AMENDEMENT

Le rapporteur propose la suppression de cet article considérant qu’il est inutile de prévoir une disposition législative particulière en réaction à l'affaire Francetest :

- le ministre de la santé peut, à sa guise, modifier le décret d’application prévu au V de l’article 11 de la loi du 11 mai 2020 en ce sens, sans prévoir une nouvelle disposition législative ; il serait d’ailleurs opportun de soumettre à l’avis de la CNIL le référentiel fixé ;

- l’article 226-17 du code pénal, qui punit de cinq ans d’emprisonnement et 300 000 euros d’amende est applicable au fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité appropriées, c’est-à-dire sans assurer la protection contre le traitement non autorisé ou illicite ou contre la perte, la destruction ou les dégâts d'origine accidentelle, ou l'accès par des personnes non autorisées, à l'aide de mesures techniques ou organisationnelles appropriées.

En cas de manquement à l’article 32 du RGPD, la CNIL peut également prononcer une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Enfin, la disposition prévue visant de manière trop précise le cas Francetest, elle ne pourrait être appliquée à d’autres hypothèses (par exemple, le cas d’une application facilitant la transmission des données en matière de vaccination).