M. le président. L’amendement n° 102, présenté par le Gouvernement, est ainsi libellé :
Rédiger ainsi cet article :
En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.
La parole est à M. le secrétaire d’État.
M. Mounir Mahjoubi, secrétaire d’État. Au fil des travaux de l’Assemblée nationale et du Sénat, le Gouvernement a pris conscience qu’il existe aujourd’hui de réelles préoccupations au sein du Parlement sur la question des services et des applications préinstallées, qui sont aujourd’hui mises à disposition sur de nombreux terminaux connectés, en premier lieu les terminaux mobiles.
Je vous invite d’ailleurs à la lecture essentielle et particulièrement riche de la dernière étude de l’ARCEP, l’Autorité de régulation des communications électroniques et des postes, qui étudie tous les enjeux économiques et sociétaux liés à ces terminaux.
Je tiens à remercier les députés et les sénateurs qui se sont mobilisés sur ce sujet, en particulier Éric Bothorel, à l’Assemblée nationale, et, au Sénat, M. Raynal et toute la commission des lois.
Le Gouvernement a entendu les craintes, et nous avons travaillé longuement pour parvenir à une proposition équilibrée. Nous avons examiné avec attention les propositions qui ont été avancées en ce sens, notamment celles qui résultent de l’article 17 bis adopté par la commission.
Cependant, sa rédaction ne nous semble ni satisfaisante ni opérationnelle, pour plusieurs raisons, mais, comme nous partageons cette ambition, nous allons vous proposer – c’est tout l’objet de cet amendement – une solution que nous trouvons acceptable et équilibrée.
En premier lieu, le dispositif prévu apparaît trop éloigné, dans certains de ses énoncés, du vocabulaire même et de la logique du règlement général de la protection des données. Prenons pour exemple les notions d’utilisateur final, de nullité du contrat ou de tiers.
La rédaction de l’article 17 bis implique en effet des acteurs tiers qui n’ont a priori aucune obligation directe en matière de données personnelles vis-à-vis des utilisateurs finaux, sauf s’il s’agit, d’une part, de responsables ou coresponsables de traitements, et, d’autre part, de personnes concernées, au sens du RGPD, ce qui n’est pas le cas. Il serait problématique et disproportionné d’inclure l’ensemble des fabricants de terminaux dans le champ du RGPD.
En second lieu, comme l’a souligné Mme Morin-Desailly, la rédaction de l’article 17 bis soulève également de fortes interrogations quant à sa compatibilité avec le reste du droit de l’Union européenne, notamment le droit de la concurrence.
Ce sont les raisons pour lesquelles le Gouvernement, qui comprend et partage les préoccupations du Parlement, souhaite amender l’article 17 bis, afin de rester en cohérence à la fois avec le RGPD et avec les normes de l’Union, de façon à pouvoir conserver le dispositif dans la loi et à assurer son opposabilité aux tiers.
À cette fin, l’amendement vise d’abord à mieux préciser les traitements dont il s’agit, ceux qui sont donc fondés sur le consentement, et ensuite à reprendre la logique de responsabilisation du responsable de traitement, telle qu’elle est établie par le RGPD et la terminologie de son article 7, alinéa 1 – le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Tel est l’objet du présent amendement : soutenir les préoccupations exprimées légitimement par les parlementaires tout en assurant la bonne insertion du dispositif dans le cadre européen.
Pendant les débats, tant à l’Assemblée nationale qu’au Sénat, c’est la question plus générale du rôle des plateformes dans la société et dans l’économie et des inquiétudes qu’elles génèrent qui a été soulevée.
Ce débat, dont vous avez rappelé les enjeux, fait aujourd’hui toute l’actualité du Gouvernement et de la Commission européenne. Ce n’est pas avec cet amendement que nous épuiserons l’intégralité du sujet. Nous pouvons nous attendre dans les prochains mois à avoir de nouveau de nombreuses discussions. Peut-être même aurons-nous l’occasion d’examiner de nouveaux textes législatifs.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Sans suspense, l’avis de la commission est extrêmement favorable.
M. le président. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.
Mme Catherine Morin-Desailly. Puisque j’ai été mentionnée par M. le secrétaire d’État, je me permets d’intervenir.
Je suis heureuse d’entendre un embryon de changement dans le discours du Gouvernement – à la suite du gouvernement précédent – sur cette question des plateformes monopolistiques – que celles-ci soient horizontales ou constituées en silos verticaux – dans des systèmes écopropriétaires.
Monsieur le secrétaire d’État, la problématique de la concurrence est devant nous ; nous y sommes arrivés. Bruno Le Maire veut assigner Google et Apple et je sais que la Commission européenne travaille en ce moment sur le sujet.
Je ne reprendrai pas l’analyse développée dans l’objet de mon amendement tendant à insérer un article additionnel après l’article 17 bis. Celui-ci vise à « bétonner » le système. J’entendrai d’ailleurs avec intérêt l’avis de Mme la rapporteur sur ce sujet.
J’emploie le mot « bétonner » à dessein, parce que le présent amendement me paraît quelque peu fragile sur les plans constitutionnel et contractuel. Mais qui peut le plus peut le moins, et puisque le débat est devant nous, il nous faut des « billes » pour pouvoir continuer la discussion sur ces sujets jusqu’à la commission mixte paritaire.
Je suis favorable à cet amendement, qui vise à rendre l’article 17 bis compatible avec l’actuel règlement, auquel on peut difficilement toucher si ce n’est à travers le projet de loi de transposition.
Au travers de mon propre amendement, je recherche une plus grande efficacité. C’est la raison pour laquelle je propose d’introduire un nouvel article dans le code de commerce prohibant « l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service ».
Cela fait partie d’un tout, et il est temps de mener cette fois une action vraiment offensive. Les derniers événements nous le prouvent.
M. le président. La parole est à M. Jérôme Durain, pour explication de vote.
M. Jérôme Durain. Je veux juste indiquer, puisque son nom a été cité, que c’est sur l’initiative de notre collègue Claude Raynal que la commission des lois a pris en compte ces éléments de réflexion.
Plusieurs éléments de cet amendement nous intéressent, comme l’a dit M. le secrétaire d’État : d’abord, une dimension de patriotisme numérique, parce qu’une position monopolistique qui se rompt, c’est l’occasion pour de nouveaux acteurs, peut-être français, d’intervenir sur le marché ; ensuite, une dimension d’équité, sur un marché qui est effectivement par trop monopolistique.
Nous nous inscrivons donc dans la lignée des propos de M. le secrétaire d’État et soutenons cet amendement.
M. le président. En conséquence, l’article 17 bis est ainsi rédigé.
Article additionnel après l’article 17 bis
M. le président. L’amendement n° 78 rectifié, présenté par Mme Morin-Desailly, MM. Henno, Kern et Laugier, Mme Doineau, M. Bonnecarrère, Mmes de la Provôté, Goy-Chavent et Vullien, M. Détraigne, Mme Gatel, MM. Maurey, Mizzon, Canevet, Cigolotti, Delcros, L. Hervé et les membres du groupe Union Centriste, est ainsi libellé :
Après l’article 17 bis
Insérer un article additionnel ainsi rédigé :
Le livre IV du code de commerce est ainsi modifié :
1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :
« Art. L. 420-2-3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;
2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;
3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».
La parole est à Mme Catherine Morin-Desailly.
Mme Catherine Morin-Desailly. L’amendement est défendu, monsieur le président.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Le présent amendement vise à apporter une solution alternative et complémentaire au problème évoqué au précédent amendement, qui est abordé, selon moi, sous un meilleur angle : celui du droit de la concurrence.
Cet amendement a en effet pour objet de renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d’une part, et celui des terminaux, d’autre part.
Il vise à prohiber les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.
Alors que le ministère de l’économie et la Direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d’applications », le présent amendement vise à élargir l’arsenal des mesures et permet de garantir au consommateur un réel choix. Il va selon moi véritablement dans le bon sens.
La commission émet donc un avis très favorable sur cet amendement, avec une mention spéciale pour Claude Raynal, qui a pris l’initiative d’aborder cette question.
M. Jérôme Durain. Merci !
M. le président. Quel est l’avis du Gouvernement ?
M. Mounir Mahjoubi, secrétaire d’État. Je ne voudrais pas être trop dur, car, comme je l’ai indiqué tout à l’heure, le Gouvernement partage le souhait de donner une pleine efficacité au consentement du consommateur tel qu’il est prévu par le règlement, en particulier dans le cas des services accessibles via des terminaux mobiles.
Toutefois, nous estimons que la mesure proposée est inadéquate pour atteindre cet objectif.
M. Loïc Hervé. Oh !
M. Mounir Mahjoubi, secrétaire d’État. Le présent amendement est malheureusement sans rapport avec l’objet du projet de loi. La modification envisagée vise à prohiber une pratique anticoncurrentielle. Elle est donc encadrée par le droit de la concurrence ; elle ne vise pas à garantir le consentement du consommateur au sens même du règlement.
En outre, si nous allons au fond de l’analyse, la proposition que vous formulez pourrait laisser entendre que d’autres pratiques mises en œuvre par ces mêmes acteurs de l’économie numérique, parce qu’elles ne seraient pas explicitement visées, ne pourraient être appréhendées sous l’angle droit de la concurrence. Cela irait à l’encontre même du projet et de la vision que vous portez.
Pour l’ensemble de ces raisons, de forme – l’opportunité d’intégrer cette mesure dans ce projet de loi – comme de fond, le Gouvernement est défavorable à cet amendement, même si, je le rappelle, il est nécessaire de mener en France et en Europe un véritable débat commun sur ce sujet.
Mme Catherine Morin-Desailly. Il faut plus qu’un débat ! Il faut agir ! Nous avons déjà beaucoup débattu…
M. le président. La parole est à M. Loïc Hervé, pour explication de vote.
M. Loïc Hervé. Nous soutenons cet amendement, qui a été déposé par Catherine Morin-Desailly et cosigné par nombre de nos collègues et par l’ensemble des membres du groupe Union Centriste.
Cet amendement tend à compléter le dispositif, que nous avons introduit en commission à l’article 17 bis, en garantissant que les utilisateurs d’un terminal aient le choix d’un service équivalent, offrant de meilleures garanties quant à la protection des données personnelles.
Monsieur le secrétaire d’État, on n’est pas tout à fait hors sujet, on est même au cœur du débat, dans la vie quotidienne de nombre de nos compatriotes : il est question d’outils qui consistent à capter des données !
Nous avons eu hier un débat fort intéressant sur les objets connectés ; voilà un autre volet de la réalité vécue par nos compatriotes, a fortiori quand des services de communication au public en ligne sont préinstallés. En effet, alors que le consentement de l’utilisateur doit être libre et que le législateur doit s’assurer que cette liberté est totale et résulte d’un choix effectif, ce choix est en réalité limité à l’acceptation ou au refus des traitements de données ou, en l’espèce, des moteurs de recherche proposés.
Ces moteurs de recherche sont ainsi préinstallés sur les téléphones et leur désinstallation est rendue quasi impossible. Essayez de le faire vous-même sur votre téléphone ou votre smartphone ! La plupart de ces appareils commercialisés en France et en Europe sont en effet équipés d’un système d’exploitation mobile qui impose le même moteur de recherche – Google pour ne pas le citer. C’est une obligation faite à l’ensemble des utilisateurs.
Pourtant, certains moteurs de recherche proposent des fonctionnalités équivalentes tout en offrant une meilleure protection des données. Ils s’engagent d’ailleurs sur ce sujet. C’est par exemple le cas des moteurs de recherche alternatifs, plus respectueux la de la vie privée. Citons un moteur de recherche français, Qwant, qui a été créé dans notre pays en 2013 – il est important de le signaler.
Nous proposons de nous placer sur le terrain du droit de la concurrence en prohibant l’exploitation abusive par une entreprise d’une position dominante sur le marché des services de communication publics en ligne lorsque cette position dominante subordonne la vente d’un équipement à l’achat d’un service.
En cela, monsieur le secrétaire d’État, nous sommes tellement proches des positions du ministre Bruno Le Maire !
M. le président. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.
Mme Catherine Morin-Desailly. Je maintiens plus que jamais mon amendement.
Monsieur le secrétaire d’État, vous dites qu’il va être temps de débattre. Vous savez, ici au Sénat, comme l’a rappelé notre collègue Simon Sutour, nous en débattons depuis pratiquement 2013 : à la commission des affaires européennes, à travers les nombreux rapports que nous avons produits sur ce sujet, à travers les missions communes d’information. Nous avons exploré toutes les facettes de ces problématiques de souveraineté, discuté de la stratégie européenne dans le domaine d’internet, débattu de la question des données.
Il est vraiment temps d’agir ! D’ailleurs, l’actualité nous le montre avec l’affaire Cambridge Analytica, qui est purement scandaleuse : quelque 50 millions d’utilisateurs de Facebook se sont vu hacker leurs données par une entreprise de gestion des data, qui les a revendues pour des motifs sociaux et politiques douteux. Ce qui est en train de se passer est un véritable scandale, monsieur le secrétaire d’État. C’est une seconde affaire Snowden !
Si tout cela ne nous alerte pas, notamment sur la manière dont fonctionnent actuellement les GAFA, dont la gestion abusive des données personnelles est maintenant une évidence, cela signifie que nous ne prenons pas nos responsabilités.
Le Sénat a adopté à l’unanimité une proposition de résolution européenne relative à la mise en œuvre des règles de concurrence, que je vous ai adressée.
Puisque nous sommes à la veille du Conseil européen, le moment est venu d’aller y parler de ces questions. Le moment est venu de proposer, enfin, de refonder Internet et les modèles économiques sur lesquels il repose sur des principes conformes aux valeurs européennes : le droit à la concurrence et un marché numérique offrant des conditions d’honnêteté et de loyauté identiques à l’ensemble des entreprises.
Celles-ci sont obligées de subir des moteurs de recherche dont les comparateurs de prix présentent des résultats dans un ordre qui leur est désavantageux. Tout cela est démontré par A plus B ! Et ce dont il est question ici est encore plus prégnant, puisqu’il s’agit des données personnelles, qui touchent à nos libertés fondamentales.
Quand l’occasion se présente de voter certaines mesures, il est de notre responsabilité de la saisir, pour faire en sorte que la France soit moteur et serve d’aiguillon au niveau européen.
De toute façon, nous sommes au pied du mur : il va falloir résoudre ces questions. Je vous le dis très solennellement, l’heure est vraiment venue. (M. Loïc Hervé et Mme la rapporteur applaudissent.)
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 17 bis.
TITRE III
DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL
Article 18
(Non modifié)
I. – Le début du V de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé : « Sans préjudice de l’application des dispositions du chapitre XIII, les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en œuvre pour le compte de l’État et intéressant la sûreté de l’État, la défense ou la sécurité publique, dans la… (le reste sans changement). »
II. – Le VI de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.
III. – Au premier alinéa de l’article 41 de la loi n° 78-17 du 6 janvier 1978 précitée, après les mots : « sécurité publique », sont insérés les mots : « , sous réserve de l’application des dispositions du chapitre XIII ».
IV. – À l’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés.
M. le président. L’amendement n° 131, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 4
Rédiger ainsi cet alinéa :
IV. - L’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le paragraphe IV de l’article 18 supprime à l’article 42 de la loi du 6 janvier 1978 le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements de police judiciaire.
Le caractère indirect est maintenu pour les seuls traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de recouvrer des impositions.
Le maintien de l’accès indirect pour cette catégorie de traitements n’est pas justifié. Il convient de prévoir que la personne intéressée peut directement exercer ses droits d’accès direct auprès du responsable du traitement de l’administration fiscale, sans passer par l’intermédiaire de la Commission nationale de l’informatique et des libertés.
Tel est l’objet du présent amendement, qui tend à abroger l’article 42 de la loi de 1978.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission émet un avis favorable.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Je mets aux voix l’article 18, modifié.
(L’article 18 est adopté.)
Article 19
Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :
« CHAPITRE XIII
« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
« Section 1
« Dispositions générales
« Art. 70-1. – Les dispositions du présent chapitre s’appliquent, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente.
« Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour les finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa, et où sont respectées les dispositions des articles 70-3 et 70-4. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions concernées.
« Pour l’application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.
« Art. 70-2. – Le traitement de données mentionnées au I de l’article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est autorisé par un acte législatif ou réglementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée.
« Art. 70-3. – Si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités prévues au premier alinéa de l’article 70-1, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au I de l’article 26 et aux articles 28 à 31.
« Si le traitement porte sur des données mentionnées au I de l’article 8, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au II de l’article 26.
« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l’une des finalités prévues au premier alinéa de l’article 70-1 est autorisé par la Commission nationale de l’informatique et des libertés. La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.
« Art. 70-4. – Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue à l’article 30.
« Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l’informatique et des libertés préalablement au traitement des données à caractère personnel :
« 1° Soit lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;
« 2° Soit lorsque le type de traitement, en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.
« Art. 70-5. – Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de l’article 70-1 ne peuvent être traitées pour d’autres finalités, à moins qu’un tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de l’Union européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.
« Lorsque les autorités compétentes sont chargées d’exécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de l’article 70-1, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.
« Si le traitement est soumis à des conditions spécifiques, l’autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter.
« L’autorité compétente qui transmet les données n’applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l’Union européenne des conditions en vertu du troisième alinéa du présent article différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève l’autorité compétente qui transmet les données.
« Art. 70-6. – Les traitements effectués pour l’une des finalités énoncées au premier alinéa de l’article 70-1 autre que celles pour lesquelles les données ont été collectées sont autorisés s’ils sont nécessaires et proportionnés à cette finalité sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre.
« Ces traitements peuvent comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées au premier alinéa de l’article 70-1.
« Art. 70-7. – Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l’article 36.
« Art. 70-8. – Les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.
« Art. 70-9. – Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
« Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.
« Tout profilage qui entraine une discrimination, au sens de l’article 225-1 du code pénal et de l’article 1er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d’adaptation au droit communautaire dans le domaine de la lutte contre les discriminations, à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 de la présente loi est interdit.
« Art. 70-10. – Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que dans les conditions prévues aux 1, 2 et 10 de l’article 28 et à l’article 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article.
« Les sous-traitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière que le traitement réponde aux exigences du présent chapitre et garantisse la protection des droits de la personne concernée.
« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous-traitant à l’égard du responsable de traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable de traitement, ainsi que les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement, et prévoit que le sous-traitant n’agit que sur instruction du responsable de traitement. Le contenu de ce contrat ou de cet acte juridique est précisé par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés.
« Section 2
« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel
« Art. 70-11. – Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
« S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.
« Art. 70-12. – Le responsable de traitement établit une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
« 1° Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;
« 2° Les personnes reconnues coupables d’une infraction pénale ;
« 3° Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;
« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux 1° et 2°.
« Art. 70-13. – I. – Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées à l’article 8 de la présente loi.
« II. – En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d’une évaluation des risques, des mesures destinées à :
« 1° Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement ;
« 2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;
« 3° Empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées ;
« 4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
« 5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation ;
« 6° Garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;
« 7° Garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;
« 8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;
« 9° Garantir que les systèmes installés puissent être rétablis en cas d’interruption ;
« 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.
« Art. 70-14. – Le responsable de traitement et son sous-traitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de l’article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 de la présente loi, l’indication de la base juridique de l’opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.
« Art. 70-15. – Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l’interconnexion et l’effacement, portant sur de telles données.
« Les journaux des opérations de consultation et de communication permettent d’en établir le motif, la date et l’heure. Ils permettent également, dans la mesure du possible, d’identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci.
« Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et à des fins de procédures pénales.
« Ce journal est mis à la disposition de la Commission nationale de l’informatique et des libertés à sa demande.
« Art. 70-16. – Les articles 31, 33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.
« Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement d’un autre État membre de l’Union européenne ou à celui-ci, le responsable de traitement notifie également la violation au responsable de traitement de l’autre État membre dans les meilleurs délais.
« La communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d’autrui.
« Art. 70-17. – Sauf pour les juridictions agissant dans l’exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.
« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.
« Les dispositions des 5 et 7 de l’article 37, des 1 et 2 de l’article 38 et du 1 de l’article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu’elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.
« Section 3
« Droits de la personne concernée par un traitement de données à caractère personnel
« Art. 70-18. – I. – Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :
« 1° L’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;
« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;
« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;
« 4° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;
« 5° L’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.
« II. – En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :
« 1° La base juridique du traitement ;
« 2° La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les États non membres de l’Union européenne ou au sein d’organisations internationales ;
« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.
« Art. 70-19. – La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accéder auxdites données ainsi qu’aux informations suivantes :
« 1° Les finalités du traitement ainsi que sa base juridique ;
« 2° Les catégories de données à caractère personnel concernées ;
« 3° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des États non membres de l’Union européenne ou au sein d’organisations internationales ;
« 4° Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
« 5° L’existence du droit de demander au responsable de traitement la rectification ou l’effacement des données à caractère personnel, et du droit de demander une limitation du traitement de ces données ;
« 6° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;
« 7° La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.
« Art. 70-20. – I. – La personne concernée a le droit d’obtenir du responsable de traitement :
« 1° Que soient rectifiées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant qui sont inexactes ;
« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;
« 3° Que soient effacées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.
« II. – Lorsque l’intéressé en fait la demande, le responsable de traitement doit justifier qu’il a procédé aux opérations exigées en application du I.
« III. – Au lieu de procéder à l’effacement, le responsable de traitement limite le traitement lorsque :
« 1° Soit l’exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non ;
« 2° Soit les données à caractère personnel doivent être conservées à des fins probatoires.
« Lorsque le traitement est limité en vertu du 1°, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.
« IV. – Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.
« V. – Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente de laquelle ces données proviennent.
« VI. – Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.
« Art. 70-21. – I. – Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :
« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;
« 2° Éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
« 3° Protéger la sécurité publique ;
« 4° Protéger la sécurité nationale ;
« 5° Protéger les droits et libertés d’autrui.
« Ces restrictions sont prévues par l’acte instaurant le traitement.
« II. – Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :
« 1° Retarder ou limiter la fourniture à la personne concernée des informations mentionnées au II de l’article 70-18 ou ne pas fournir ces informations ;
« 2° Refuser ou limiter le droit d’accès de la personne concernée prévu par l’article 70-19 ;
« 3° Ne pas informer la personne du refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs de cette décision conformément au IV de l’article 70-20.
« III. – Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d’accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l’informatique et des libertés.
« IV. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d’exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés et de former un recours juridictionnel.
« Art. 70-22. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III de l’article 70-21, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés.
« Les deuxième et troisième alinéas de l’article 41 sont alors applicables.
« Lorsque la commission informe la personne concernée qu’il a été procédé aux vérifications nécessaires, elle l’informe également de son droit de former un recours juridictionnel.
« Art. 70-23. – I. – Les informations mentionnées aux articles 70-18 à 70-20 sont fournies par le responsable de traitement à la personne concernée par tout moyen approprié, y compris par voie électronique et, de manière générale, sous la même forme que la demande.
« II. – Aucun paiement n’est exigé pour prendre les mesures et fournir ces mêmes informations, sauf en cas de demande manifestement infondée ou abusive.
« En cas de demande manifestement infondée ou abusive, le responsable de traitement peut également refuser de donner suite à la demande.
« En cas de contestation, la charge de la preuve du caractère manifestement infondé ou abusif des demandes incombe au responsable de traitement auquel elles sont adressées.
« Art. 70-24. – Les dispositions de la présente section ne s’appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l’objet d’un traitement lors d’une procédure pénale. Dans ces cas, l’accès à ces données et les conditions de rectification ou d’effacement de ces données ne peuvent se faire que dans les conditions prévues par le code de procédure pénale.
« Section 4
« Transferts de données à caractère personnel vers des États non membres de l’Union européenne ou vers des destinataires établis dans des États non membres de l’Union européenne
« Art. 70-25. – Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque les conditions suivantes sont respectées :
« 1° Le transfert de ces données est nécessaire à l’une des finalités énoncées au premier alinéa de l’article 70-1 ;
« 2° Les données à caractère personnel sont transférées à un responsable dans cet État non membre de l’Union européenne ou au sein d’une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l’article 70-1 ;
« 3° Si les données à caractère personnel proviennent d’un autre État, l’État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.
« Toutefois, si l’autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l’autorisation préalable de l’État qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts essentiels de la France. L’autorité d’où provenaient ces données personnelles en est informée sans retard ;
« 4° La Commission européenne a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l’absence d’une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l’absence d’une telle décision et d’un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu’il existe de telles garanties appropriées.
« Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État non membre de l’Union européenne, soit de dispositions juridiquement contraignantes exigées à l’occasion de l’échange de données.
« Lorsque le responsable de traitement de données à caractère personnel transfère des données à caractère personnel sur le seul fondement de l’existence de garanties appropriées au regard de la protection des données à caractère personnel, autre qu’une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles, il avise la Commission nationale de l’informatique et des libertés des catégories de transferts relevant de ce fondement.
« Dans ce cas, le responsable de traitement de données doit garder trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Cette documentation est mise à la disposition de la Commission nationale de l’informatique et des libertés, sur sa demande.
« Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d’adéquation adoptée en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement de données à caractère personnel peut néanmoins transférer des données personnelles ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.
« Art. 70-26. – Par dérogation à l’article 70-25, le responsable de traitement de données à caractère personnel ne peut, en l’absence de décision d’adéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque le transfert est nécessaire :
« 1° À la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ;
« 2° À la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;
« 3° Pour prévenir une menace grave et immédiate pour la sécurité publique d’un autre État ;
« 4° Dans des cas particuliers, à l’une des finalités énoncées au premier alinéa de l’article 70-1 ;
« 5° Dans un cas particulier, à la constatation, à l’exercice ou à la défense de droits en justice en rapport avec les mêmes fins.
« Dans les cas mentionnés aux 4° et 5°, le responsable de traitement de données à caractère personnel ne transfère pas ces données s’il estime que les libertés et droits fondamentaux de la personne concernée l’emportent sur l’intérêt public dans le cadre du transfert envisagé.
« Lorsqu’un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l’informatique et des libertés, à sa demande.
« Art. 70-27. – Toute autorité publique compétente mentionnée au premier alinéa de l’article 70-1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État n’appartenant pas à l’Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant de l’article 70-1 sont respectées et que les conditions ci-après sont remplies :
« 1° Le transfert est nécessaire à l’exécution de la mission de l’autorité compétente qui transfère ces données pour l’une des finalités énoncées au premier alinéa de l’article 70-1 ;
« 2° L’autorité compétente qui transfère ces données établit qu’il n’existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l’intérêt public nécessitant le transfert dans le cas considéré ;
« 3° L’autorité compétente qui transfère ces données estime que le transfert à l’autorité compétente de l’autre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;
« 4° L’autorité compétente de l’autre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;
« 5° L’autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l’objet d’un traitement par ce destinataire, à condition qu’un tel traitement soit nécessaire.
« L’autorité compétente qui transfère des données informe la Commission nationale de l’informatique et des libertés des transferts relevant du présent article.
« L’autorité compétente garde trace de la date et de l’heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »