Logo : Sénat français

Direction de la séance

Projet de loi

Droit de l'Union européenne - Santé, travail et communications électroniques

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 257 , 256 , 252, 275)

N° 45 rect.

7 février 2011


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

M. DÉTRAIGNE, Mmes ESCOFFIER et MORIN-DESAILLY et M. COINTAT


ARTICLE ADDITIONNEL APRÈS ARTICLE 13 BIS


Après l'article 13 bis, insérer un article additionnel ainsi rédigé :

I. - La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :

1° Le deuxième alinéa de l'article 2 est complété par une phrase ainsi rédigée :

« Tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne est visé par le présent alinéa. » ;

2° Le 1° du I de l'article 13 est complété par les mots : « , de manière à assurer une représentation pluraliste » ;

3° Le dernier alinéa du I de l'article 23 est ainsi rédigé :

« Le demandeur peut mettre en œuvre le traitement dès réception de la preuve du dépôt de la déclaration ; il n'est exonéré d'aucune de ses responsabilités. » ;

4° L'article 70 est ainsi modifié :

a) Au premier alinéa, les mots : « délivre le récépissé avec mention » sont remplacés par les mots : « informe le demandeur » ;

b) À la deuxième phrase du second alinéa, les mots : « délivre le récépissé et » sont supprimés ;

5° Après le chapitre IV, il est inséré un chapitre IV bis ainsi rédigé :

« Chapitre IV bis

« Le correspondant "informatique et libertés"

« Art. 31-1. - Lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre, ladite autorité ou ledit organisme désigne, en son sein ou dans un cadre mutualisé, un correspondant "informatique et libertés". Toute autorité publique ou organisme privé qui ne remplit pas les conditions précédentes peut toutefois désigner un tel correspondant, y compris dans un cadre mutualisé.

« Le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi et d'informer et de conseiller l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme sur l'ensemble des questions de protection des données à caractère personnel.

« Le correspondant bénéficie des qualifications requises pour exercer ces missions. Il tient une liste des traitements effectués, régulièrement mise à jour et immédiatement accessible à toute personne en faisant la demande. Il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il saisit la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. Il établit un rapport annuel d'activité et le transmet à la commission.

« La désignation du correspondant est notifiée à la commission qui peut la refuser s'il ne remplit pas les conditions de compétence visées aux deux alinéas précédents. Cette désignation est portée à la connaissance des instances représentatives du personnel.

« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la commission. »

6° Le III de l'article 22 est ainsi rédigé :

« III. - Les traitements pour lesquels le responsable a désigné un correspondant "informatique et libertés", dont le statut et les missions sont définis à l'article 31-1, sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de l'Union européenne est envisagé. » ;

7° L'article 26 est ainsi rédigé :

« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.

« II. - Sans préjudice des dispositions de l'article 6, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne peuvent être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes : 

« 1° Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;

« 2° Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part, la recherche et l'identification des auteurs de crimes et de délits, d'autre part, la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;

« 3° Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;

« 4° Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;

« 5° Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;

« 6° Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;

« 7° Procéder à des enquêtes administratives liées à la sécurité publique ;

« 8° Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;

« 9° Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;

« 10° Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;

« 11° Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;

« 12° Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.

« III. - Les traitements mentionnés au II sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.

« Ceux des traitements mentionnés aux I ou II qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.

« L'avis de la Commission nationale de l'informatique et des libertés est publié avec l'arrêté ou le décret autorisant le traitement.

« IV. - Dans les traitements mentionnés au 6° du II du présent article, la durée de conservation des données concernant les mineurs est inférieure à celle applicable aux majeurs, sauf à ce que leur enregistrement ait été exclusivement dicté par l'intérêt du mineur. Cette durée est modulée afin de tenir compte de la situation particulière des mineurs et, le cas échéant, en fonction de la nature et de la gravité des atteintes à la sécurité publique commises par eux.

« V. - Certains traitements mentionnés au I peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la Commission nationale de l'informatique et des libertés.

« Les actes réglementaires qui autorisent ces traitements sont portés à la connaissance de la délégation parlementaire au renseignement et de la Commission nationale de l'informatique et des libertés.

« VI. - Lorsque la mise au point technique d'un traitement mentionné aux I ou II nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la Commission nationale de l'informatique et des libertés. Cet arrêté détermine les finalités, la durée et le champ d'application de l'expérimentation.

« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités selon lesquelles la commission est informée de l'évolution technique d'un tel projet de traitement et fait part de ses recommandations au seul responsable de ce projet.

« VII. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité de celui-ci à la description figurant dans l'autorisation. »

8° Au IV de l'article 8, la référence : « II » est remplacée par les références : « deuxième alinéa du III » ;

9° Au III de l'article 27, la référence : « IV » est remplacée par la référence : « VII » ;

10° Au premier alinéa du I de l'article 31, la référence : « III » est remplacée par la référence : « V » ;

11° Au IV de l'article 44, la référence : « III » est remplacée par la référence : « V » ;

12° Aux 1°, 2° et 3° du II de l'article 45, les références : « au I et au II » sont remplacées par les références : « aux I, II et III » ;

13° Au premier alinéa de l'article 49 et au huitième alinéa de l'article 69, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III » ;

14° Le I de l'article 13 est complété par un alinéa ainsi rédigé :

« La commission élit en son sein trois de ses membres, dont deux parmi les membres mentionnés aux 3°, 4° ou 5°. Ils composent une formation spécialisée de la commission chargée d'instruire les demandes d'avis formulées conformément aux I, II, III et VII de l'article 26. Cette formation est également chargée du suivi de la mise en œuvre expérimentale de traitements de données prévue au VI de l'article 26. Elle organise, en accord avec les responsables de traitements, les modalités d'exercice du droit d'accès indirect, défini aux articles 41 et 42. » ;

15° Après le troisième alinéa de l'article 16, il est inséré un alinéa ainsi rédigé :

« - au VI de l'article 26 ; »

16° L'article 29 est complété par un alinéa ainsi rédigé :

« Les actes autorisant la création des traitements de l'article 26 comportent en outre la durée de conservation des données enregistrées, les interconnexions autorisées avec d'autres traitements de données et les modalités de traçabilité des consultations du traitement. » ;

17° Après le 2° du I de l'article 31, il est inséré un 2° bis ainsi rédigé :

« 2° bis La durée de conservation des données à caractère personnel ; »

18° Le II de l'article 31 est complété par une phrase ainsi rédigée :

« Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la Commission nationale de l'informatique et des libertés, cet avis est publié avec le décret ou l'arrêté correspondant. » ;

19° L'article 32 est ainsi modifié :

a) Les I et II sont remplacés par un I, un I bis et un II ainsi rédigés :

« I. - Dès la collecte de données à caractère personnel, le responsable du traitement ou son représentant :

« - informe, sous une forme spécifique et de manière claire et accessible, la personne concernée, sauf si elle en a déjà été informée au préalable :

« 1° De l'identité et de l'adresse du responsable du traitement et, le cas échéant, de celle de son représentant ;

« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

« 3° Des critères déterminant la durée de conservation des données à caractère personnel ;

« 4° Du caractère obligatoire ou facultatif des réponses ;

« 5° Des conséquences éventuelles d'un défaut de réponse ;

« 6° Des destinataires ou catégories de destinataires des données ;

« 7° Des coordonnées du service auprès duquel les droits d'accès, de rectification et de suppression peuvent s'exercer ;

« 8° S'il dispose d'un service de communication au public en ligne, des modalités d'exercice de ces droits par voie électronique ;

« 9° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne ;

« - met en mesure la personne concernée d'exercer son droit d'opposition, tel que visé au premier alinéa de l'article 38 ;

« - s'assure du consentement de la personne concernée, sauf dans les cas visés à l'article 7.

« I bis. - Si le responsable du traitement dispose d'un service de communication au public en ligne, il l'utilise pour porter à la connaissance du public, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, toutes les informations visées aux 1° à 9° du I.

« II. - Le responsable du traitement ou son représentant informe, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, tout utilisateur d'un réseau de communication électronique :

« - de la finalité des actions tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement ;

« - de la nature des informations stockées ;

« - des personnes ou catégories de personnes habilitées à avoir accès à ces informations ;

« - des moyens dont l'utilisateur dispose pour exprimer ou refuser son consentement.

« Le présent II n'est pas applicable si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

« - soit, a pour finalité exclusive de permettre la communication par voie électronique ;

« - soit, est strictement nécessaire à la fourniture d'un service de communication au public en ligne à la demande expresse de l'utilisateur. » ;

b) Le premier alinéa du III est ainsi rédigé :

« Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant fournit à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. »

20° L'article 34 est ainsi rédigé :

« Art. 34. - Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant "informatique et libertés" ou, en l'absence de celui-ci, la Commission nationale de l'informatique et des libertés. Le responsable du traitement, avec le concours du correspondant "informatique et libertés", prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le correspondant "informatique et libertés" en informe la Commission nationale de l'informatique et des libertés. Si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l'article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant "informatique et libertés".

« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l'article 8. »

21° L'article 38 est ainsi rédigé :

« Art. 38. - Dès la collecte de données à caractère personnel ou, en cas de collecte indirecte, avant toute communication de données à caractère personnel, toute personne physique est mise en mesure de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection.

« Lorsque des données à caractère personnel ont été traitées, toute personne physique justifiant de son identité a le droit, pour des motifs légitimes, d'exiger, sans frais, leur suppression auprès du responsable du traitement.

« Ce droit ne peut être exercé lorsque :

« 1° Le traitement répond à une obligation légale ;

« 2° Le droit de suppression a été écarté par une disposition expresse de l'acte autorisant le traitement ;

« 3° Les données sont nécessaires à la finalité du traitement ;

« 4° Le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;

« 5° Le droit de suppression porte atteinte à une liberté publique garantie par la loi ;

« 6° Les données constituent un fait historique. » ;

22° Le début du premier alinéa du I de l'article 39 est ainsi rédigé :

« Toute personne physique justifiant de son identité a le droit d'interroger le responsable du traitement... (le reste sans changement) » ;

23° Le début du premier alinéa de l'article 40 est ainsi rédigé :

« Toute personne physique justifiant de son identité a le droit de demander au responsable du traitement que soient... (le reste sans changement) » ;

24° Le I de l'article 39 est ainsi modifié :

a) Les 3° et 4° sont remplacés par les 3° à 6° ainsi rédigés :

« 3° La durée de conservation des données à caractère personnel ;

« 4° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne ;

« 5° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ;

« 6° La communication, sous une forme accessible, de toute information disponible quant à l'origine de celles-ci ; »

b) La référence : « 5° » est remplacée par la référence : « 7° » ;

25° À la deuxième phrase du deuxième alinéa de l'article 46, les mots : « , en cas de mauvaise foi du responsable de traitement, » sont supprimés ;

26° Au deuxième alinéa de l'article 47, le montant : « 150 000 euros » est remplacé par le montant : « 300 000 euros » et le montant : « 300 000 euros » est remplacé, deux fois, par le montant : « 600 000 euros » ;

27° Le chapitre VIII est ainsi rédigé :

« Chapitre VIII

« Dispositions relatives aux actions juridictionnelles

« Section 1

« Dispositions pénales

« Art. 50. - Les infractions aux dispositions de la présente loi sont réprimées par les articles 226-16 à 226-24 du code pénal.

« Art. 51. - Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ;

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

« Art. 52. - I. - La Commission nationale de l'informatique et des libertés informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance.

« II. - Le procureur de la République avise le président de la commission de toutes les poursuites relatives aux infractions visées aux articles 226-16 à 226-24 du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

« Section 2

« Dispositions civiles

« Art. 52-1. - Dans les litiges civils nés de l'application de la présente loi, toute personne peut saisir à son choix, outre l'une des juridictions territorialement compétentes en vertu du code de procédure civile, la juridiction du lieu où il demeurait au moment de la conclusion du contrat ou de la survenance du fait dommageable.

« Section 3

« Observations de la Commission nationale de l'informatique et des libertés devant les juridictions civiles, pénales ou administratives

« Art. 52-2. - Les juridictions civiles, pénales ou administratives peuvent, d'office ou à la demande des parties, inviter la Commission nationale de l'informatique et des libertés à déposer des observations écrites ou à les développer oralement à l'audience.

« La commission peut elle-même déposer des observations écrites devant ces juridictions  ou demander à être entendue par elles ; dans ce cas, cette audition est de droit. »

28° Le 2° de l'article 11 est ainsi modifié :

a) Au d, les mots : « et, le cas échéant, des juridictions, » sont supprimés ;

b)° Le e est ainsi rédigé :

« e) Elle saisit le procureur de la République et dépose des observations devant les juridictions dans les conditions prévues respectivement aux articles 52 et 52-2. » ;

29° L'article 72 est ainsi modifié :

a) Le premier alinéa est ainsi rédigé :

« La présente loi est applicable sur l'ensemble du territoire de la République française. » ;

b) À la fin de la première phrase du second alinéa, les mots : « de ces collectivités » sont remplacés par les mots : « des collectivités d'outre-mer relevant de l'article 74 ou du titre XIII de la Constitution ».

II. - Le deuxième alinéa du III de l'article 6 nonies de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires est complété par une phrase ainsi rédigée :

« Sont transmis à la délégation les actes réglementaires autorisant des traitements de données à caractère personnel intéressant la sûreté de l'État et la défense. »

III. - Le III de l'article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure est ainsi modifié :

1° Après la deuxième phrase, il est inséré une phrase ainsi rédigée :

« Le procureur de la République se prononce sur les suites qu'il convient de donner aux demandes d'effacement ou de rectification dans un délai d'un mois. » ;

2° Après la troisième phrase, il est inséré une phrase ainsi rédigée :

« Lorsque le procureur de la République prescrit le maintien des données à caractère personnel d'une personne ayant bénéficié d'une décision d'acquittement ou de relaxe devenue définitive, il en avise la personne concernée. » ;

3° Sont ajoutés une phrase et un alinéa ainsi rédigés :

« Les autres décisions de classement sans suite font l'objet d'une mention.

« Les décisions d'effacement ou de rectification des informations nominatives prises par le procureur de la République sont transmises aux responsables de tous les traitements automatisés pour lesquels ces décisions ont des conséquences sur la durée de conservation des données à caractère personnel. »

IV. - Après le deuxième alinéa de l'article 395 du code de procédure pénale, il est inséré un alinéa ainsi rédigé :

« Si le procureur de la République envisage de faire mention d'éléments concernant le prévenu et figurant dans un traitement automatisé d'informations nominatives prévu par l'article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, ces informations doivent figurer dans le dossier mentionné à l'article 393 du présent code. »

Objet

Reprise des dispositions de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique adoptée par le Sénat le 23 mars 2010 à l’unanimité.