Allez au contenu, Allez à la navigation

Séance du 20 mars 2018 (compte rendu intégral des débats)

M. le président. Je suis saisi de quatre amendements faisant l’objet d’une discussion commune.

L’amendement n° 151, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :

I. - Alinéas 5 à 22

Rédiger ainsi ces alinéas :

« II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

« 4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.

« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence.

« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

« III. – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I ou le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

« 1° Un rappel à l’ordre ;

« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

« 4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

« 6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement. » ;

II. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à Mme le rapporteur.

Mme Sophie Joissains, rapporteur. Le présent amendement vise à rendre l’enchaînement des mesures correctrices dont dispose la CNIL plus lisible en rétablissant un ordre logique dans le fil du texte : tout d’abord, un avertissement en cas de simple risque de manquement, puis une mise en demeure en cas de manquement encore susceptible de faire l’objet d’une mise en conformité et, enfin, une procédure de sanction.

Après avoir consulté la CNIL, qui souhaitait conserver une marge d’appréciation et préserver les dispositifs de coopération avec ses homologues, nous sommes parvenus, avec cet amendement de compromis, à une rédaction respectueuse de la liberté d’action de l’autorité, mais plus pédagogique que celle du texte initial.

M. le président. L’amendement n° 52, présenté par M. L. Hervé, est ainsi libellé :

I. – Alinéa 5

1° Remplacer la mention :

II. –

par la mention :

III. –

2° Remplacer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

par les mots :

également, le cas échéant en complément de la mise en demeure prévue au II du présent article

II. – Alinéa 14

1° Remplacer la mention :

III. –

par la mention :

II. –

2° Après le mot :

peut

insérer les mots :

, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

III. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à M. Loïc Hervé.

M. Loïc Hervé. Mon amendement est satisfait par l’amendement n° 151 que vient de présenter Mme le rapporteur.

Je tiens d’ailleurs à remercier Sophie Joissains de la compréhension dont elle a fait preuve. Elle avait déjà proposé une première amélioration rédactionnelle lors de l’examen du projet de loi en commission la semaine dernière. Aujourd’hui, elle nous soumet une version encore améliorée, qui va permettre de rendre la gradation des sanctions, de la mise en demeure à la sanction en tant que telle, beaucoup plus compréhensible.

Mme la ministre a évoqué tout à l’heure le fait que la loi devait faire œuvre de pédagogie et de clarté. C’est très important, mais encore faut-il que l’autorité administrative indépendante qu’est la CNIL garde une capacité d’appréciation de la sanction qu’elle souhaite prononcer eu égard à la gravité de ce qu’elle découvre. Or, parfois, la mise en demeure n’est pas la solution la plus adaptée, notamment lorsque les faits sont avérés et relèvent du passé.

Je retire mon amendement n° 52 au profit de l’amendement de la commission, qui me paraît plus satisfaisant.

M. le président. L’amendement n° 52 est retiré.

L’amendement n° 84, présenté par le Gouvernement, est ainsi libellé :

I. – Alinéa 5

Supprimer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

II. – Alinéa 14

Après le mot :

peut

insérer le mot :

également

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Je vais procéder comme vient de le faire le sénateur Loïc Hervé en retirant mon amendement n° 84 au profit de celui de la commission. L’objet de ce dernier rejoint en effet le but que le Gouvernement cherche à atteindre.

Cela étant, la mise en demeure prononcée par la CNIL doit demeurer une faculté, me semble-t-il, et ne pas se transformer en une formalité préalable obligatoire. Bien que je garde une préférence pour la rédaction proposée par le Gouvernement, je suis néanmoins prête à me rallier au dispositif de l’amendement n° 151.

Je retire l’amendement, monsieur le président.

M. le président. L’amendement n° 84 est retiré.

L’amendement n° 34, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

Compte tenu des contraintes spécifiques des micro-entreprises et des petites et moyennes entreprises, une amende ne peut être prononcée que lorsque le caractère délibéré de la violation est démontré.

La parole est à Mme Maryse Carrère.

Mme Maryse Carrère. Lors de la discussion générale, nous avons évoqué le coût financier que représente, pour les entreprises, en particulier les petites entreprises, la mise en conformité au RGPD. Contrairement aux grands groupes, l’adaptation à ces nouvelles normes dans les petites structures dépourvues de service juridique interne sera probablement plus laborieuse, sans pour autant que cette phase transitoire représente un risque d’utilisation illicite des données personnelles supérieur au risque actuel.

Par ailleurs, le b du 2 de l’article 83 du RGPD prévoit spécifiquement de tenir compte, pour le prononcé de l’amende, du fait que la violation a été commise délibérément ou par négligence. De ce point de vue, l’introduction d’une présomption de négligence en faveur des petites et moyennes entreprises est conforme à l’esprit de l’article que je viens de citer.

La disposition que nous vous proposons d’adopter représente certes une atténuation du principe d’égalité, mais nous paraît justifiée au regard de la situation particulière dans laquelle se trouvent les petites entreprises dépourvues de services informatique ou juridique suffisants.

M. le président. Quel est l’avis de la commission sur l’amendement n° 34 ?

Mme Sophie Joissains, rapporteur. La rupture d’égalité que créerait cet amendement s’il était adopté est manifeste. En conséquence, je demande à son auteur de bien vouloir le retirer.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Je demande également le retrait de l’amendement, car celui-ci me semble contraire au RGPD.

M. le président. Madame Carrère, l’amendement n° 34 est-il maintenu ?

Mme Maryse Carrère. Non, je le retire, monsieur le président.

M. le président. L’amendement n° 34 est retiré.

Je mets aux voix l’amendement n° 151.

(Lamendement est adopté.)

M. le président. L’amendement n° 85, présenté par le Gouvernement, est ainsi libellé :

Alinéa 44

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Avec cet amendement, le Gouvernement demande la suppression d’une disposition introduite en commission, qui prévoit que le produit des amendes et des astreintes prononcées par la CNIL est destiné à financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous-traitants, afin que ceux-ci se conforment aux obligations en vigueur en matière de protection des données.

Ces sanctions et astreintes seront liquidées par le comptable public et constitueront des créances de l’État. Or, d’une manière générale, je rappelle que la loi organique relative aux lois de finances, la LOLF, en vertu du principe d’universalité budgétaire, n’autorise l’affectation de recettes au sein du budget général de l’État que dans le cadre des procédures prévues en son article 16.

M. Jean-Pierre Sueur. Tout à fait !

Mme Nicole Belloubet, garde des sceaux. Selon cet article, certaines recettes peuvent être directement affectées à certaines dépenses, et ces affectations prennent la forme de budgets annexes. Or, en l’espèce, ces modalités d’affectation ne semblent pas avoir été respectées.

De plus, dans la rédaction établie par la commission, ces produits sont affectés au financement de l’assistance apportée par l’État aux responsables de traitement dans la mise en œuvre de leurs obligations en matière de protection des données. Or une telle mission relève en premier lieu de la CNIL.

L’article 57 du RGPD donne en effet à l’autorité de contrôle, en l’occurrence la CNIL, la mission d’encourager « la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement ».

Cette mission de pédagogie auprès des responsables de traitement me semble donc relever directement du champ de compétences de l’autorité de contrôle. Elle pourra prendre la forme d’une publication de lignes directrices, recommandations, méthodologies de référence ou encore de référentiels destinés à faciliter la mise en conformité.

La proposition reviendrait donc, de manière indirecte, et en vertu de cette mission de la CNIL, à affecter les produits issus des sanctions et astreintes à son budget. Comme je l’indiquais, le principe d’universalité budgétaire s’oppose à une telle affectation ciblée de ressources à la CNIL.

En tant qu’autorité administrative indépendante, cette dernière ne dispose que d’une autonomie de gestion budgétaire. Ses recettes proviennent uniquement des crédits budgétaires qui lui sont affectés par les services du Premier ministre. N’ayant pas la personnalité morale, elle ne peut se voir affecter un prélèvement fiscal.

Rappelons que, selon l’article 36 de la LOLF, l’affectation à un tiers d’une ressource établie au profit de l’État doit résulter d’une disposition de loi de finances. À l’heure actuelle, le produit de l’ensemble des amendes prononcées par les autorités administratives indépendantes est inscrit dans la loi de finances, à la ligne 2503 des recettes du budget de l’État, dont l’intitulé est : « Produits des amendes prononcées par les autres autorités administratives indépendantes ».

Pour l’ensemble de ces raisons, je demande la suppression de l’alinéa 44 de l’article 6.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Il est évidemment défavorable.

Nous entendons les arguments juridiques qui sont les vôtres, madame la garde des sceaux, mais ce sont encore des obligations supplémentaires que l’État fait peser sur les collectivités territoriales, à l’heure où, totalement étranglées, celles-ci ont besoin d’aide et d’assistance.

En ce moment même, elles sont sollicitées par des cabinets d’avocats, qui leur présentent des devis s’élevant à 50 000 euros par an pour une prestation de délégué à la protection des données. Elles ne peuvent pas assumer ce type de dépenses !

Au-delà des arguments juridiques, que nous entendons, et en dépit de cet avis défavorable sur l’amendement, nous vous posons la question : qu’allez-vous faire ? Comment le Gouvernement compte-t-il aider les collectivités à faire face à cette situation ? Quel accompagnement, en particulier, sera proposé par les services des préfectures ?

M. le président. La parole est à M. Jean-Yves Leconte, pour explication de vote.

M. Jean-Yves Leconte. J’ai bien entendu l’argumentation de Mme la ministre. Je me permets néanmoins de rappeler que le Conseil supérieur de l’audiovisuel, le CSA, figure parmi les autorités administratives indépendantes, qu’il dispose d’une autonomie de gestion et qu’il est susceptible de recevoir des ressources propres.

Cet amendement ne va peut-être pas jusqu’au bout de l’évolution de statut qu’il serait judicieux d’envisager pour la CNIL. Si celle-ci était en mesure de se voir affecter des ressources propres, au même titre que le CSA, la proposition formulée serait envisageable.

M. le président. La parole est à M. Arnaud de Belenet, pour explication de vote.

M. Arnaud de Belenet. On ne peut que partager l’analyse de Mme la rapporteur : il faut tenir compte des problématiques des collectivités, notamment des petites communes, s’agissant de leurs moyens financiers, de leurs ressources humaines ou de leurs capacités techniques, et ce même s’il est prévu plus loin que celles-ci puissent bénéficier d’un accompagnement au travers d’une mutualisation ou de l’intervention de syndicats.

Pour autant, il faut aussi entendre l’argumentaire juridique quant au mécanisme de financement proposé. En commission, la semaine dernière, nous avons évoqué le fait que nous n’avions pas encore trouvé une solution, sécurisée sur le plan juridique, permettant aux collectivités de financer la dépense. Il semble que nous ne l’avons toujours pas trouvée !

Même si l’on souscrit à l’objectif, on ne peut pas approuver l’alinéa 44. Par conséquent, il faut voter l’amendement du Gouvernement.

M. le président. La parole est à M. Loïc Hervé, pour explication de vote.

M. Loïc Hervé. L’accompagnement des collectivités locales a été évoqué en discussion générale – j’en ai moi-même parlé et Mme la ministre m’a répondu. Sur cette question, il faut dorénavant aller beaucoup plus loin et beaucoup plus vite !

Il convient d’abord de rappeler un point, puisque nous sommes les représentants des collectivités territoriales, notamment des communes et des maires. Voilà quarante ans que les collectivités locales ont des obligations et que, dans bien des cas – je pense à la situation des communes les plus petites –, ces obligations ne sont pas tout à fait respectées.

Dans le même temps, alors que la période est au bouleversement, que l’on allège la contrainte réglementaire pesant sur les collectivités, en leur demandant de se responsabiliser, au même titre que les entreprises, les associations et tous les autres gestionnaires de données, il faut leur proposer un accompagnement solide sur le terrain.

Comment ? On ne peut ignorer l’argument budgétaire… Dans la fenêtre du RGPD – nous avons évoqué les uns et les autres une prise de conscience – se sont engouffrés tout un tas d’opérateurs privés, prestataires de services, juristes en tous genres, qui proposent des services à un coût très élevé, comme Mme Joissains l’a rappelé.

Mais je vois une autre solution. Si nous voulons être opérationnels, les associations départementales de maires, les syndicats d’électricité, ceux qui interviennent dans le déploiement de la fibre optique, les conseils départementaux, les centres de gestion de la fonction publique territoriale peuvent déjà servir de structure collective apportant un appui aux collectivités locales sur le terrain. S’y ajoutera le bénéfice du concours et de l’expertise des préfets qui, maintenant que leur attention a été attirée sur ce point par Mme la ministre, ont vraiment en tête leurs obligations en matière de sensibilisation des collectivités locales à leur mise en conformité au regard du RGPD.

Alors, affectons des moyens à ces structures, dans le cadre de cette prise de responsabilité collective mutualisée, département par département. En définitive, c’est une bonne idée d’aller chercher l’argent où il est !

Il faut aller plus loin, sans s’arrêter à la seule LOLF ! Je ne peux qu’être en accord avec l’argument juridique avancé par Mme la ministre, mais peut-être la question doit-elle être travaillée, de sorte que des recettes, des sources de financement pérennes puissent être accordées aux collectivités locales. Car, vous en conviendrez, elles auront tout de même du mal à digérer cette dépense nouvelle dans le contexte actuel. (Applaudissements sur les travées du groupe Union Centriste et du groupe Les Républicains.)

M. le président. Je mets aux voix l’amendement n° 85.

(Lamendement nest pas adopté.)

M. le président. L’amendement n° 56 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :

Après l’alinéa 46

Insérer deux alinéas ainsi rédigés :

…° Le premier alinéa de l’article 51 est ainsi rédigé :

« Art. 51 - À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, est puni d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés : ».

La parole est à Mme Christine Lavarde.

Mme Christine Lavarde. Cet amendement vise uniquement à harmoniser le niveau des amendes.

L’article 83 du RGPD punit d’une amende pouvant s’élever jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial, le non-respect des pouvoirs d’enquête de l’autorité de contrôle, c’est-à-dire de la CNIL. L’article 6 que nous examinons tend à harmoniser les sanctions financières prévues à l’article 45 de la loi Informatique et libertés, en fixant leur montant maximal aux mêmes seuils, à savoir 20 millions d’euros et 4 % du chiffre d’affaires.

Or il apparaît qu’une autre amende est prévue à l’article 51 de la loi de 1978, en cas d’entrave à l’action de la CNIL, et que son montant n’a pas été actualisé.

Il s’agit donc, ici, de faire en sorte que les mêmes maxima soient fixés pour l’ensemble des amendes, en cohérence avec les dispositions de l’article 83 du RGPD.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. La commission demande le retrait du présent amendement, qui tend à punir le fait d’entraver l’action de la CNIL d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, de 4 % du chiffre d’affaires annuel mondial. La rédaction choisie crée une sorte de confusion entre les amendes pénales et les sanctions administratives.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Pour les mêmes motifs, c’est-à-dire du fait de la confusion engendrée entre sanctions administratives et amendes pénales, l’avis est défavorable.

M. le président. Je mets aux voix l’amendement n° 56 rectifié.

(Lamendement nest pas adopté.)

M. le président. L’amendement n° 57 rectifié bis, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :

Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : « , ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3° , 4° , 5° ou 6° du II de l’article 45 ou aux 1° , 2° , 3° , 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots : « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «, par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art. 226-23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art. 226-23- – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

La parole est à Mme Christine Lavarde.