernée ;

(Alinéa sans modification).

 
 

« - soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ;

(Alinéa sans modification).

 
 

« - soit dans les conditions prévues au 6° du II et au III de l'article 8 s'agissant de données mentionnées au I de ce même article.

(Alinéa sans modification).

 

« Art. 37. --  Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.

« Art. 37. --  Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.

« Art. 37. --  Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du livre II du code du patrimoine.

 

« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 et n° 79-18 du 3 janvier 1979 précitées.

« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 et n° 79-18 du 3 janvier 1979 précitées.

« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément à la loi n° 78-753 du 17 juillet 1978 précitée et au livre II du même code.

 

« Section 2

« Droits des personnes à l'égard des traitements de données à caractère personnel

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 38. --  Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant fassent l'objet d'un traitement.

« Art. 38. --  Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

« Art. 38. --  Non modifié...

 

« Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

(Alinéa sans modification).

 
 

« Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

(Alinéa sans modification).

 
 

« Art. 39. --  I. --  Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :

« Art. 39. --  I. --  (Alinéa sans modification).

« Art. 39. --  I. --  (Alinéa sans modification).

 

« 1° La confirmation que des données la concernant font ou ne font pas l'objet de ce traitement ;

« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

« 1° Non modifié...

 

« 2° Des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

« 2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

« 2° Non modifié...

 
 

« 2° bis (nouveau) Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne ;

« 2° bis Non modifié...

 

« 3° La communication, sous une forme accessible, des données qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

« 3° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

« 3° (Sans modification).

 

« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé lorsque les résultats de celui-ci lui sont opposés. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé lorsque les résultats de celui-ci lui sont opposés. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

 

« Une copie des données est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

« Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

(Alinéa sans modification).

 

« En cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

« En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

(Alinéa sans modification).

 

« II. --  Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

« II. --  (Alinéa sans modification).

« II. --  Non modifié...

 

« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées pendant une durée n'excédant pas celle qui est nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques.

« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au second alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés.

 
 

« Art. 40. --  Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

« Art. 40. --  Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

« Art. 40. --  Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

 

« Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

(Alinéa sans modification).

(Alinéa sans modification).

 

« En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

(Alinéa sans modification).

(Alinéa sans modification).

 

« Lorsque les héritiers ont exercé la faculté prévue par l'alinéa précédent, ils sont en droit d'interroger le responsable du traitement afin d'obtenir la confirmation que des données à caractère personnel concernant le défunt font, ou non, encore l'objet d'un traitement.

« Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

(Alinéa sans modification).

 

« Art. 41. --  Par dérogation aux articles 39 et 40, les demandes d'accès relatives aux traitements intéressant la sûreté de l'État, la défense ou la sécurité publique sont adressées à la Commission nationale de l'informatique et des libertés, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.

« Art. 41. --  Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'État, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

« La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifiée au requérant qu'il a été procédé aux vérifications.

« Art. 41. --  Non modifié...

 

« Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat des opérations effectuées en application du premier alinéa de l'article 40 ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant.

« Dans les autres cas, la commission informe le requérant qu'il a été procédé aux vérifications.

« Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'État, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

« Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

 
 

« Art. 42. --  Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27. »

« Art. 42. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

Article 6

Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

Article 6

(Alinéa sans modification).

Article 6

(Alinéa sans modification).

 

« Chapitre VI

« Le contrôle de la mise en oeuvre des traitements

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 44. --  I. --  Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au troisième alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

« Art. 44. --  I. --  (Sans modification).

« Art. 44. --  I. --  Non modifié...

 

« Le procureur de la République territorialement compétent en est préalablement informé.

 
 
 

« II. --  En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance ou du juge délégué par lui.

« II. --  En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.

« II. --  Non modifié...

 

« Ce magistrat est saisi à la requête du président de la commission. Il statue par une ordonnance motivée, conformément aux dispositions prévues aux articles 493 à 498 du nouveau code de procédure civile. La procédure est sans représentation obligatoire.

(Alinéa sans modification).

 
 

« La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Celui-ci peut se rendre dans les locaux durant l'intervention. À tout moment, il peut décider l'arrêt ou la suspension de la visite.

(Alinéa sans modification).

 
 

« III. --  Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux logiciels et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

« III. --  Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

« III. --  Non modifié...

 

« Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent.

(Alinéa sans modification).

 
 

« Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en oeuvre par un membre d'une profession de santé.

(Alinéa sans modification).

 
 

« Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article. »

(Alinéa sans modification).

 
 
 
 

« IV (nouveau). --  Pour les traitements intéressant la sûreté de l'Etat et qui sont dispensés de la publication de l'acte réglementaire qui les autorise en application du III de l'article 26, le décret en Conseil d'Etat qui prévoit cette dispense peut également prévoir que le traitement n'est pas soumis aux dispositions du présent article. »

 

Article 7

Le chapitre VII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

Article 7

(Alinéa sans modification).

Article 7

(Alinéa sans modification).

 

« Chapitre VII

« Sanctions infligées par la Commission nationale de l'informatique et des libertés

« Chapitre VII

« Sanctions infligées par la Commission nationale de l'informatique et des libertés

(Alinéa sans modification).

« Sanctions prononcées par la Commission nationale de l'informatique et des libertés

 

« Art. 45. --  I. --  La Commission nationale de l'informatique et des libertés peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.

« Art. 45. --  I. --  (Alinéa sans modification).

« Art. 45. --  I. --  (Alinéa sans modification).

 

« Si le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

(Alinéa sans modification).

(Alinéa sans modification).

 

« 1° Une sanction pécuniaire ;

« 1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, lorsque des profits ou des avantages économiques sont tirés de la mise en oeuvre du traitement ;

« 1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en oeuvre par l'Etat ;

 

« 2° Une injonction de cesser le traitement ou de procéder à sa destruction, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

« 2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

« 2° Non modifié...

 

« II. --  En cas d'urgence, lorsque la mise en oeuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er, la commission peut, après une procédure contradictoire :

« II. --  (Alinéa sans modification).

« II. --  (Alinéa sans modification).

 

« 1° Décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;

« 1° Décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;

« 1° Décider l'interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26, ou de ceux mentionnés à l'article 27 mis en oeuvre par l'État ;

 
 
 

«1° bis (nouveau) Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;

 

« 2° Saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ; le Premier ministre fait alors connaître à la commission et rend publiques les suites qu'il a données à cette saisine au plus tard quinze jours après l'avoir reçue.

« 2° Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et II de l'article 26 ; le Premier ministre fait alors connaître à la commission les suites qu'il a données à cette saisine au plus tard quinze jours après l'avoir reçue.

« 2° Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et II de l'article 26 ; le Premier ministre fait alors connaître à la commission les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.

 

« III. --  En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

« III. --  (Sans modification).

« III. --  Non modifié...

 

« Art. 46. --  Les sanctions prévues au I et au 1° du II de l'article 45 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la commission mais ne prend pas part à ses délibérations. La commission peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information.

« Art. 46. --  (Alinéa sans modification).

« Art. 46. --  (Alinéa sans modification).

 

« La commission peut décider de rendre publiques les sanctions qu'elle prononce.

« La commission peut décider de rendre publiques les sanctions qu'elle prononce en cas de mauvaise foi du responsable du traitement.

« La commission peut rendre publics les avertissements qu'elle prononce. Elle peut également, en cas de mauvaise foi du responsable du traitement, ordonner l'insertion des autres sanctions qu'elle prononce dans des publications, journaux et supports qu'elle désigne. Les frais sont supportés par les personnes sanctionnées.

 

« Les décisions prises par la commission au titre de l'article 45 sont motivées et notifiées au responsable du traitement. Les décisions infligeant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'État.

« Les décisions prises par la commission au titre de l'article 45 sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'État.

(Alinéa sans modification).

 

« Art. 47. --  Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

« Art. 47. --  (Alinéa sans modification).

« Art. 47. --  Non modifié...

 

« Lors du premier manquement, il ne peut excéder 150 000 €. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 € ou 5 % du chiffre d'affaires.

« Lors du premier manquement, il ne peut excéder 150 000 €. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 € ou, s'agissant d'une entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 €.

 
 

« Lorsque la Commission nationale de l'informatique et des libertés a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

(Alinéa sans modification).

 
 

« Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.

(Alinéa sans modification).

 
 

« Art. 48. --  La commission peut exercer les pouvoirs prévus à l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 à l'égard des traitements dont les opérations sont mises en oeuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre État membre de la Communauté européenne.

« Art. 48. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 49. --  La commission peut, à la demande d'une autorité exerçant des compétences analogues aux siennes dans un autre État membre de la Communauté européenne, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à l'article 45, sauf s'il s'agit d'un traitement mentionné au I ou au II de l'article 26.

« Art. 49. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« La commission est habilitée à communiquer les informations qu'elle recueille ou qu'elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d'autres États membres de la Communauté européenne. »

 
 
 

Article 8

La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre VIII ainsi rédigé :

Article 8

(Alinéa sans modification).

Article 8

(Alinéa sans modification).

 

« Chapitre VIII

« Dispositions pénales

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 50. --  Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

« Art. 50. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« Art. 51. --  Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

« Art. 51. --  (Alinéa sans modification).

« Art. 51. --  (Alinéa sans modification).

 

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 et définies aux articles 45 et 49 ;

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 ;

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ;

 

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du troisième alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

 

« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

« 3° (Sans modification).

« 3° Non modifié...

 

« Art. 52. --  Le procureur de la République avise le président de la Commission nationale de l'informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

« Art. 52. --  Non modifié.

. . . . . . . . . . . . . . . . . . . .

 

« La juridiction d'instruction ou de jugement peut appeler le président de la Commission nationale de l'informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l'audience. »

 
 
 

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

 

Article 11

La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XI ainsi rédigé :

Article 11

(Alinéa sans modification).

Article 11

(Alinéa sans modification).

 

« Chapitre XI

« Traitements de données à caractère personnel

aux fins de journalisme et d'expression littéraire et artistique

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

(Alinéa sans modification).

 

« Art. 67. --  Le 5° de l'article 6, les articles 8, 9, 22, 32, 39, 40 et 68 à 70 ne s'appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :

« Art. 67. --  Le 5° de l'article 6, les articles 8, 9, 22, les 1° et 3° du I de l'article 25, les articles 32, 39, 40 et 68 à 70 ne s'appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :

« Art. 67. --  (Alinéa sans modification).

 

« 1° D'expression littéraire et artistique ;

« 1° (Sans modification).

« 1° Non modifié...

 

« 2° D'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession.

« 2° (Sans modification).

« 2° Non modifié...

 

« Toutefois, pour les traitements mentionnés au 2°, la dispense de l'obligation de déclaration prévue par l'article 22 est subordonnée à la désignation par le responsable du traitement d'un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en oeuvre par ce responsable et d'assurer, d'une manière indépendante, l'application des dispositions de la présente loi. Cette désignation est portée à la connaissance de la Commission nationale de l'informatique et des libertés.

(Alinéa sans modification).

(Alinéa sans modification).

 
 
 

« En cas de non-respect des dispositions de la loi applicables aux traitements prévus par le présent article, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de se mettre en conformité avec la loi. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.

 

« Les dispositions des alinéas précédents ne font pas obstacle à l'application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d'exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes. »

(Alinéa sans modification).

(Alinéa sans modification).

 

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

 

TITRE II

DISPOSITIONS

MODIFIANT D'AUTRES TEXTES LÉGISLATIFS

TITRE II

DISPOSITIONS

MODIFIANT D'AUTRES TEXTES LÉGISLATIFS

TITRE II

DISPOSITIONS

MODIFIANT D'AUTRES TEXTES LÉGISLATIFS

 

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

 

Article 15 quater

I. --  Dans le deuxième alinéa de l'article L. 33-4 du code des postes et télécommunications, les références : « 35 et 36 » sont remplacées par les références : « 39 et 40 ».

Article 15 quater

[conforme]

Article 15 quater

[pour coordination]

I. --  Non modifié...

 

II. --  Dans la première phrase du premier alinéa de l'article L. 1131-4 du code de la santé publique, la référence : « chapitre V bis » est remplacée par la référence : « chapitre IX ».

 

II. --  Non modifié...

 

III. --  Dans la première phrase de l'avant-dernier alinéa de l'article L. 262-33 du code de l'action sociale et des familles, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».

III. --  Dans la première phrase de l'avant-dernier alinéa de l'article L. 262-33 du code de l'action sociale et des familles, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».

III. --  Dans la première phrase du dernier alinéa de l'article L. 262-33 du code de l'action sociale et des familles, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».

 

IV. --  Dans le dernier alinéa de l'article L. 522-8 du même code, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».

 

IV. --  Non modifié...

 

V. --  1. Le premier alinéa de l'article 777-3 du code de procédure pénale est ainsi rédigé :

 

V. --  Non modifié...

 

« Aucune  interconnexion au sens du 3° de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne peut être effectuée entre le casier judiciaire national automatisé et tout autre fichier ou traitement de données à caractère personnel détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice. »

 
 
 

2. Dans le deuxième alinéa du même article, les mots : « recueil de données nominatives » sont remplacés par les mots : « traitement de données à caractère personnel ».

 
 
 

VI. --  Le dernier alinéa de l'article L. 723-43 du code rural est ainsi rédigé :

 

VI. --  Non modifié...

 

« Le contenu, l'emploi et les conditions de cette communication sont déterminés selon les modalités de l'article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »

 
 
 

VII. --  Dans le deuxième alinéa de l'article L. 311-5-1 du code du travail, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».

 

VII. --  Non modifié...

 

VIII. --  Dans le deuxième alinéa de l'article L. 115-2 du code de la sécurité sociale, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

VIII. --  Dans le deuxième alinéa de l'article L. 115-2 du code de la sécurité sociale, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

VIII. --  Dans le dernier alinéa de l'article L. 115-2 du code de la sécurité sociale, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

 

IX. --  Dans le dernier alinéa de l'article 1er de la loi n° 84-575 du 9 juillet 1984 portant diverses dispositions d'ordre social, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

 

IX. --  Non modifié...

 

X. --  Dans le III de l'article 78 de la loi n° 85-10 du 3 janvier 1985 portant diverses dispositions d'ordre social, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

 

X. --  Non modifié...

 

XI. --  Dans l'avant-dernier alinéa du I de l'article 64 de la loi n° 95-116 du 4 février 1995 portant diverses dispositions d'ordre social, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».

 

XI. --  Non modifié...

 
 
 

Article 15 quinquies

(nouveau)

I. --  Dans l'article L. 262-51 du code de l'action sociale et des familles, les mots : « de l'article 15 » sont remplacés par les mots : « du chapitre IV ».

 
 
 

II. --  Dans le premier alinéa de l'article 60-2 du code de procédure pénale, les mots : « de l'article 31 et à l'article 33 » sont remplacés par les mots : « du 2° du II de l'article 8 et au 2° de l'article 67 ».

 
 
 

III. --  Dans le premier alinéa de l'article 706-53-11 du code de procédure pénale, la référence : « 19 » est remplacée par la référence : « 30 ».

 
 
 

IV. --  Dans la deuxième phrase du troisième alinéa de l'article L. 1111-8 du code de la santé publique, la référence : « 29 » est remplacée par la référence : « 34 ».

 
 
 

V. --  Dans le dernier alinéa de l'article L. 115-7 du code de la sécurité sociale, les mots : « autorisée dans les conditions prévues à l'article 15 » sont remplacés par les mots : « selon les modalités prévues au chapitre IV ».

 
 
 

VI. --  L'avant-dernier alinéa de l'article L. 161-28-1 du code de la sécurité sociale est ainsi rédigé :

 
 
 

« Cet arrêté est pris après avis motivé de la Commission nationale de l'informatique et des libertés. »

 
 
 

VII. --  Le début du septième alinéa de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques est ainsi rédigé : « Les cessions portant sur des données à caractère personnel, telles qu'elles sont définies à l'article 2 de la loi... (le reste sans changement). »

 
 
 

VIII. --  L'article L. 212-4 du code du patrimoine est ainsi modifié :

 
 
 

1° Le premier alinéa est ainsi rédigé :

 
 
 

« Lorsque les documents visés à l'article L. 211-4 comportent des données à caractère personnel collectées dans le cadre de traitements automatisés régis par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces données font l'objet, à l'expiration de la durée prévue au 5° de l'article 6 de ladite loi, d'un tri pour déterminer les données destinées à être conservées et celles, dépourvues d'intérêt scientifique, statistique ou historique, destinées à être détruites. » ;

 
 
 

2° Dans le dernier alinéa, les mots : « d'informations » sont remplacés par les mots : « de données ».

 
 
 

IX. --  Dans le dernier alinéa de l'article L. 333-4 du code de la consommation, la référence : « 35 » est remplacée par la référence : « 39 ».

 
 
 

Article 15 sexies (nouveau)

La première phrase de l'article 24 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure est remplacée par deux phrases ainsi rédigées :

 
 
 

« Les données contenues dans les traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales peuvent être transmises, dans le cadre des engagements internationaux régulièrement introduits dans l'ordre juridique interne, à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers, qui représentent un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »

 

TITRE III

DISPOSITIONS

TRANSITOIRES

TITRE III

DISPOSITIONS

TRANSITOIRES

TITRE III

DISPOSITIONS

TRANSITOIRES

 

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

 
 
 

Article 16 bis (nouveau)

Les responsables de traitements non automatisés de données à caractère personnel intéressant la sûreté de l'État, la défense et la sécurité publique, dont la mise en oeuvre est régulièrement intervenue avant la date de publication de la présente loi disposent, pour mettre leurs traitements en conformité avec les articles 6 à 9 de la loi n° 78-17 du 6 janvier 1978 précitée, dans leur rédaction issue de la présente loi, d'un délai allant jusqu'au 24 octobre 2010.

 

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

 
 
 
 
 

ANNEXE AU TABLEAU COMPARATIF

Loi n° 51-711 du 7 juin 1951 sur l'obligation,
la coordination et le secret en matières de statistiques

Art. 1er. --  Il est créé auprès de l'institut national de la statistique et des études économiques un conseil national de l'information statistique chargé de coordonner les enquêtes statistiques des services publics, à l'exclusion des travaux statistiques d'ordre intérieur ne comportant pas le concours de personnes étrangères à l'Administration. Ce conseil établit annuellement un programme comprenant l'ensemble des enquêtes prévues pour l'année et détermine leur date approximative et les délais qui seront laissés aux personnes physiques et morales pour faire parvenir leur réponse. Le programme annuel et ses modalités d'exécution sont fixés par l'autorité administrative, qui décide du caractère obligatoire ou non de chaque enquête.

La composition et les modalités de fonctionnement du conseil national de l'information statistique seront fixées par un décret qui devra notamment préciser les conditions dans lesquelles sera assurée la représentation des personnes physiques et morales intéressées et celle du Parlement et du Conseil économique et social.

Le conseil national de l'information statistique est présidé par le ministre de l'économie et des finances agissant par délégation du Premier ministre.

Art. 2. --  Toute enquête statistique des services publics, à l'exclusion des travaux statistiques d'ordre intérieur ne comportant pas le concours de personnes étrangères à l'Administration, doit être soumise au visa préalable du ministre dont relève l'institut national de la statistique et des études économiques et du ministre à la compétence duquel ressortissent les intéressés.

Le visa ne peut être accordé que si l'enquête s'inscrit dans le cadre du programme prévu à l'article précédent, si elle est prévue par une loi spéciale ou si elle présente un caractère de nécessité et d'urgence indiscutables .

Art. 3. --  Les personnes sont tenues de répondre, avec exactitude, et dans les délais fixés, aux enquêtes statistiques qui sont rendues obligatoires en vertu de l'article 1er.

Art. 4. --  Des organismes professionnels ou interprofessionnels peuvent être agréés par les pouvoirs publics pour servir d'intermédiaire dans l'exécution des enquêtes statistiques. L'agrément est donné ou retiré par arrêté conjoint du ministre dont relève l'institut national de la statistique et des études économiques et du ministre chargé de la branche intéressée.

Lorsqu'un questionnaire revêtu du visa est ainsi diffusé par une organisation agréée, les intéressés ont la possibilité de répondre à leur choix par l'intermédiaire de cette organisation ou directement au service public enquêteur.

Les organismes agréés adressent au service enquêteur, dans le délai prévu par l'acte d'agrément, les renseignements qu'ils ont recueillis.

Art. 5. --  Abrogé.

Art. 6. --  Sous réserve des dispositions des articles 40, 56, 76, 97 et 99 du code de procédure pénale les renseignements individuels figurant sur les questionnaires revêtus du visa prévu à l'article 2 et ayant trait à la vie personnelle et familiale et d'une manière générale, aux faits et comportement d'ordre privé, ne peuvent être l'objet d'aucune communication de la part du service dépositaire avant l'expiration du délai de cent ans suivant la date de réalisation du recensement ou de l'enquête.

Sous réserve des dispositions des articles 40, 56, 76, 97 et 99 du code de procédure pénale, les renseignements individuels d'ordre économique ou financier figurant dans les questionnaires revêtus du visa prévu à l'article 2 ne peuvent, sauf décision de l'autorité administrative, prise après avis du comité du secret statistique, faire l'objet d'aucune communication de la part du service dépositaire avant l'expiration d'un délai de trente ans suivant la date de réalisation du recensement ou de l'enquête.

Ces renseignements ne peuvent en aucun cas être utilisés à des fins de contrôle fiscal ou de répression économique. Par application des dispositions de l'article L. 84 du livre des procédures fiscales et de l'article L. 64 A du code des douanes, les administrations dépositaires de renseignements de cette nature ne sont pas tenues par les obligations relatives au droit de communication.

Les agents des services publics et des organisations appelés à servir d'intermédiaires pour les enquêtes dans les conditions fixées à l'article 4 sont astreints au secret professionnel sous les sanctions prévues aux articles 226-13 et 226-14 du code pénal.

Les recensements et enquêtes statistiques effectués conformément aux dispositions de la présente loi ont le caractère d'archives publiques.

Art. 6 bis. --  Il est institué un comité du secret statistique. Ce comité donne son avis sur les demandes de communication des données individuelles d'ordre économique et financier relatives aux personnes morales de droit public et de droit privé, et à l'activité professionnelle des entrepreneurs individuels et des personnes exerçant une profession libérale, collectées en application de la présente loi.

Le comité est présidé par un conseiller d'Etat, désigné par le vice-président du Conseil d'Etat. Il comprend notamment des représentants de l'Assemblée nationale et du Sénat.

La composition et les modalités de fonctionnement du comité sont fixées par décret en Conseil d'Etat.

Les bénéficiaires des communications de données résultant des décisions ministérielles prises après avis du comité du secret statistique s'engagent à ne communiquer ces données à quiconque. Toute infraction aux dispositions de cet alinéa est punie des peines prévues à l'article 226-13 du code pénal.

Art. 7. --  En cas de défaut de réponse après mise en demeure, dans le délai imparti par ladite mise en demeure, ou de réponse sciemment inexacte, les personnes physiques ou morales peuvent être l'objet d'une amende administrative prononcée par le ministre dont relève l'institut national de la statistique et des études économiques sur avis du conseil national de l'information statistique réuni en comité du contentieux des enquêtes statistiques obligatoires dans les conditions prévues aux articles 13 à 20 du décret n° 84-628 du 17 juillet 1984 modifié relatif au conseil national de l'information statistique et portant application de la présente loi.

L'avis du comité est communiqué au ministre, accompagné, le cas échéant, des observations de l'intéressé.

La décision du ministre prononçant une amende est motivée ; le recours dirigé contre cette décision est un recours de pleine juridiction.

Passé un délai de deux ans à compter de la date de réception de la mise en demeure, le ministre ne peut plus infliger d'amende.

Le montant de la première amende encourue à ce titre par une personne physique ou morale ne peut dépasser 150 euros.

En cas de récidive dans le délai de trois ans, le montant de l'amende est porté à 300 euros au moins et 2250 euros au plus pour chaque infraction.

Ces amendes sont recouvrées au profit du Trésor public selon les procédures prévues pour les créances mentionnées à l'article 80 du décret n° 62-1587 du 29 décembre 1962 modifié portant règlement général sur la comptabilité publique.

Toutefois, tout défaut de réponse, après mise en demeure et dans le délai imparti par ladite mise en demeure, ou toute réponse sciemment inexacte à des questions ayant trait à la vie personnelle et familiale, sera puni de l'amende prévue au 1° de l'article 131-13 du code pénal.

Art. 7 bis. --  Sur demande du ministre dont relève l'institut national de la statistique, après avis du conseil national de l'information statistique, et sauf disposition législative contraire, les informations relatives aux personnes physiques, à l'exclusion des données relatives à la vie sexuelle, et celles relatives aux personnes morales, recueillies dans le cadre de sa mission, par une administration, une personne morale de droit public, ou une personne morale de droit privé gérant un service public sont cédées, à des fins exclusives d'établissement de statistiques, à l'Institut national de la statistique et des études économiques ou aux services statistiques ministériels.

Les données à caractère personnel relatives à la santé recueillies dans les conditions prévues à l'alinéa précédent ne peuvent être communiquées, sur demande du ministre chargé de la santé, à l'Institut national de la statistique et des études économiques ou aux services statistiques des ministères participant à la définition, à la conduite et à l'évaluation de la politique de santé publique que dans le cadre d'établissement de statistiques sur l'état de santé de la population, les politiques de santé publique ou les dispositifs de prise en charge par les systèmes de santé et de protection sociale en lien avec la morbidité des populations. Des enquêtes complémentaires, revêtues du visa préalable mentionné à l'article 2, peuvent être réalisées auprès d'échantillons de ces populations.

Les modalités de communication des données à caractère personnel relatives à la santé recueillies dans les conditions prévues à l'alinéa précédent ne doivent pas permettre l'identification des personnes.

Il ne peut être dérogé à cette dernière obligation que lorsque les conditions d'élaboration des statistiques prévues au deuxième alinéa nécessitent de disposer d'éléments d'identification directe ou indirecte des personnes, notamment aux fins d'établissement d'échantillons de personnes et d'appariement de données provenant de diverses sources, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Seules les personnes responsables de l'opération, désignées à cet effet par la personne morale autorisée à mettre en oeuvre le traitement, peuvent recevoir les données à caractère personnel relatives à la santé transmises à l'Institut national de la statistique et des études économiques ou aux services statistiques des ministères participant à la définition, à la conduite et à l'évaluation de la politique de santé publique. Après utilisation de ces données, les éléments d'identification des personnes doivent être détruits.

Sous réserve de l'article 777-3 du code de procédure pénale, les dispositions des l'alinéas précédents s'appliquent nonobstant toutes dispositions contraires relatives au secret professionnel.

Les cessions portant sur des informations nominatives, telles qu'elles sont définies à l'article 4 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont soumises aux dispositions de ladite loi ; l'acte réglementaire et, lorsque les cessions se font entre deux personnes morales distinctes, les conventions entre le cédant et le cessionnaire de ces informations prévoient les modalités de la transmission, la finalité du traitement envisagé et le sort des informations après leur utilisation aux fins de traitement statistique.

Les cessions portant sur des informations concernant des personnes morales sont autorisées par décision conjointe du ministre dont relève l'Institut national de la statistique et des études économiques et des ministres intéressés.

Sous réserve des dispositions des articles 40, 56, 76, 97 et 99 du code de procédure pénale, les informations transmises en application du présent article et permettant l'identification des personnes physiques ou morales auxquelles elles s'appliquent ne peuvent faire l'objet d'aucune communication de la part du service bénéficiaire.

Les agents de l'Institut national de la statistique et des études économiques et ceux des services statistiques ministériels sont astreints, pour les données dont ils ont à connaître en application du présent article, au secret professionnel sous les sanctions prévues aux articles 226-13 du code pénal.

Art. 7 ter. --  La formation plénière du comité du secret statistique est compétente pour émettre, après avis facultatif de l'administration ou de la personne morale ayant procédé à la collecte des données concernées, des recommandations relatives à l'accès pour des besoins de recherche scientifique aux données individuelles transmises à l'institut national de la statistique et des études économiques et aux services statistiques ministériels en application de l'article 7 bis de la présente loi.

La décision de transmission est signée par le ministre chargé de l'économie, le ministre chargé de la recherche et le ou les ministres dont relève l'administration ou la personne morale qui a collecté les données transmises.

Art. 8. --  Sont abrogées toutes les dispositions législatives et réglementaires contraires aux dispositions de la présente loi.

Art. 9. --  La présente loi est applicable dans les territoires d'outre-mer et les territoires associés.

Ses modalités d'application seront fixées par les décrets en conseil d'État pris sur le rapport du ministre des affaires économiques ou sur le rapport conjoint des ministres des affaires économiques et de la France d'outre-mer.

Code de l'action sociale et des familles

.....................................................................................................................................................................................

Art. L. 232-33. --  Pour l'exercice de leur mission, les organismes payeurs mentionnés à l'article L. 262-30 vérifient les déclarations des bénéficiaires. A cette fin, ils peuvent demander toutes les informations nécessaires aux administrations publiques, et notamment aux administrations financières, aux collectivités territoriales, aux organismes de sécurité sociale, de retraite complémentaire et d'indemnisation du chômage ainsi qu'aux organismes publics ou privés concourant aux dispositifs d'insertion ou versant des rémunérations au titre de l'aide à l'emploi, qui sont tenus de les leur communiquer.

Les informations demandées tant par les organismes instructeurs mentionnés aux articles L. 262-14 et L. 262-15 que par les organismes payeurs mentionnés à l'article L. 262-30 doivent être limitées aux données nécessaires à l'identification de la situation du demandeur en vue de l'attribution de l'allocation et de la conduite des actions d'insertion.

Les personnels des organismes précités ne peuvent communiquer les informations recueillies dans l'exercice de leur mission qu'au président du conseil général et au président de la commission locale d'insertion définie à l'article L. 263-10.

Les organismes payeurs transmettent à ceux-ci ainsi qu'aux présidents des centres communaux d'action sociale et aux organismes instructeurs concernés la liste des personnes percevant une allocation de revenu minimum d'insertion.

Lorsqu'elles sont conservées sur support informatique, les informations mentionnées au présent article peuvent faire l'objet de transmission entre les organismes susmentionnés, dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Un décret fixe les modalités d'information des bénéficiaires qui font l'objet d'un contrôle défini dans le présent article.

.....................................................................................................................................................................................

Art. L. 262-33. --  Pour l'exercice de leur mission, les organismes payeurs mentionnés à l'article L. 262-30 vérifient les déclarations des bénéficiaires. A cette fin, ils peuvent demander toutes les informations nécessaires aux administrations publiques, et notamment aux administrations financières, aux collectivités territoriales, aux organismes de sécurité sociale, de retraite complémentaire et d'indemnisation du chômage ainsi qu'aux organismes publics ou privés concourant aux dispositifs d'insertion ou versant des rémunérations au titre de l'aide à l'emploi, qui sont tenus de les leur communiquer.

Les informations demandées tant par les organismes instructeurs mentionnés aux articles L. 262-14 et L. 262-15 que par les organismes payeurs mentionnés à l'article L. 262-30 doivent être limitées aux données nécessaires à l'identification de la situation du demandeur en vue de l'attribution de l'allocation et de la conduite des actions d'insertion.

Les personnels des organismes précités ne peuvent communiquer les informations recueillies dans l'exercice de leur mission qu'au président du conseil général et au président de la commission locale d'insertion définie à l'article L. 263-10.

Les organismes payeurs transmettent à ceux-ci ainsi qu'aux présidents des centres communaux d'action sociale et aux organismes instructeurs concernés la liste des personnes percevant une allocation de revenu minimum d'insertion.

Lorsqu'elles sont conservées sur support informatique, les informations mentionnées au présent article peuvent faire l'objet de transmission entre les organismes susmentionnés, dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Un décret fixe les modalités d'information des bénéficiaires qui font l'objet d'un contrôle défini dans le présent article.

.....................................................................................................................................................................................

Art. L. 262-51. --  Les départements, la Caisse nationale des allocations familiales, la Caisse centrale de mutualité sociale agricole et les autres organismes associés à la gestion du revenu minimum d'insertion ou du revenu minimum d'activité transmettent à l'autorité compétente de l'Etat, dans des conditions fixées par voie réglementaire, les informations relatives aux personnes physiques destinées, dans le respect des dispositions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques et des dispositions de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à la constitution d'échantillons statistiquement représentatifs en vue de l'étude des situations et des parcours d'insertion des personnes physiques figurant dans ces échantillons.

Code de la santé publique

.....................................................................................................................................................................................

Art. L. 1111-8. --  Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.

Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée.

Les conditions d'agrément des hébergeurs sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé ainsi que du conseil des professions paramédicales. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 29 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.

L'agrément peut être retiré, dans les conditions prévues par l'article 24 de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.

Seuls peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes que celles-ci concernent et les professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées, selon des modalités fixées dans le contrat prévu au deuxième alinéa, dans le respect des dispositions des articles L. 1110-4 et L. 1111-7.

Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat prévu au deuxième alinéa.

Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données qui lui ont été confiées, sans en garder de copie, au professionnel, à l'établissement ou à la personne concernée ayant contracté avec lui.

Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.

Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'Inspection générale des affaires sociales et des agents de l'Etat mentionnés à l'article L. 1421-1. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.

Code de la sécurité sociale

.....................................................................................................................................................................................

Art. L. 115-2. --  Pour l'application des dispositions législatives et réglementaires relatives à la sécurité sociale, les organismes chargés de la gestion d'un régime obligatoire de sécurité sociale se communiquent les renseignements qu'ils détiennent sur leurs ressortissants lorsque ces renseignements :

1° Sont nécessaires à l'appréciation de droits ou à l'exécution d'obligations entrant dans le fonctionnement normal du service public dont sont chargés ces organismes ;

2° Sont nécessaires à l'information des ressortissants sur l'ensemble de leurs droits en cas de partage de la gestion d'une prestation par ces organismes.

Un acte réglementaire, pris après avis de la commission nationale de l'informatique et des libertés, fixe les conditions de la communication des données autorisée par le présent article, conformément aux dispositions de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

.....................................................................................................................................................................................

Art. L. 115-7. --  Les organismes chargés de la gestion d'un régime obligatoire de sécurité sociale assurant l'affiliation, le versement des prestations ou le recouvrement des cotisations sont tenus de vérifier lors de l'affiliation et périodiquement que les assurés étrangers satisfont aux conditions de régularité de leur situation en France prévues au présent code. La vérification peut également être faite lors de la déclaration nominative effectuée par l'employeur prévue par l'article L. 320 du code du travail. Ils peuvent avoir accès aux fichiers des services de l'Etat pour obtenir les informations administratives nécessaires à cette vérification.

Lorsque ces informations sont conservées sur support informatique, elles peuvent faire l'objet d'une transmission autorisée dans les conditions prévues à l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

.....................................................................................................................................................................................

Art. L. 161-28-1. --  Il est créé un système national d'information interrégimes de l'assurance maladie qui contribue :

1° A la connaissance des dépenses de l'ensemble des régimes d'assurance maladie par circonscription géographique, par nature de dépenses, par catégorie de professionnels responsables de ces dépenses et par professionnel ou établissement ;

2° A la transmission en retour aux prestataires de soins d'informations pertinentes relatives à leur activité et leurs recettes, et s'il y a lieu à leurs prescriptions.

Le système national d'information interrégimes est mis en place par les organismes gérant un régime de base d'assurance maladie. Ces derniers transmettent au système national d'information interrégimes de l'assurance maladie les données nécessaires.

Les modalités de gestion et de renseignement du système national d'information interrégimes de l'assurance maladie, définies conjointement par protocole passé entre au moins la Caisse nationale de l'assurance maladie des travailleurs salariés, la Caisse centrale de mutualité sociale agricole et la Caisse nationale d'assurance maladie et maternité des travailleurs non salariés, sont approuvées par un arrêté du ministre chargé de la sécurité sociale.

Cet arrêté, pris après avis motivé de la Commission nationale de l'informatique et des libertés, tient lieu d'acte réglementaire des organismes d'assurance maladie au sens du premier alinéa de l'article 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Les données reçues et traitées par le système national d'information interrégimes de l'assurance maladie préservent l'anonymat des personnes ayant bénéficié des prestations de soins.

Code de procédure pénale

.....................................................................................................................................................................................

Art. 60-2. --  Sur demande de l'officier de police judiciaire, intervenant par voie télématique ou informatique, les organismes publics ou les personnes morales de droit privé, à l'exception de ceux visés au deuxième alinéa de l'article 31 et à l'article 33 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mettent à sa disposition les informations utiles à la manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu'ils administrent.

L'officier de police judiciaire, intervenant sur réquisition du procureur de la République préalablement autorisé par ordonnance du juge des libertés et de la détention, peut requérir des opérateurs de télécommunications, et notamment de ceux mentionnés à l'article 43-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, de prendre, sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs.

Les organismes ou personnes visés au présent article mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.

Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni d'une amende de 3 750 Euros. Les personnes morales peuvent être déclarées responsables pénalement dans les conditions prévues par l'article 121-2 du code pénal de l'infraction prévue au présent alinéa. La peine encourue par les personnes morales est l'amende, suivant les modalités prévues par l'article 131-38 du code pénal.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les catégories d'organismes visés au premier alinéa ainsi que les modalités d'interrogation, de transmission et de traitement des informations requises. ;

.....................................................................................................................................................................................

 

Art. 706-53-11. --  Aucun rapprochement ni aucune connexion au sens de l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne peuvent être effectués entre le fichier prévu par le présent chapitre et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.

Aucun fichier ou recueil de données nominatives détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne peut mentionner, hors les cas et dans les conditions prévues par la loi, les informations figurant dans le fichier.

Toute infraction aux dispositions qui précèdent est punie des peines encourues pour le délit prévu à l'article 226-21 du code pénal.

Code du patrimoine

.....................................................................................................................................................................................

Art. L. 211-4. --  Les archives publiques sont :

a) Les documents qui procèdent de l'activité de l'Etat, des collectivités territoriales, des établissements et entreprises publics ;

b) Les documents qui procèdent de l'activité des organismes de droit privé chargés de la gestion des services publics ou d'une mission de service public ;

c) Les minutes et répertoires des officiers publics ou ministériels.

.....................................................................................................................................................................................

Art. L. 212-4. --  Lorsque les documents mentionnés à l'article L. 211-4 comportent des informations nominatives collectées dans le cadre de traitements automatisés régis par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces informations font l'objet, à l'expiration de la durée prévue à l'article 28 de ladite loi, d'un tri pour déterminer les informations destinées à être conservées et celles, dépourvues d'intérêt scientifique, statistique ou historique, destinées à être détruites.

Les catégories d'informations destinées à la destruction ainsi que les conditions de leur destruction sont fixées par accord entre l'autorité qui les a produites ou reçues et l'administration des archives.

Code de la consommation

.....................................................................................................................................................................................

Art. L. 333-4. --  Il est institué un fichier national recensant les informations sur les incidents de paiement caractérisés liés aux crédits accordés aux personnes physiques pour des besoins non professionnels. Ce fichier est géré par la Banque de France. Il est soumis aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Les établissements de crédit visés par la loi n° 84-46 du 24 janvier 1984 relative à l'activité et au contrôle des établissements de crédit ainsi que les services financiers de La Poste sont tenus de déclarer à la Banque de France les incidents visés à l'alinéa précédent.

Dès que la commission instituée à l'article L. 331-1 est saisie par un débiteur en application du premier alinéa de l'article L. 331-3, elle en informe la Banque de France aux fins d'inscription au fichier institué au premier alinéa du présent article. La même obligation pèse sur le greffe du juge de l'exécution lorsque, sur recours de l'intéressé en application du deuxième alinéa de l'article L. 331-3, la situation visée à l'article L. 331-2 est reconnue par ce juge ou lorsque le débiteur a bénéficié de l'effacement des dettes résultant de la procédure de rétablissement personnel en application de l'article L. 332-9.

Le fichier recense les mesures du plan conventionnel de redressement mentionnées à l'article L. 331-6. Ces mesures sont communiquées à la Banque de France par la commission. L'inscription est conservée pendant toute la durée de l'exécution du plan conventionnel, sans pouvoir excéder dix ans.

Le fichier recense également les mesures prises en vertu des articles L. 331-7 et L. 331-7-1 qui sont communiquées à la Banque de France par le greffe du juge de l'exécution. S'agissant des mesures définies à l'article L. 331-7 et au premier alinéa de l'article L. 331-7-1, l'inscription est conservée pendant toute la durée d'exécution de ces mesures, sans pouvoir excéder dix ans. S'agissant des mesures définies au troisième alinéa de l'article L. 331-7-1, la durée d'inscription est fixée à dix ans.

La Banque de France est seule habilitée à centraliser les informations visées à l'alinéa précédent.

Les organismes professionnels ou organes centraux représentant les établissements visés au deuxième alinéa sont seuls autorisés à tenir des fichiers recensant des incidents de paiement.

La Banque de France est déliée du secret professionnel pour la diffusion, aux établissements de crédit et aux services financiers susvisés, des informations nominatives contenues dans le fichier.

Il est interdit à la Banque de France, aux établissements de crédit et aux services financiers de La Poste de remettre à quiconque copie, sous quelque forme que ce soit, des informations contenues dans le fichier, même à l'intéressé lorsqu'il exerce son droit d'accès conformément à l'article 35 de la loi n° 78-17 du 6 janvier 1978 précitée, sous peine des sanctions prévues aux articles 43 et 44 de la même loi.

Nouveau code de procédure civile

.....................................................................................................................................................................................

Art. 493. --  L'ordonnance sur requête est une décision provisoire rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse.

Art. 494. --  La requête est présentée en double exemplaire. Elle doit être motivée . Elle doit comporter l'indication précise des pièces invoquées.

Si elle est présentée à l'occasion d'une instance, elle doit indiquer la juridiction saisie.

En cas d'urgence, la requête peut être présentée au domicile du juge.

Art.495. --  L'ordonnance sur requête est motivée.

Elle est exécutoire au seul vu de la minute.

Copie de la requête et de l'ordonnance est laissée à la personne à laquelle elle est opposée.

Art. 496. --  S'il n'est pas fait droit à la requête, appel peut être interjeté à moins que l'ordonnance n'émane du premier président de la cour d'appel. Le délai d'appel est de quinze jours. L'appel est formé, instruit et jugé comme en matière gracieuse.

S'il est fait droit à la requête, tout intéressé peut en référer au juge qui a rendu l'ordonnance.

Art. 497. --  Le juge a la faculté de modifier ou de rétracter son ordonnance, même si le juge du fond est saisi de l'affaire.

Art. 498. --  Le double de l'ordonnance est conservé au secrétariat.

Code pénal

.....................................................................................................................................................................................

Art. 226-13. --  La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende.

Code de la propriété intellectuelle

.....................................................................................................................................................................................

Art . L. 321-1. --  Les sociétés de perception et de répartition des droits d'auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes sont constituées sous forme de sociétés civiles.

Les associés doivent être des auteurs, des artistes-interprètes, des producteurs de phonogrammes ou de vidéogrammes, des éditeurs, ou leurs ayants droit. Ces sociétés civiles régulièrement constituées ont qualité pour ester en justice pour la défense des droits dont elles ont statutairement la charge.

Les actions en paiement des droits perçus par ces sociétés civiles se prescrivent par dix ans à compter de la date de leur perception, ce délai étant suspendu jusqu'à la date de leur mise en répartition.

.....................................................................................................................................................................................

Art. L. 331-1. --  Toutes les contestations relatives à l'application des dispositions de la première partie du présent code qui relèvent des juridictions de l'ordre judiciaire sont portées devant les tribunaux compétents, sans préjudice du droit pour la partie lésée de se pourvoir devant la juridiction répressive dans les termes du droit commun.

Les organismes de défense professionnelle régulièrement constitués ont qualité pour ester en justice pour la défense des intérêts dont ils ont statutairement la charge.

Loi n° 2003-239 pour la sécurité intérieure

.....................................................................................................................................................................................

Art. 24. --  Les données contenues dans les traitements automatisés de données personnelles gérés par les services de police et de gendarmerie nationales peuvent être transmises à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers qui présentent, pour la protection des données personnelles, des garanties équivalentes à celles du droit interne, dans le cadre des engagements internationaux régulièrement introduits dans l'ordre juridique interne. Les services de police et de gendarmerie nationales peuvent recevoir des données contenues dans les traitements gérés par les organismes de coopération internationale en matière de police judiciaire ou les services de police étrangers dans le cadre des engagements prévus au présent article.