Allez au contenu, Allez à la navigation

Séance du 21 mars 2018 (compte rendu intégral des débats)

M. le président. L’amendement n° 12 rectifié, présenté par Mme Delmont-Koropoulis, MM. Raison, Perrin, Wattebled et Longeot, Mme Deromedi, MM. Meurant, Henno et Bascher, Mmes Gruny et Chauvin, M. H. Leroy, Mmes Eustache-Brinio et Garriaud-Maylam, MM. Lefèvre, Chaize et Panunzi, Mmes Imbert et M. Mercier, MM. Chasseing, Canevet, Danesi, Charon, Milon et Gremillet, Mme Lanfranchi Dorgal, M. Savary, Mmes Lamure et Renaud-Garabedian, M. Maurey, Mme Billon, MM. Bonhomme et Duplomb, Mme A.M. Bertrand, M. Leleux, Mme Deroche et MM. Savin, Laménie, Bonne et Mizzon, est ainsi libellé :

Alinéa 9

Compléter cet alinéa par les mots :

ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques

La parole est à Mme Annie Delmont-Koropoulis.

Mme Annie Delmont-Koropoulis. Cet amendement vise à circonscrire le traitement des données de santé par les organismes complémentaires aux seules fins de remboursement des soins.

L’encadrement de la protection des données de santé souffrait jusqu’à présent d’un relatif vide juridique. Aussi le législateur européen a-t-il tenu à les doter d’une définition précise, inscrite à l’article 4 du RGPD.

Nous savons que toutes les informations concernant un patient sont enregistrées puis stockées dans une base appelée système national d’information interrégimes de l’assurance maladie, ou SNIIRAM.

Chaque année, pas moins de 1,2 milliard de feuilles de soins, de 500 millions d’actes médicaux et de 11 millions de séjours hospitaliers y sont enregistrés, faisant de cette base un véritable trésor pour les organismes qui y accéderont.

C’est en effet l’une des plus grandes bases de données médico-administratives au monde, qui comprend en réalité deux catégories de données : les données agrégées, traitées afin d’obtenir des informations anonymes, les jeux de données étant rendus disponibles par l’assurance maladie, d’une part ; les données à caractère personnel dites sensibles et nominatives, d’autre part. La faille du principe général d’anonymisation des données de santé réside dans le fait que l’on peut, en croisant ces deux types de données, identifier une personne.

Or le texte que nous étudions aujourd’hui prévoit d’ouvrir aux organismes d’assurance maladie complémentaire privés un accès automatique aux données de santé à caractère personnel issues de la facturation des soins sans avoir à recueillir à chaque fois un accord préalable.

Il existe déjà dans notre droit certains garde-fous contre les dérives qui pourraient découler d’un traitement des données par ces organismes, s’agissant plus particulièrement des majorations qui pourraient être appliquées sur les contrats en fonction de l’état de santé et des données de santé évolutives.

Mes chers collègues, le présent amendement vise à renforcer ces garde-fous afin d’empêcher tout contournement de la loi, par une interdiction explicite de fixation des prix des assurances ainsi que d’utilisation de ces données à des fins de choix thérapeutique ou médical.

Il s’agit d’écarter tout risque d’exploitation mercantile de ces éléments essentiels que constituent les données de santé, afin de renforcer la protection de la vie privée, reconnue comme un principe fondamental du droit. C’est de cela qu’il est question, rien de plus, rien de moins.

Notre système de protection sociale est précieux et rare ; nous devons en prévenir les défaillances, et non amortir sa chute.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Avis favorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Avis défavorable, pour deux raisons.

En premier lieu, il nous semble que cet amendement n’a pas sa place à l’alinéa 9 de l’article 13, qui vise uniquement à exclure certains traitements du champ d’application du chapitre 9 de la loi Informatique et libertés, relatif aux traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie, ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaires.

En second lieu, il nous semble qu’il existe déjà des garde-fous permettant d’écarter les risques invoqués. Quant au libre choix par le patient de son médecin et de ses choix thérapeutiques ou médicaux, des dispositions législatives du code de la santé et du code de la sécurité sociale protègent ces droits des patients. En ce qui concerne la sélection des risques, d’autres dispositions permettent d’éviter les dérives. Elles figurent notamment dans les codes des assurances et de la mutualité et portent en particulier sur les conditions d’exclusion et de modulation des cotisations encadrées.

M. le président. La parole est à M. René-Paul Savary, pour explication de vote.

M. René-Paul Savary. J’ai cosigné cet amendement parce que, en tant que médecin, je pense qu’il faut vraiment aller plus loin en matière de protection des données personnelles.

On le sait, il est possible d’identifier les patients atteints de pathologies particulières par le biais du SNIIRAM ou par celui de la part complémentaire remboursée par une mutuelle ou tout autre organisme assurantiel ou de prévoyance. Le risque est de voir se développer une médecine à bas coût dispensée par des réseaux qui cibleraient les patients en s’appuyant sur ces données.

On ne prendra jamais suffisamment de précautions en matière de protection des données personnelles de santé, s’agissant notamment des choix thérapeutiques et médicaux, car leur utilisation peut aller à l’encontre des intérêts des patients.

Je remercie la commission d’avoir donné un avis favorable à cet amendement, dont l’adoption apportera une garantie supplémentaire en termes de respect de la confidentialité de ces données.

M. le président. Je mets aux voix l’amendement n° 12 rectifié.

(Lamendement est adopté.) – (Applaudissements sur des travées du groupe Les Républicains.)

M. le président. L’amendement n° 21 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Alinéa 33

Compléter cet alinéa par une phrase ainsi rédigée :

Le responsable de traitement transmet au mineur les informations mentionnées au I de l’article 32 de la présente loi dans un langage clair et facilement accessible.

La parole est à M. Jean-Pierre Decool.

M. Jean-Pierre Decool. Cet amendement vise à intégrer dans la loi une obligation de langage clair et facilement accessible lorsque l’administration s’adresse à un mineur âgé de quinze ans ou plus. Il est essentiel qu’un mineur choisissant d’échanger seul avec l’administration puisse avoir avec celle-ci un dialogue franc et compréhensible.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Cet amendement vise à imposer aux responsables de traitements des données de santé de dispenser, dans un langage clair et facilement accessible, les informations délivrées à un mineur exerçant seul ses droits : il est satisfait.

Le RGPD prévoit déjà, de façon générale, d’informer de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » les personnes exerçant leurs droits. Il crée en outre une obligation d’adapter « toute information destinée spécifiquement à un enfant ».

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Je souhaite le retrait de cet amendement ; à défaut, l’avis sera défavorable.

M. le président. Monsieur Decool, l’amendement n° 21 rectifié bis est-il maintenu ?

M. Jean-Pierre Decool. Eu égard aux explications qui m’ont été données par Mme la rapporteur, je le retire, monsieur le président.

M. le président. L’amendement n° 21 rectifié bis est retiré.

L’amendement n° 49, présenté par MM. de Belenet, Patriat et les membres du groupe La République En Marche, est ainsi libellé :

Alinéa 42, première phrase

Après les mots :

le consentement éclairé

insérer les mots :

, libre, spécifique, univoque

La parole est à M. Arnaud de Belenet.

M. Arnaud de Belenet. Cet amendement vise à apporter une précision rédactionnelle.

Les conditions légales du consentement sont définies, dans le règlement européen et dans la directive, comme la manifestation de volonté libre, spécifique, éclairée et univoque. Par conséquent, il conviendrait d’ajouter, à l’alinéa 42 de l’article 13, après les mots : « le consentement éclairé », les termes : « libre, spécifique, univoque ».

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Nous demandons le retrait de cet amendement, car les conditions de recueil du consentement sont déjà intégralement régies, de manière générale et transversale, par l’article 7 du règlement général sur la protection des données.

En outre, le règlement étant d’application directe, selon une jurisprudence constante de la Cour de justice de l’Union européenne, il est non seulement inutile, mais interdit, d’introduire dans le droit national des dispositions redondantes ou divergentes.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement est favorable à cet amendement, qui vise à rétablir le visa de l’ensemble des conditions du consentement. Il s’agit là d’une précision utile.

M. le président. Je mets aux voix l’amendement n° 49.

(Lamendement nest pas adopté.)

M. le président. L’amendement n° 117, présenté par le Gouvernement, est ainsi libellé :

Après l’alinéa 46

Insérer douze alinéas ainsi rédigés :

« Art. 64 – Dans le respect des missions et pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation et sur les systèmes composant le système national des données de santé.

« Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale de l’assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l’Institut national des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, peut y assister en tant qu’observateur.

« Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.

« Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

« Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.

« Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.

« Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.

« Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.

« Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique.

« En cas d’urgence, le directeur général de la Caisse nationale d’assurance maladie peut suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’il dispose d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la Commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.

« Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement, ainsi que les modalités de l’audit.

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Par cet amendement, le Gouvernement propose d’instituer un comité d’audit du système national des données de santé – le SNDS –, qui serait chargé de faire réaliser des audits sur l’ensemble des systèmes portant sur des données issues du SNDS ou qui le composent, dans le respect des missions et des pouvoirs de la CNIL.

Le SNDS, qui a été créé par la loi du 26 janvier 2016 de modernisation de notre système de santé, regroupe les principales bases de données de santé publique qui existent. Il vise à améliorer les connaissances relatives à la prise en charge médicale et à l’élargissement du champ des recherches, des études et évaluations dans le domaine de la santé. Les systèmes qui portent sur les données issues du SNDS ou composant celui-ci représentent à ce jour près de 300 bases.

En l’état actuel de la législation, la CNIL est la seule autorité de contrôle de ces bases. Au regard des enjeux en termes de sécurité liés à ces données, notre objectif est de développer une politique d’audit pilotée par l’État, en complément des pouvoirs de la CNIL, notamment en amont, afin de sécuriser le processus de mise à disposition des données de santé.

La mise en place d’une politique d’audit propre aux traitements réalisés avec des données du SNDS participe, me semble-t-il, directement de la crédibilité de l’ensemble du dispositif. Ces opérations d’audit ne sont que la juste contrepartie de l’ouverture de l’accès à des données sensibles. Elles doivent permettre de garantir le bon usage et la sécurité de ces données, en vérifiant, notamment, que la réglementation est respectée, que la finalité des traitements est conforme à ce qui a été annoncé et que le référentiel de sécurité est appliqué.

Pour ce faire, dans le cadre de la gouvernance du SNDS, le comité stratégique « données de santé » a décidé la création d’un comité d’audit piloté par le haut fonctionnaire de défense et de sécurité des ministères sociaux, qui sera chargé d’établir un programme d’audit et d’en suivre l’exécution.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Le présent amendement tend à créer un comité d’audit du système national des données de santé et à autoriser, en cas d’urgence, le directeur de la CNAMTS, la Caisse nationale de l’assurance maladie des travailleurs salariés, à suspendre temporairement l’accès au SNDS.

Dans la mesure où les compétences et les prérogatives de la CNIL sont intégralement préservées, le renforcement de la sécurité par ce dispositif me semble une très bonne chose.

Sur la forme, on me permettra toutefois de déplorer que le Gouvernement ne découvre cette excellente idée que devant la seconde assemblée saisie, qui plus est au stade de l’examen des amendements de séance. J’aurais aimé pouvoir solliciter l’avis de nos collègues de la commission des affaires sociales.

Quoi qu’il en soit, nous émettons un avis de sagesse favorable.

M. le président. La parole est à Mme Nathalie Goulet, pour explication de vote.

Mme Nathalie Goulet. J’estime qu’il s’agit là d’un très bon amendement. Chaque fois que l’on demande des rapports, on nous les refuse ! Dès lors, on ne va pas refuser un audit proposé par le Gouvernement…

M. Loïc Hervé. Excellent !

Mme Nathalie Goulet. Madame la garde des sceaux, l’intitulé et l’objet de votre amendement me font penser à un amendement concernant un audit et un contrôle de l’INSEE que j’avais déposé dans le cadre de l’examen du projet de loi de financement de la sécurité sociale.

Vous le savez, il existe environ 1,8 million de faux numéros INSEE, qui constituent autant de sésames pour accéder à des prestations sociales. Je vous propose donc de mettre en place un tel comité d’audit piloté par le Gouvernement auprès de l’INSEE. En effet, la fraude sociale s’élève à quelque 40 milliards d’euros. On aurait grand intérêt à multiplier ce type d’expériences pour d’autres bases de données, notamment celle de l’INSEE, qui est la base de référence pour l’octroi d’un certain nombre de prestations.

M. le président. Je mets aux voix l’amendement n° 117.

(Lamendement est adopté.)

M. le président. L’amendement n° 93, présenté par le Gouvernement, est ainsi libellé :

Compléter cet article par deux alinéas ainsi rédigés :

…° Après les mots : « de la conférence médicale. », la fin du sixième alinéa de l’article L. 6113-7 du code de la santé publique est ainsi rédigée :

« Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 du présent code peuvent contribuer au traitement des données, sont fixés par décret. »

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement souhaite répondre à un besoin exprimé par les établissements de santé dans leur pratique du codage, afin de leur permettre d’avoir recours à des sociétés prestataires pour traiter les données de santé nécessaires à la prise en charge des patients.

Cet amendement fait suite à un courrier récent de la présidente de la CNIL à ma collègue Agnès Buzyn, ministre des solidarités et de la santé, qui a soulevé l’existence d’un risque juridique, faute de base légale pour permettre à certains professionnels d’accéder aux données de santé des patients.

Le codage est en effet nécessaire au financement de ces établissements par la tarification à l’activité, la T2A. Cette tarification impose à chaque établissement de santé concerné de rendre compte de son activité par une remontée de données quantifiées et standardisées relatives à la prise en charge des patients. Tel est l’objet du programme de médicalisation des systèmes d’information, le PMSI.

Cet amendement vise donc, d’une part, à permettre aux établissements de santé de faire appel en toute sécurité juridique au regard du secret médical à des prestataires de codage des actes de soins dont les établissements ont réellement besoin, et, d’autre part, à permettre aux commissaires aux comptes d’exercer pleinement leur mission en procédant à des vérifications sur un dossier individuel.

L’amendement tend en outre à renvoyer à un décret le soin de préciser les conditions réglementaires dans lesquelles ces prestataires extérieurs pourront accéder aux dossiers médicaux des patients. Son adoption permettra ainsi de sécuriser le recours à ces prestataires extérieurs pour le codage ou l’audit des données PMSI en fixant un cadre juridique de nature à garantir la protection des données de santé à caractère personnel des patients concernés.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Le présent amendement prévoit un dispositif visant à faciliter et à sécuriser le recours aux prestataires extérieurs pour les opérations de codage ou d’audit des établissements de santé soumis à la tarification à l’activité.

Il s’agit d’un sujet très technique. A priori, l’avis est favorable, mais la présentation tardive de cet amendement en séance publique ne permet pas une expertise approfondie. Nous aurions vraiment souhaité pouvoir consulter nos collègues de la commission des affaires sociales.

En conséquence, j’émets un avis de sagesse favorable.

M. le président. La parole est à M. René-Paul Savary, pour explication de vote.

M. René-Paul Savary. Il s’agit d’un sujet très particulier, sur certains aspects duquel travaille d’ailleurs la commission des affaires sociales. On voit bien que des dispositions doivent être prises pour renforcer la protection des données ; cet amendement rejoint celui que notre groupe a présenté précédemment, auquel vous avez donné un avis défavorable, madame la garde des sceaux…

Les enjeux sont importants. Je pense, par exemple, au droit à l’oubli pour les pathologies graves, pour lequel nous nous sommes battus mais qui n’est pas encore forcément appliqué. Les personnes concernées rencontrent des difficultés pour obtenir un prêt bancaire et, quand elles l’obtiennent, elles doivent supporter un taux d’intérêt majoré, même si elles sont guéries. Cela est inacceptable.

C’est la raison pour laquelle il aurait été souhaitable que la commission des affaires sociales puisse mener une discussion approfondie sur ce point. En tant que vice-président de celle-ci, je regrette vraiment qu’elle n’ait pas été saisie pour avis.

M. le président. La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Cet amendement a été rédigé, comme je l’ai dit, pour faire suite à une lettre de la présidente de la CNIL qui nous est parvenue à la fin du mois de janvier. C’est la raison pour laquelle nous ne vous présentons cet amendement que maintenant. Je ne méconnais évidemment pas les propositions que vous pouvez faire à cet égard, monsieur Savary.

M. le président. La parole est à M. le président de la commission des lois.

M. Philippe Bas, président de la commission des lois. Je voudrais simplement préciser à mon collègue Savary que nous avons proposé à la commission des affaires sociales de lui déléguer cet article ou de s’en saisir pour avis. Or elle n’a pas souhaité le faire. Je tenais à le dire, parce que je souhaite que nous entretenions entre commissions les rapports de travail les plus coopératifs possible.

M. René-Paul Savary. Très bien, je l’ignorais !

M. le président. Je mets aux voix l’amendement n° 93.

(Lamendement est adopté.)

M. le président. Je mets aux voix l’article 13, modifié.

(Larticle 13 est adopté.)

Article 13
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article additionnel après l’article 13 bis - Amendement n° 94

Article 13 bis

(Non modifié)

La seconde phrase de l’article L. 312-9 du code de l’éducation est complétée par les mots : « , ainsi qu’aux règles applicables aux traitements de données à caractère personnel ». – (Adopté.)

Article 13 bis
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 14 AA

Article additionnel après l’article 13 bis

M. le président. L’amendement n° 94, présenté par le Gouvernement, est ainsi libellé :

Après l’article 13 bis

Insérer un article additionnel ainsi rédigé :

I. – L’article L. 4123-9-1 du code de la défense est ainsi rédigé :

« Art. L. 4123-9-1. – I. – Le responsable d’un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l’une des finalités du traitement.

« À l’exclusion des traitements mis en œuvre pour le compte de l’État, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l’obligation posée au premier alinéa, la mention de la qualité de militaire.

« Les personnes accédant aux données personnelles de militaires peuvent faire l’objet d’une enquête administrative aux seules fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l’identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l’article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon les règles propres à chacun d’eux.

« Dans l’hypothèse où le ministre compétent considère, sur le fondement de l’enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l’accès aux données personnelles de militaires y figurant.

« II. – Sans préjudice des dispositions du 1 de l’article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai le ministre compétent.

« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les conditions d’application du présent article.

« IV. – Est puni :

« 1° D’un an d’emprisonnement et de 100 000 euros d’amende le manquement, y compris par négligence, à l’obligation prévue au deuxième alinéa du I du présent article ;

« 2° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l’accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

« 3° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »

II. – Dans le délai d’un an suivant l’entrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité d’agent public, lorsque cette mention n’est pas strictement nécessaire à l’une des finalités du traitement.

III. – Le troisième alinéa de l’article 226-16 et le second alinéa de l’article 226-17-1 du code pénal sont supprimés.

IV. – L’article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale est abrogée.

La parole est à Mme la garde des sceaux.