M. le président. Quel est l’avis du Gouvernement ?
M. le président. Monsieur Durain, l’amendement n° 126 rectifié est-il maintenu ?
M. Jérôme Durain. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 126 rectifié est retiré.
Je suis saisi de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 125, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 8, seconde phrase
Rédiger ainsi cette phrase :
Seul un médecin peut requérir la communication de données médicales individuelles incluses dans cette catégorie de traitement.
La parole est à M. Jérôme Durain.
M. Jérôme Durain. L’article 4 du projet de loi qui concerne les moyens de contrôle des agents de la CNIL reprend les règles spécifiques qui encadrent actuellement la communication des données médicales relevant de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé, réalisée dans le cadre de ce contrôle.
Toutefois, il prévoit que la communication de ces données médicales ne pourra plus être requise obligatoirement par un médecin, comme le prévoit le droit en vigueur, mais sous son autorité et en sa présence.
Cet assouplissement de la procédure de requête représente un recul par rapport au droit existant. Compte tenu de la nature même des données médicales qui leur confère une sensibilité particulière, il convient de laisser le médecin jouer le premier rôle et de s’assurer de son autonomie de jugement.
M. le président. L’amendement n° 19 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :
Alinéa 8, seconde phrase
Compléter cette phrase par les mots :
après information préalable du patient
La parole est à M. Alain Marc.
M. Alain Marc. Cet amendement a pour objet de préciser que la communication de données médicales individuelles traitées dans le cadre de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ne peut se faire qu’après information préalable du patient.
Il vise ainsi à respecter le principe de transparence à l’égard des personnes concernées, lequel régit l’ensemble du règlement 2016/679.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. L’amendement n° 125 tend à prévoir que seul un médecin peut requérir la communication de données médicales individuelles lors d’un contrôle de la CNIL.
Le texte du projet de loi est légèrement moins strict : il prévoit dans un tel cas que la communication des données ne pourra désormais se faire que « sous l’autorité et en présence d’un médecin ». Comme le précise l’avis du Conseil d’État, qui est à l’origine de la rédaction retenue, « l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas nécessairement lui-même les opérations informatiques, mais adressera toutes les instructions nécessaires à l’agent pour que ne soit pas violé le secret médical ».
Les garanties déjà prévues dans le texte de la commission me semblent importantes, car elles concilient à la fois l’exigence de préservation du secret médical et la nécessaire efficacité opérationnelle des contrôles de la CNIL.
C’est pourquoi je demande le retrait de l’amendement.
L’amendement n° 19 rectifié bis, quant à lui, vise à soumettre la levée du secret médical lors de contrôles de la CNIL portant sur des données médicales individuelles à l’information préalable obligatoire de chaque patient. La commission demande le retrait de cet amendement, mais je dois avouer qu’à titre personnel, je préférerais m’en remettre à la sagesse du Sénat.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Le Gouvernement demande également le retrait de l’amendement n° 125, faute de quoi il y sera défavorable.
Je ne reprendrai pas l’objet de l’amendement, puisqu’il vient d’être exposé. Il me semble que cet amendement, loin d’être davantage protecteur pour la personne concernée, laquelle peut d’ailleurs être à l’origine du contrôle, maintiendrait les difficultés procédurales relevées par la CNIL, alors même que l’accroissement de ses missions nécessite – nous l’avons dit à plusieurs reprises – d’en optimiser les ressources.
C’est la raison pour laquelle le Gouvernement a souhaité modifier le régime procédural en prévoyant désormais que la communication des données médicales individuelles ne pourra se faire que sous l’autorité et en présence d’un médecin. Cette rédaction issue de l’examen du projet de loi au Conseil d’État signifie que l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas nécessairement lui-même les opérations informatiques, mais qui adressera toutes les instructions nécessaires à l’agent pour que le secret médical ne soit pas violé.
Le Gouvernement est également défavorable à l’amendement n° 19 rectifié bis présenté par le sénateur Alain Marc. Sa proposition conditionnerait les pouvoirs de contrôle de la CNIL à la capacité d’informer la personne concernée, ce qui peut se révéler trop lourd, voire impossible à mettre en œuvre dans le cadre du déroulement des contrôles, à la fois dans le temps et dans la forme, ou bien dans certains cas comme, par exemple, lorsque la personne est dans l’incapacité au regard de son état de santé de recevoir l’information.
En pratique, cet amendement permettrait de surcroît aux personnes concernées de se voir communiquer une information sur les contrôles menés par la CNIL, alors même que de nombreuses organisations et entreprises souhaitent que la confidentialité des contrôles soit préservée avant qu’une sanction ne soit prise.
M. le président. L’amendement n° 83, présenté par le Gouvernement, est ainsi libellé :
Après l’alinéa 10
Insérer un alinéa ainsi rédigé :
« Les membres et agents mentionnés au premier alinéa du I du présent article peuvent, à la demande du président de la commission, être assistés par des experts. » ;
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Cet amendement vise à réintroduire la possibilité pour les membres et les agents de la CNIL de faire appel à des experts dans le cadre de leurs opérations de contrôle. Il s’agit de rétablir une possibilité déjà prévue par les dispositions de l’article 44 de la loi de 1978 qui ont été supprimées par erreur. Cette faculté est utilisée par la CNIL, par exemple, lorsque celle-ci s’associe avec l’Autorité de régulation des jeux en ligne pour contrôler les opérateurs de jeux en ligne.
L’adoption du présent amendement offrirait l’occasion d’élargir le recours aux experts en supprimant la condition imposant leur désignation préalable par une autorité. Cela permettra ainsi à la CNIL de faire appel à des experts ne relevant pas nécessairement d’une autorité, tels que ceux qui sont inscrits sur une liste d’experts judiciaires. Un tel assouplissement existe déjà pour d’autres autorités administratives indépendantes : c’est notamment le cas pour l’Autorité des marchés financiers, l’Autorité de la concurrence ou encore l’Autorité de régulation des communications électroniques et des postes.
L’article 55 du règlement intérieur de la CNIL précise d’ores et déjà les modalités de recours aux experts. Conformément à l’article 13 de la loi du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, celui-ci déterminera également les règles déontologiques applicables à ces experts.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Avis favorable.
M. le président. L’amendement n° 127 rectifié, présenté par M. Durain, Mme S. Robert, MM. Sutour, Sueur, Kanner, Assouline et les membres du groupe socialiste et républicain, est ainsi libellé :
Après l’alinéa 10
Insérer deux alinéas ainsi rédigés :
…° Le IV est complété par un alinéa ainsi rédigé :
« Lorsque les traitements mentionnés au premier alinéa du présent IV ne sont pas soumis aux dispositions du présent article, la conformité de ces traitements est contrôlée, en coopération avec la Commission nationale de contrôle des techniques de renseignement, par un ou plusieurs membres de la Commission nationale de l’informatique et des libertés désignés par le président parmi les membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes. Le contrôle est effectué dans des conditions permettant d’en assurer la confidentialité. Les conclusions du contrôle sont remises au seul ministre compétent. Les conditions de mise en œuvre de cette procédure sont précisées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. » ;
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Il s’agit de l’un des premiers amendements qui traitent de la question du renseignement.
Dans une démocratie avancée et responsable, le contrôle de l’activité des services de renseignement et notamment des fichiers qu’ils produisent, qu’il s’agisse de l’usage des techniques de renseignement ou de leur résultat en termes de données collectées et traitées, répond à une exigence légitime pour tous ceux qui sont attachés au respect des droits de l’homme.
Bien que ces fichiers ne soient soumis ni au RGPD ni à la directive que le présent projet de loi entend transposer, les modalités de leur contrôle présentent un lien direct avec le texte que nous examinons, dès lors que l’article 4 du projet de loi modifie l’article 44 de la loi de 1978 dont le IV prévoit, en l’état actuel du droit, que les pouvoirs de contrôle général des fichiers reconnus à la CNIL ne s’appliquent pas à certains traitements intéressant la sûreté de l’État.
En conséquence, pour un certain nombre de fichiers considérés comme stratégiques, la possibilité pour la CNIL d’opérer un contrôle a posteriori sur pièce et sur place, plein et entier, est exclue à ce jour.
Certes, il s’agit de données sensibles au sens où elles intéressent directement la sûreté de l’État, la défense et la sécurité publique. D’ailleurs, elles bénéficient déjà à ce titre d’un régime largement dérogatoire et tout à fait justifié.
Par ailleurs, des garde-fous ont été institués par la loi du 24 juillet 2015 relative au renseignement. La Commission nationale de contrôle des techniques de renseignement, la CNCTR, autorité administrative indépendante, est appelée à émettre un avis préalablement à la mise en œuvre d’une technique de renseignement susceptible d’alimenter ces fichiers. Celle-ci procède également à des contrôles a posteriori.
Toutefois, la CNCTR ne s’occupe que des techniques par le biais desquelles les fichiers sont alimentés et n’exerce son contrôle qu’au regard du cadre juridique rigoureux élaboré par le législateur dans le cadre de la loi du 24 juillet 2015. Telle est sa mission et c’est déjà beaucoup ! En revanche, la CNCTR n’est pas compétente pour juger du respect de la protection des données personnelles dans le champ de la loi du 6 janvier 1978.
Actuellement, il existe bien un vide juridique, dans la mesure où aucun contrôle a posteriori de ces fichiers, qui permettrait de garantir leur mise en œuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis, n’est prévu.
L’adoption de cet amendement contribuera à accroître la confiance des citoyens dans l’action des services de renseignement, à diffuser et conforter la culture du renseignement que nous souhaitons promouvoir avec force et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. L’avis de la commission est défavorable, même si je comprends très bien l’intention de mes collègues sur le sujet.
L’amendement vise à renforcer des contrôles de la CNIL et de la CNCTR sur les fichiers de renseignement des services spécialisés. Néanmoins, au regard de leur sensibilité, ces fichiers ne peuvent justement pas faire l’objet d’un tel contrôle de la part de la CNIL. En outre, ce contrôle ne ferait qu’affaiblir nos services de renseignement et risquerait de dissuader nos partenaires de nous transmettre des informations.
J’ajoute qu’un amendement similaire avait déjà été déposé lors de l’examen en 2015 du projet de loi relatif au renseignement et que l’Assemblée nationale, dont la majorité était socialiste à l’époque, l’avait rejeté sans difficulté.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Le Gouvernement émettra également un avis défavorable sur cet amendement.
Je crois en effet que son adoption romprait un certain équilibre et vais tenter de vous en expliquer les raisons. Je serai peut-être un peu longue à ce propos, et à ce propos seul, parce qu’il s’agit d’un point important.
Comme vous le savez, les fichiers de renseignement constituent un sous-ensemble des fichiers dits « de souveraineté », qui intéressent la sûreté de l’État, la défense et la sécurité publique, et qui sont mentionnés à l’article 26 de la loi Informatique et libertés.
De par la nature même de ces fichiers et les finalités qu’ils servent, certains droits ne sont pas reconnus aux personnes concernées. Le droit d’accès aux données contenues dans ces traitements est ainsi exclu. Néanmoins, toute personne qui s’interroge sur la présence dans ces fichiers de données la concernant peut s’adresser à la CNIL, qui procédera aux vérifications en son lieu et place. C’est ce que l’on appelle le « droit d’accès indirect ».
Les principales caractéristiques de ces fichiers de renseignement – je veux parler des finalités du fichier, du type de données collectées, des destinataires des informations ou de l’absence d’interconnexion – sont définies dans un texte réglementaire, en l’occurrence un décret en Conseil d’État, pris après avis de la CNIL.
Cependant, pour des raisons évidentes de confidentialité, et afin de ne pas mettre en cause leur finalité même, la plupart de ces décrets sont dispensés de publication, comme l’autorise l’article 26 de la loi Informatique et libertés.
Le décret du 15 mai 2007 liste les quatorze fichiers concernés par ces dispositions. La possibilité pour la CNIL d’opérer un contrôle a posteriori sur pièce et sur place, plein et entier, n’est exclue que pour huit de ces quatorze fichiers : il ne s’agit donc que des fichiers de renseignement les plus sensibles et pour lesquels la possibilité d’obtenir copie de tout document ou information et d’examiner l’architecture des outils techniques est exclue, au risque de mettre gravement en cause les modalités d’action des services de renseignement.
Au demeurant, l’accès à ces fichiers au sein des services de renseignement est étroitement encadré par des habilitations précises et le besoin d’en connaître.
Comme je le disais, le dispositif de l’amendement pourrait mettre en cause les modalités d’action des services de renseignement, mais aussi le lien de confiance entre nos services et les services étrangers partenaires. Ce n’est qu’avec l’accord exprès d’un partenaire que l’on peut mettre des informations qu’il a partagées à la disposition d’un tiers.
Les huit fichiers dont je viens de parler relèvent de la DGSE, pour deux d’entre eux, de la DGSI et de la Direction du renseignement militaire, pour deux autres d’entre eux, de la Direction du renseignement et de la sécurité de la défense, ainsi que du service de renseignement de la préfecture de police et de celui des douanes. Si, les concernant, la CNIL ne peut pas effectuer un contrôle plein et entier de droit commun, il n’en demeure pas moins que ces fichiers font déjà l’objet d’une pluralité de contrôles.
Les informations qu’ils contiennent sont bien souvent issues de l’utilisation de techniques de renseignement qui sont très strictement encadrées. Comme vous le savez, monsieur le sénateur, la mise en œuvre d’une technique de renseignement suppose l’autorisation préalable du Premier ministre, prise après avis d’une autorité administrative indépendante, la CNCTR.
Cette commission procède par ailleurs à un second contrôle une fois la technique de renseignement mise en œuvre, afin de s’assurer du respect des conditions posées par l’autorisation. Ce contrôle a posteriori est réalisé pour chaque service deux à trois fois par mois de manière très approfondie. Il se double d’ailleurs d’un dialogue très exigeant entre la CNCTR et les services de renseignement sur tout point d’interprétation du cadre juridique rigoureux adopté par le législateur en 2015.
Les renseignements collectés peuvent ensuite être transcrits dans le fichier d’un service de renseignement. Néanmoins, il ne faut pas l’oublier, la création de ce fichier est subordonnée en amont à un examen préalable de la CNIL, puis à celui du Conseil d’État qui, pour autoriser la création par décret de ce traitement, s’assure de la légalité de ses principales caractéristiques, à savoir le type de données recueillies, leurs modalités de conservation et les possibilités de croisement.
Une fois ce fichier créé, et dans le cadre du droit d’accès indirect que j’ai précédemment évoqué, la CNIL se rend trois à quatre fois par an dans chacun des services de renseignement afin de vérifier, au bénéfice des personnes qui la saisissent, que les données détenues le cas échéant par ces services sont nécessaires et respectent les caractéristiques initialement définies dans le texte réglementaire sur lequel la CNIL a donné son avis.
Ce contrôle fait par la suite l’objet de nombreux échanges entre le service de renseignement concerné et la CNIL afin, le cas échéant, de procéder à la rectification ou à l’effacement des données qui ne seraient pas pertinentes.
Enfin, une personne qui pense être connue d’un service de renseignement peut, sans autre condition préalable que le soupçon qui l’habite, saisir une formation spécialisée du Conseil d’État habilitée au secret de la défense nationale, afin d’obtenir l’effacement des données la concernant si celles-ci sont irrégulièrement détenues par les services de renseignement. À l’occasion de ce recours, la CNIL intervient systématiquement et produit les éléments qu’elle a recueillis lors de l’exercice du droit d’accès indirect.
Il me semble que cette pluralité de contrôles répond à une logique propre, qui a été définie à l’occasion de l’adoption de la loi de 2015 relative au renseignement. À ce titre, la CNCTR est compétente pour contrôler le recueil des données brutes de renseignement, c’est-à-dire celles qui seront saisies à l’occasion de l’utilisation d’une technique de renseignement.
La CNIL, quant à elle, est compétente pour contrôler les conditions dans lesquelles les données recueillies sont conservées et, surtout, les conditions dans lesquelles celles-ci sont exploitées dans un fichier.
Cette ligne de partage voulue par le législateur est essentielle, puisque les activités des services de renseignement ne sont pas les mêmes. Si les membres et les agents de la CNCTR, comme ceux de la CNIL, sont habilités au secret de la défense nationale, le principe du cloisonnement en matière de renseignement, qui s’applique au fonctionnement quotidien des services comme aux relations avec nos partenaires étrangers, explique l’équilibre qui a été trouvé, un équilibre qui concilie à la fois la protection des libertés, notamment le droit au respect de la vie privée, et les exigences liées à la préservation des intérêts fondamentaux de la Nation.
C’est parce qu’il me semble que la proposition que vous faites, monsieur le sénateur, modifie cet équilibre que j’émets un avis défavorable sur votre amendement.
M. le président. La parole est à M. Jérôme Durain, pour explication de vote.
M. Jérôme Durain. Devant l’exhaustivité de la réponse de Mme la ministre, je retire mon amendement, monsieur le président.
M. le président. L’amendement n° 127 rectifié est retiré.
L’amendement n° 35, présenté par Mme M. Carrère, est ainsi libellé :
Alinéa 12
Compléter cet alinéa par une phrase ainsi rédigée :
L’accès aux données utilisées lors d’opérations de traitement sans lien avec l’exercice de la fonction juridictionnelle ne peut alors se faire que sous l’autorité et en présence d’un magistrat.
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. L’article 4 du projet de loi précise les conditions dans lesquelles les agents de la CNIL sont autorisés à contrôler les traitements de données réalisés par les juridictions, sans lien avec leur fonction juridictionnelle.
S’agissant des contrôles des traitements de données médicales stockées par les médecins, qui sont mentionnés au même article du projet de loi, le texte introduit une garantie supplémentaire, à savoir la présence d’un médecin lors des contrôles ainsi conduits par la CNIL, afin de préserver le secret médical.
Nous considérons que le secret de l’instruction devrait également être protégé dans des conditions comparables. C’est pourquoi nous proposons, par mimétisme avec le dispositif que je viens d’évoquer, que les contrôles des agents de la CNIL se fassent en présence et sous l’autorité d’un magistrat. Cela permettrait de s’assurer que ces contrôles ne concernent que le traitement des données, sans lien avec la fonction juridictionnelle. Il importe d’anticiper tous les détournements du pouvoir de contrôle qui pourraient survenir.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission demande le retrait de l’amendement. Son auteur prévoit que les contrôles effectués par la CNIL au sein des juridictions se fassent désormais sous l’autorité et en présence d’un magistrat.
La rédaction du dispositif de l’amendement est un peu ambiguë. Il n’est pas précisé si le magistrat ainsi chargé du contrôle sera membre de la CNIL ou bien de la juridiction concernée par le contrôle. Dans le premier cas, cela pourrait occasionner des difficultés opérationnelles, car la CNIL devrait alors spécialement recruter des magistrats à cette fin ; dans le second cas, on voit mal la CNIL conduire un contrôle sous l’autorité d’une personne appartenant à l’organisme contrôlé.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. La parole est à M. Jean-Claude Requier, pour explication de vote.
M. Jean-Claude Requier. Je souhaite apporter une précision, monsieur le président.
Vous vous êtes sans doute aperçus, mes chers collègues, que les amendements du groupe du RDSE sont tous présentés par notre collègue Maryse Carrère. Notre groupe, dans sa diversité, sa variété et sa liberté, avait pourtant unanimement décidé de les soutenir. Simplement, nous avons connu un bug informatique qui nous a empêchés de les cosigner ! Seule notre collègue est donc en mesure de les défendre en séance publique.
Les membres de mon groupe sont bien sûr attachés à la protection des données personnelles et des libertés. C’est pourquoi ils tiennent tant à afficher leurs opinions et leurs convictions en séance publique et, évidemment, à s’exprimer au travers de leurs votes ! (M. Joël Labbé applaudit.)
M. le président. Madame Carrère, l’amendement n° 35 est-il maintenu ?
Mme Maryse Carrère. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 35 est retiré.
Je mets aux voix l’article 4, modifié.
(L’article 4 est adopté.)
Article 5 (réservé)
M. le président. Mes chers collègues, je vous rappelle que l’examen de l’article 5 est réservé jusqu’à la fin de l’examen de l’article 6, pour des raisons de coordination.
Article 6
I. – La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° L’intitulé du chapitre VII est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission nationale de l’informatique et des libertés » ;
2° L’article 45 est ainsi rédigé :
« Art. 45. – I. – Le président de la Commission nationale de l’informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.
« II. – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l’ordre ;
« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;
« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;
« 4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
« 6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;
« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % du chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.
« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement.
« III. – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut prononcer à son égard une mise en demeure, dans le délai qu’il fixe :
« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;
« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
« 4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.
« Dans le cas prévu au 4° du présent III, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.
« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence.
« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité. » ;
3° L’article 46 est ainsi rédigé :
« Art. 46. – I. – Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’État, adopter l’une des mesures suivantes :
« 1° L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;
« 2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du même chapitre XIII lorsqu’ils sont mis en œuvre pour le compte de l’État ;
« 3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;
« 4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;
« 5° La suspension provisoire de l’autorisation délivrée sur le fondement du III de l’article 54 de la présente loi ;
« 6° L’injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;
« 7° Un rappel à l’ordre ;
« 8° L’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.
« II. – En cas de circonstances exceptionnelles prévues au 1 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la Commission européenne.
« Lorsque la formation restreinte a pris de telles mesures et qu’elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l’article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« III. – Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsqu’une autorité de contrôle compétente en application du même règlement n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l’article 66 dudit règlement.
« IV. – En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés. » ;
4° L’article 47 est ainsi rédigé :
« Art. 47. – Les mesures prévues au II de l’article 45 et aux 1° à 7° du I de l’article 46 sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle-ci.
« La formation restreinte peut rendre publiques les mesures qu’elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne, aux frais des personnes sanctionnées.
« Sans préjudice des obligations d’information qui incombent au responsable de traitement ou à son sous-traitant en application de l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.
« Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.
« L’astreinte est liquidée par la formation restreinte qui en fixe le montant définitif.
« Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.
« Leur produit est destiné à financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous-traitants, afin qu’ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;
5° L’article 48 est ainsi rédigé :
« Art. 48. – Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de l’agrément qui a été délivré à cet organisme. »
II (nouveau). – Au deuxième alinéa de l’article 226-16 du code pénal, la référence : « I » est remplacée par la référence : « II ». Cet alinéa demeure applicable, dans sa rédaction résultant de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, aux faits commis avant la date d’entrée en vigueur du présent article pour lesquels l’action publique avait été valablement exercée avant cette même date.