R.G.P.D.

LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (1)

NOR: JUSC1732261L

ELI: https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/loi/2018/6/20/2018-493/jo/texte

L'Assemblée nationale et le Sénat ont délibéré,
L'Assemblée nationale a adopté,
Vu la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018 ;
Le Président de la République promulgue la loi dont la teneur suit :

Titre Ier : DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016
- Chapitre Ier : Dispositions relatives à la Commission nationale de l'informatique et des libertés
  
  Article 1 En savoir plus sur cet article...
  
  L'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
  1° Au début du premier alinéa, est ajoutée la mention : « I.-» ;
  2° Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité » ;
  3° Le 1° est complété par les mots : « et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;
  4° Le 2° est ainsi modifié :
  a) Le premier alinéa est complété par les mots : « et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France » ;
  b) Au a, les mots : « autorise les traitements mentionnés à l'article 25, » et, à la fin, les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;
  c) Après le même a, il est inséré un a bis ainsi rédigé :
  « a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »
  d) Le b est ainsi rédigé :
  « b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ; »
  e) Après le f, il est inséré un f bis ainsi rédigé :
  « f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ; »
  f) Au g, après le mot : « certification », sont insérés les mots : «, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;
  g) A la fin du h, les mots : « d'accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41,42 et 70-22 » ;
  h) Sont ajoutés des i et j ainsi rédigés :
  « i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ;
  « j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ; »
  5° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée :
  « Elle peut également être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. » ;
  6° Après le même 4°, il est inséré un 5° ainsi rédigé :
  « 5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;
  7° Au début du vingt-sixième alinéa, est ajoutée la mention : « II.-» ;
  8° L'avant-dernier alinéa est supprimé.
  
  Article 2 En savoir plus sur cet article...
  
  Le I de l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au 6°, le mot : « ou » est remplacé par le mot : « et » ;
  2° Au 7°, après le mot : « numérique », sont insérés les mots : « et des questions touchant aux libertés individuelles ».
  
  Article 3 En savoir plus sur cet article...
  
  L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
  « L'ordre du jour de la commission réunie en formation plénière est rendu public. » ;
  2° Sont ajoutés trois alinéas ainsi rédigés :
  
  «-au 4 de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;
  «-aux a et h du 3 de l'article 58 du même règlement.
  
  « Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature. »
  
  Article 4 En savoir plus sur cet article...
  
  La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
  1° Au premier alinéa de l'article 17, après le mot : « restreinte », sont insérés les mots : « prend les mesures et », après le mot : « traitements », sont insérés les mots : « ou des sous-traitants » et, après le mot : « découlant », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et » ;
  2° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :
  « Ses membres délibèrent hors de la présence des agents de la commission, à l'exception de ceux chargés de la tenue de la séance. » ;
  3° Les deux derniers alinéas de l'article 18 sont ainsi rédigés :
  « Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ainsi qu'à celles des réunions de son bureau qui ont pour objet l'exercice des attributions déléguées en application de l'article 16. Il peut assister aux séances de la formation restreinte, sans être présent au délibéré. Il est rendu destinataire de l'ensemble des avis et décisions de la commission et de la formation restreinte.
  « Sauf en matière de mesures ou de sanctions relevant du chapitre VII, il peut provoquer une seconde délibération de la commission, qui doit intervenir dans les dix jours suivant la délibération initiale. »
  
  Article 5 En savoir plus sur cet article...
  
  L'article 44 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au premier alinéa du I, les mots : « et qui sont à usage professionnel » sont supprimés ;
  2° Le II est ainsi modifié :
  a) A la première phrase du premier alinéa, les mots : « de locaux professionnels privés » sont remplacés par les mots : « de ces lieux, locaux, enceintes, installations ou établissements » ;
  b) La dernière phrase du dernier alinéa est complétée par les mots : « dont la finalité est l'exercice effectif des missions prévues au III » ;
  3° Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés :
  « III.-Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l'accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.
  « Le secret médical est opposable s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l'autorité et en présence d'un médecin. » ;
  4° Avant le dernier alinéa du même III, sont insérés deux alinéas ainsi rédigés :
  « Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d'emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.
  « Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts. » ;
  5° Il est ajouté un V ainsi rédigé :
  « V.-Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions. »
  
  Article 6 En savoir plus sur cet article...
  
  La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
  1° Après l'article 48, il est inséré un chapitre VII bis, intitulé : « De la coopération » et comprenant les articles 49 à 49-5 tels qu'ils résultent des 2° à 4° du présent article ;
  2° L'article 49 est ainsi rédigé :
  
  « Art. 49.-Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés met en œuvre des procédures de coopération et d'assistance mutuelle avec les autorités de contrôle des autres Etats membres de l'Union européenne et réalise avec ces autorités des opérations conjointes.
  « La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.
  « La commission peut charger le bureau :
  « 1° D'exercer ses prérogatives en tant qu'autorité concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier d'émettre une objection pertinente et motivée au projet de décision d'une autre autorité de contrôle ;
  « 2° Lorsque la commission adopte un projet de décision en tant qu'autorité chef de file ou autorité compétente, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et d'arrêter la décision au nom de la commission. » ;
  
  3° Après le même article 49, sont insérés des articles 49-1 à 49-4 ainsi rédigés :
  
  « Art. 49-1.-I.-Pour l'application de l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés coopère avec les autorités de contrôle des autres Etats membres de l'Union européenne, dans les conditions prévues au présent article.
  « II.-Qu'elle agisse en tant qu'autorité de contrôle chef de file ou en tant qu'autorité concernée au sens des articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs d'autres Etats membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes qu'il décide de conduire.
  « III.-Lorsqu'une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu'autorité de contrôle d'accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l'opération. A la demande de l'autorité de contrôle d'un Etat membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l'article 19 de la présente loi, à exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d'enquête dont disposent les membres et les agents de la commission.
  « IV.-Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l'autorité de contrôle d'un autre Etat membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l'autorité requérante dans les conditions prévues à l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  
  « Art. 49-2.-I.-Les traitements mentionnés à l'article 70-1 font l'objet d'une coopération entre la Commission nationale de l'informatique et des libertés et les autorités de contrôle des autres Etats membres de l'Union européenne dans les conditions prévues au présent article.
  « II.-La commission communique aux autorités de contrôle des autres Etats membres les informations utiles et leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, d'inspection et d'enquête.
  « La commission répond à une demande d'assistance mutuelle formulée par une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle n'est pas compétente pour traiter l'objet de la demande ou les mesures qu'elle est invitée à exécuter, ou si une disposition du droit de l'Union européenne ou du droit français y fait obstacle.
  « La commission informe l'autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande.
  « La commission peut, pour l'exercice de ses missions, solliciter l'assistance d'une autorité de contrôle d'un autre Etat membre de l'Union européenne.
  « La commission donne les motifs de tout refus de satisfaire à une demande lorsqu'elle estime ne pas être compétente ou lorsqu'elle considère que satisfaire à la demande constituerait une violation du droit de l'Union européenne ou du droit français.
  
  « Art. 49-3.-Lorsque la commission agit en tant qu'autorité de contrôle chef de file s'agissant d'un traitement transfrontalier au sein de l'Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l'article 47 ainsi que l'ensemble des informations utiles de la procédure ayant permis d'établir le rapport, avant l'éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d'assister, par tout moyen de retransmission approprié, à l'audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d'un procès-verbal dressé à la suite de l'audition.
  « Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. A ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d'écarter l'une des objections, le comité européen de la protection des données conformément à l'article 65 du même règlement.
  « Les conditions d'application du présent article sont définies par décret en Conseil d'Etat, après avis de la Commission nationale de l'informatique et des libertés.
  
  « Art. 49-4.-Lorsque la commission agit en tant qu'autorité de contrôle concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.
  « Lorsque ces mesures sont d'objet équivalent à celles définies aux I et II de l'article 45 de la présente loi, le président décide, le cas échéant, d'émettre une objection pertinente et motivée, selon les modalités prévues à l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  « Lorsque ces mesures sont d'objet équivalent à celles définies au III de l'article 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu'il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités. » ;
  
  4° L'article 49 bis devient l'article 49-5.
  
  Article 7 En savoir plus sur cet article...
  
  I.-Le chapitre VII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° L'intitulé est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission nationale de l'informatique et des libertés » ;
  2° Les articles 45 à 48 sont ainsi rédigés :
  
  « Art. 45.-I.-Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.
  « II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
  « 1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
  « 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
  « 3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
  « 4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
  « Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
  « Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.
  « Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
  « Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
  « III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
  « 1° Un rappel à l'ordre ;
  « 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
  « 3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
  « 4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
  « 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
  « 6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
  « 7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
  « Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.
  
  « Art. 46.-I.-Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à l'article 1er de la présente loi et que le président de la commission considère qu'il est urgent d'intervenir, il saisit la formation restreinte, qui peut, dans le cadre d'une procédure d'urgence contradictoire définie par décret en Conseil d'Etat, adopter l'une des mesures suivantes :
  « 1° L'interruption provisoire de la mise en œuvre du traitement, y compris d'un transfert de données hors de l'Union européenne, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
  « 2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du même chapitre XIII lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
  « 3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;
  « 4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du respect d'un code de conduite ;
  « 5° La suspension provisoire de l'autorisation délivrée sur le fondement du III de l'article 54 de la présente loi ;
  « 6° L'injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
  « 7° Un rappel à l'ordre ;
  « 8° L'information du Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat. Le Premier ministre fait alors connaître à la formation restreinte les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.
  « II.-En cas de circonstances exceptionnelles prévues au 1 de l'article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la Commission européenne.
  « Lorsque la formation restreinte a pris de telles mesures et qu'elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l'article 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  « III.-Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsqu'une autorité de contrôle compétente en application du même règlement n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d'urgence ou une décision contraignante d'urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l'article 66 dudit règlement.
  « IV.-En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
  
  « Art. 47.-Les mesures prévues au III de l'article 45 et aux 1° à 7° du I de l'article 46 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle-ci.
  « La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées.
  « Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant en application de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.
  « Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.
  « L'astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.
  « Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
  
  « Art. 48.-Lorsqu'un organisme de certification ou un organisme chargé du respect d'un code de conduite a manqué à ses obligations ou n'a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de l'agrément qui a été délivré à cet organisme. »
  
  II.-A.-Au deuxième alinéa de l'article 226-16 du code pénal, la référence : « I » est remplacée par la référence : « III ».
  B.-Le deuxième alinéa de l'article 226-16 du code pénal demeure applicable, dans sa rédaction antérieure à la présente loi, aux faits commis avant l'entrée en vigueur de celle-ci.
- Chapitre II : Dispositions relatives à certaines catégories de données
  
  Article 8 En savoir plus sur cet article...
  
  L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Le I est ainsi rédigé :
  « I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. » ;
  2° Le II est ainsi modifié :
  a) A la fin du 7°, les mots : « et dans les conditions prévues à l'article 25 de la présente loi » sont supprimés ;
  b) Le 8° est ainsi rédigé :
  « 8° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux dispositions du chapitre IX de la présente loi ; »
  c) Sont ajoutés des 9° à 11° ainsi rédigés :
  « 9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l'article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
  « 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;
  « 11° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, après avis motivé et publié de la Commission nationale de l'informatique et des libertés rendu selon les modalités prévues à l'article 28 de la présente loi. » ;
  3° Le III est ainsi rédigé :
  « III.-N'entrent pas dans le champ de l'interdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire l'objet, à bref délai, d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés. » ;
  4° Le IV est ainsi rédigé :
  « IV.-De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au II de l'article 26. »

Titre II : MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Article 9 En savoir plus sur cet article...

L'article 2 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;
2° L'avant-dernier alinéa est complété par les mots : «, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
- Chapitre Ier : Champ d'application territorial des dispositions complétant le règlement (UE) 2016/679
  
  Article 10 En savoir plus sur cet article...
  
  Le chapitre Ier de la loi n° 78-17 du 6 janvier 1978 est complété par un article 5-1 ainsi rédigé :
  
  « Art. 5-1.-Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.
  « Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne. »
- Chapitre II : Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements
  
  Article 11 En savoir plus sur cet article...
  
  I.-L'article 22 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
  
  « Art. 22.-Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  « N'entrent pas dans le champ d'application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui requièrent une consultation de ce répertoire :
  « 1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;
  « 2° Qui ont exclusivement des finalités de recherche scientifique ou historique ;
  « 3° Qui ont pour objet de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique définis à l'article 1er de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, mis en œuvre par l'Etat, une personne morale de droit public ou une personne morale de droit privé gérant un service public.
  « Pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, le numéro d'inscription au répertoire national d'identification des personnes physiques fait préalablement l'objet d'une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa.
  « Pour les traitements dont les finalités sont mentionnées au 1°, l'utilisation du code statistique non signifiant n'est autorisée qu'au sein du service statistique public.
  « Pour les traitements dont les finalités sont mentionnées au 2°, l'opération cryptographique et, le cas échéant, l'interconnexion de deux fichiers par l'utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement.
  « A l'exception des traitements mentionnés au deuxième alinéa de l'article 55, le présent article n'est pas applicable aux traitements de données à caractère personnel dans le domaine de la santé qui sont régis par le chapitre IX. »
  II.-L'article 27 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
  
  « Art. 27.-Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat, agissant dans l'exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. »
  
  III.-Les articles 23 à 25 de la loi n° 78-17 du 6 janvier 1978 précitée sont abrogés.
  IV.-L'article 226-16-1 A du code pénal est abrogé.
- Chapitre III : Obligations incombant aux responsables de traitement et à leurs sous-traitants
  
  Article 12 En savoir plus sur cet article...
  
  L'article 35 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au début du premier alinéa, est ajoutée la mention : « I.-» ;
  2° Sont ajoutés deux alinéas ainsi rédigés :
  « Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi.
  « II.-Dans le champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le sous-traitant respecte les conditions prévues par ce règlement. »
- Chapitre IV : Dispositions relatives à certaines catégories particulières de traitements
  
  Article 13 En savoir plus sur cet article...
  
  L'article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que [dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018.] » ;
  2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;
  3° Le 3° est ainsi rédigé :
  « 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ; »
  4° Il est ajouté un 5° ainsi rédigé :
  « 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. »
  
  Article 14 En savoir plus sur cet article...
  
  I.-L'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;
  2° Les deuxième à dernier alinéas sont supprimés ;
  3° Sont ajoutés deux alinéas ainsi rédigés :
  « Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15,16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l'article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique.
  « Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15,16,18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article. »
  II.-Au 4° du IV de l'article L. 1461-1 du code de la santé publique, le mot : « deuxième » est remplacé par le mot : « premier ».
  
  Article 15 En savoir plus sur cet article...
  
  A la fin de la seconde phrase de l'article L. 212-4-1 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés.
  
  Article 16 En savoir plus sur cet article...
  
  I.-Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
  
  « Chapitre IX
  « Traitements de données à caractère personnel dans le domaine de la santé
  
  « Section 1
  « Dispositions générales
  
  « Art. 53.-Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à l'exception des catégories de traitements suivantes :
  « 1° Les traitements relevant des 1° à 6° du II de l'article 8 ;
  « 2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 6° du même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
  « 3° Les traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;
  « 4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ;
  « 5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8.
  
  « Art. 54.-I.-Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public.
  « II.-Des référentiels et règlements types, au sens des a bis et b du 2° du I de l'article 11, s'appliquant aux traitements relevant du présent chapitre sont établis par la Commission nationale de l'informatique et des libertés, en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.
  « Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.
  « Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée.
  « III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés.
  « IV.-La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.
  « V.-La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l'Institut national des données de santé est saisi en application du second alinéa de l'article 61.
  « Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la section 2 du présent chapitre et que l'avis ou les avis rendus ne sont pas expressément favorables.
  
  « Art. 55.-Par dérogation à l'article 54, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  « Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques sont mis en œuvre dans les conditions prévues à l'article 22 de la présente loi.
  « Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au delà de ce délai.
  
  « Art. 56.-Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé en application de l'article 54 les données à caractère personnel qu'ils détiennent.
  « Lorsque ces données permettent l'identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l'informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.
  « Lorsque le résultat du traitement de données est rendu public, l'identification directe ou indirecte des personnes concernées doit être impossible.
  « Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.
  
  « Art. 57.-Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l'article 53.
  « Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.
  
  « Art. 58.-Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
  « Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l'article L. 1111-2 du code de la santé publique d'être laissée dans l'ignorance d'un diagnostic ou d'un pronostic.
  
  « Art. 59.-Sont destinataires de l'information et exercent les droits de la personne concernée par le traitement les titulaires de l'exercice de l'autorité parentale, pour les mineurs, ou la personne chargée d'une mission de représentation dans le cadre d'une tutelle, d'une habilitation familiale ou d'un mandat de protection future, pour les majeurs protégés dont l'état ne leur permet pas de prendre seuls une décision personnelle éclairée.
  « Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l'article L. 1121-1 du code de la santé publique ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des personnes mineures, l'information peut être effectuée auprès d'un seul des titulaires de l'exercice de l'autorité parentale s'il est impossible d'informer l'autre titulaire ou s'il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l'étude ou de l'évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l'exercice ultérieur, par chaque titulaire de l'exercice de l'autorité parentale, des droits mentionnés au premier alinéa.
  « Pour ces traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits.
  « Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale soient informés du traitement de données si le fait d'y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l'assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle. Il exerce alors seul ses droits.
  
  « Art. 60.-Une information relative aux dispositions du présent chapitre doit notamment être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d'un traitement mentionné au présent chapitre.
  
  « Section 2
  « Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé
  
  « Art. 61.-Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à la section 1 du présent chapitre, sous réserve de la présente section.
  « L'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d'Etat, par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.
  
  « Art. 62.-Au titre des référentiels mentionnés au II de l'article 54 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l'informatique et des libertés. Elles sont établies en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.
  « Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l'article 54 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.
  
  « Art. 63.-Dans le cas où la recherche nécessite l'examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n'est pas applicable aux recherches réalisées en application de l'article L. 1131-1-1 du code de la santé publique.
  
  « Art. 64.-L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 54, après avis :
  « 1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ;
  « 2° Du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité d'expertise sont soumis à l'article L. 1451-1 du code de la santé publique.
  « Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national des données de santé, qui assure leur orientation vers les instances compétentes.
  
  « Art. 65.-Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé.
  « Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l'Institut national des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur.
  « Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée.
  « Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.
  « Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé.
  « Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, le responsable du traitement mentionné au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés.
  « Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.
  « Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités.
  « Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et le responsable du traitement mentionné au II de l'article L. 1461-1 du code de la santé publique.
  « En cas d'urgence, le directeur général de la Caisse nationale d'assurance maladie peut suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'il dispose d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés.
  « Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité.
  « Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit. »
  
  II.-Le code de la santé publique est ainsi modifié :
  1° Au 7° de l'article L. 1122-1, la référence : « 57 » est remplacée par la référence : « 58 » ;
  2° Au treizième alinéa de l'article L. 1123-7, la référence : « au I de l'article 54 » est remplacée par la référence : « à l'article 61 » ;
  3° Au second alinéa du IV de l'article L. 1124-1, la référence : « du II de l'article 54 » est remplacée par la référence : « de l'article 64 » ;
  4° Au 6° de l'article L. 1461-7, la référence : « 56 » est remplacée par la référence : « 57 » ;
  5° La seconde phrase du sixième alinéa de l'article L. 6113-7 est ainsi rédigée : « Les conditions de cette désignation et les modes d'organisation de la fonction d'information médicale, en particulier les conditions dans lesquelles des personnels placés sous l'autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l'article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret. »
  
  Article 17 En savoir plus sur cet article...
  
  La seconde phrase de l'article L. 312-9 du code de l'éducation est complétée par les mots : «, ainsi qu'aux règles applicables aux traitements de données à caractère personnel ».
  
  Article 18 En savoir plus sur cet article...
  
  I.-L'article L. 4123-9-1 du code de la défense est ainsi rédigé :
  
  « Art. L. 4123-9-1.-I.-Le responsable d'un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l'une des finalités du traitement.
  « A l'exclusion des traitements mis en œuvre pour le compte de l'Etat, des collectivités territoriales et de leurs groupements ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l'obligation prévue au premier alinéa du présent I, la mention de la qualité de militaire.
  « Les personnes accédant aux données à caractère personnel de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l'identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, selon les règles propres à chacun d'eux.
  « Dans l'hypothèse où le ministre compétent considère, sur le fondement de l'enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l'accès aux données à caractère personnel de militaires y figurant.
  « II.-Sans préjudice du 1 de l'article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, en cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent.
  « III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent article.
  « IV.-Est puni :
  « 1° D'un an d'emprisonnement et de 100 000 € d'amende le manquement, y compris par négligence, à l'obligation prévue au deuxième alinéa du I du présent article ;
  « 2° De trois ans d'emprisonnement et de 300 000 € d'amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l'accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;
  « 3° De trois ans d'emprisonnement et de 300 000 € d'amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »
  
  II.-Les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire disposent, lorsque cette mention n'est pas strictement nécessaire à l'une des finalités du traitement, d'un délai d'un an à compter de la publication de la présente loi pour procéder à sa suppression ou à son remplacement par celle de la qualité d'agent public.
  III.-Le dernier alinéa de l'article 226-16 et le second alinéa de l'article 226-17-1 du code pénal sont supprimés.
  IV.-Les III et IV de l'article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale sont abrogés.
- Chapitre V : Dispositions particulières relatives aux droits des personnes concernées
  
  Article 19 En savoir plus sur cet article...
  
  Au premier alinéa de l'article 7 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : « concernée », sont insérés les mots : «, dans les conditions mentionnées au 11) de l'article 4 et à l'article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ».
  
  Article 20 En savoir plus sur cet article...
  
  La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-1 ainsi rédigé :
  
  « Art. 7-1.-En application du 1 de l'article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans.
  « Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur.
  « Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne. »
  
  Article 21 En savoir plus sur cet article...
  
  I.-L'article 10 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
  
  « Art. 10.-Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
  « Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception :
  « 1° Des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ;
  « 2° Des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
  « Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel. »
  
  II.-Le comité éthique et scientifique mentionné à l'article L. 612-3 du code de l'éducation remet chaque année, à l'issue de la procédure nationale de préinscription et avant le 1er décembre, un rapport au Parlement portant sur le déroulement de cette procédure et sur les modalités d'examen des candidatures par les établissements d'enseignement supérieur. Le comité peut formuler à cette occasion toute proposition afin d'améliorer la transparence de cette procédure.
  
  Article 22 En savoir plus sur cet article...
  
  Après l'article L. 121-4-1 du code de l'éducation, il est inséré un article L. 121-4-2 ainsi rédigé :
  
  « Art. L. 121-4-2.-L'autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d'enseignement scolaire met à la disposition du public le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE comportant la liste de ces traitements. »
  
  Article 23 En savoir plus sur cet article...
  
  Le III de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :
  « Lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible. »
  
  Article 24 En savoir plus sur cet article...
  
  L'article 40 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un III ainsi rédigé :
  « III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement. »
- Chapitre VI : Voies de recours
  
  Article 25 En savoir plus sur cet article...
  
  L'article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
  1° Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;
  2° Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l'informatique et des libertés » ;
  3° Le III est ainsi rédigé :
  « III.-Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d'engager la responsabilité de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.
  « Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018. » ;
  4° Le IV est complété par un alinéa ainsi rédigé :
  « Lorsque l'action tend à la réparation des préjudices subis, elle s'exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »
  
  Article 26 En savoir plus sur cet article...
  
  La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :
  
  « Art. 43 quater.-Toute personne peut mandater une association ou une organisation mentionnée au IV de l'article 43 ter aux fins d'exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l'informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu'est en cause un traitement relevant du chapitre XIII de la présente loi. »
  
  Article 27 En savoir plus sur cet article...
  
  I.-La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé :
  
  « Art. 43 quinquies.-Dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l'informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données à caractère personnel, ou de manière générale afin d'assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d'Etat d'ordonner la suspension d'un transfert de données, le cas échéant sous astreinte, et elle assortit alors ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation de la Commission européenne prise sur le fondement de l'article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l'article 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l'exercice de sa fonction juridictionnelle, la Commission nationale de l'informatique et des libertés peut saisir dans les mêmes conditions le Conseil d'Etat aux fins d'ordonner la suspension du transfert de données fondé sur une décision d'adéquation de la Commission européenne prise sur le fondement de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité de cette décision d'adéquation. »
  
  II.-L'article 226-22-1 du code pénal est ainsi modifié :
  1° Les mots : «, hors les cas prévus par la loi, » sont supprimés ;
  2° Les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 » sont remplacés par les mots : « l'Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 70-25 à 70-27 ».
  
  Article 28 En savoir plus sur cet article...
  
  En application de l'article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final dans les conditions définies au 11 de l'article 4 du même règlement.
  Peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d'ordre technique ou de sécurité les possibilités de choix de l'utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d'utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles.

Titre III : DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL

Article 29 En savoir plus sur cet article...

I.-Le début du V de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« V.-Sans préjudice de l'application des dispositions du chapitre XIII, les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique, dans la … (le reste sans changement). »
II.-Le VI de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.
III.-Au premier alinéa de l'article 41 de la loi n° 78-17 du 6 janvier 1978 précitée, après les mots : « sécurité publique », sont insérés les mots : «, sous réserve de l'application des dispositions du chapitre XIII ».
IV.-A l'article 42 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés.

Article 30 En savoir plus sur cet article...

Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

« Chapitre XIII
« Dispositions applicables aux traitements relevant de la directive (UE 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil

« Section 1
« Dispositions générales

« Art. 70-1.-Le présent chapitre s'applique, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente.
« Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l'exécution d'une mission effectuée, pour l'une des finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa et où sont respectées les dispositions des articles 70-3 et 70-4. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l'objet du fichier et de la nature ou de la gravité des infractions concernées.
« Pour l'application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.

« Art. 70-2.-Le traitement de données mentionnées au I de l'article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s'il est autorisé par une disposition législative ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une personne physique, soit s'il porte sur des données manifestement rendues publiques par la personne concernée.

« Art. 70-3.-Si le traitement est mis en œuvre pour le compte de l'Etat pour au moins l'une des finalités énoncées au premier alinéa de l'article 70-1, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l'article 26 et aux articles 28 à 31.
« Si le traitement porte sur des données mentionnées au I de l'article 8, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l'article 26.

« Art. 70-4.-Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel.
« Si le traitement est mis en œuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 30.
« Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel :
« 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;
« 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

« Art. 70-5.-Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de l'article 70-1 ne peuvent être traitées pour d'autres finalités, à moins qu'un tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de l'Union européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union européenne.
« Lorsque les autorités compétentes sont chargées d'exécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de l'article 70-1, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s'applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union européenne.
« Si le traitement est soumis à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.
« L'autorité compétente qui transmet les données n'applique pas, en vertu du troisième alinéa du présent article, aux destinataires établis dans les autres Etats membres de l'Union européenne ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l'Union européenne des conditions différentes de celles applicables aux transferts de données similaires à l'intérieur de l'Etat membre dont relève l'autorité compétente qui transmet les données.

« Art. 70-6.-Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 70-1 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre.
« Ces traitements peuvent comprendre l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques, pour l'une des finalités énoncées au premier alinéa de l'article 70-1.

« Art. 70-7.-Les traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l'article 36.

« Art. 70-8.-Les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

« Art. 70-9.-Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.
« Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 est interdit.

« Art. 70-10.-Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant que dans les conditions prévues aux 1,2 et 10 de l'article 28 et à l'article 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article.
« Les sous-traitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière que le traitement réponde aux exigences du présent chapitre et garantisse la protection des droits de la personne concernée.
« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous-traitant à l'égard du responsable de traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable de traitement ainsi que les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement, et prévoit que le sous-traitant n'agit que sur instruction du responsable de traitement. Le contenu de ce contrat ou de cet acte juridique est précisé par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.

« Section 2
« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel

« Art. 70-11.-Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
« S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 70-20.

« Art. 70-12.-Le responsable de traitement établit, dans la mesure du possible et le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
« 1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ;
« 2° Les personnes reconnues coupables d'une infraction pénale ;
« 3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ;
« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l'une des personnes mentionnées aux 1° et 2°.

« Art. 70-13.-I.-Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 de la présente loi.
« II.-En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à :
« 1° Empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement ;
« 2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;
« 3° Empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l'inspection, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées ;
« 4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes qui n'y sont pas autorisées à l'aide d'installations de transmission de données ;
« 5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation ;
« 6° Garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;
« 7° Garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;
« 8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;
« 9° Garantir que les systèmes installés puissent être rétablis en cas d'interruption ;
« 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

« Art. 70-14.-Le responsable de traitement et son sous-traitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 de la présente loi, l'indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

« Art. 70-15.-Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l'interconnexion et l'effacement, portant sur de telles données.
« Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci.
« Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales.
« Ce journal est mis à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.

« Art. 70-16.-Les articles 31,33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.
« Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement établi dans un autre Etat membre de l'Union européenne ou à celui-ci, le responsable de traitement établi en France notifie également la violation au responsable de traitement de l'autre Etat membre dans les meilleurs délais.
« La communication d'une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d'autrui.

« Art. 70-17.-Sauf pour les juridictions agissant dans l'exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.
« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, en fonction de leur structure organisationnelle et de leur taille.
« Les dispositions des 5 et 7 de l'article 37, des 1 et 2 de l'article 38 et du 1 de l'article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu'elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

« Section 3
« Droits de la personne concernée par un traitement de données à caractère personnel

« Art. 70-18.-I.-Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :
« 1° L'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;
« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;
« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;
« 4° Le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;
« 5° L'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.
« II.-En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d'exercer ses droits :
« 1° La base juridique du traitement ;
« 2° La durée de conservation des données à caractère personnel ou, à défaut lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris ceux établis dans les Etats n'appartenant pas à l'Union européenne ou au sein d'organisations internationales ;
« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.

« Art. 70-19.-La personne concernée a le droit d'obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, le droit d'accéder auxdites données ainsi qu'aux informations suivantes :
« 1° Les finalités du traitement ainsi que sa base juridique ;
« 2° Les catégories de données à caractère personnel concernées ;
« 3° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des Etats n'appartenant pas à l'Union européenne ou au sein d'organisations internationales ;
« 4° Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, à défaut lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
« 5° L'existence du droit de demander au responsable de traitement la rectification ou l'effacement des données à caractère personnel, et l'existence du droit de demander une limitation du traitement de ces données ;
« 6° Le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;
« 7° La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.

« Art. 70-20.-I.-La personne concernée a le droit d'obtenir du responsable de traitement :
« 1° Que soient rectifiées dans les meilleurs délais des données à caractère personnel la concernant qui sont inexactes ;
« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;
« 3° Que soient effacées dans les meilleurs délais des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.
« II.-Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier qu'il a procédé aux opérations exigées en application du I.
« III.-Au lieu de procéder à l'effacement, le responsable de traitement limite le traitement :
« 1° Soit lorsque l'exactitude des données à caractère personnel est contestée par la personne concernée sans qu'il soit possible de déterminer si les données sont exactes ou non ;
« 2° Soit lorsque les données à caractère personnel doivent être conservées à des fins probatoires.
« Lorsque le traitement est limité en application du 1° du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.
« IV.-Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.
« V.-Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l'autorité compétente de laquelle ces données proviennent.
« VI.-Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.

« Art. 70-21.-I.-Les droits de la personne physique concernée peuvent faire l'objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :
« 1° Eviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;
« 2° Eviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;
« 3° Protéger la sécurité publique ;
« 4° Protéger la sécurité nationale ;
« 5° Protéger les droits et libertés d'autrui.
« Ces restrictions sont prévues par l'acte instaurant le traitement.
« II.-Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :
« 1° Retarder ou limiter la communication à la personne concernée des informations mentionnées au II de l'article 70-18 ou ne pas communiquer ces informations ;
« 2° Refuser ou limiter le droit d'accès de la personne concernée prévu à l'article 70-19 ;
« 3° Ne pas informer la personne du refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ni des motifs de cette décision, par dérogation au IV de l'article 70-20.
« III.-Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d'accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l'informatique et des libertés.
« IV.-En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d'exercer ses droits par l'intermédiaire de la Commission nationale de l'informatique et des libertés. Hors le cas prévu au 1° du II, il l'informe également de la possibilité de former un recours juridictionnel.

« Art. 70-22.-En cas de restriction des droits de la personne concernée intervenue en application des II ou III de l'article 70-21, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés.
« Les deuxième et troisième alinéas de l'article 41 sont alors applicables.
« Lorsque la commission informe la personne concernée qu'il a été procédé aux vérifications nécessaires, elle l'informe également de son droit de former un recours juridictionnel.

« Art. 70-23.-I.-Les informations mentionnées aux articles 70-18 à 70-20 sont fournies par le responsable de traitement à la personne concernée par tout moyen approprié, y compris par voie électronique et, de manière générale, sous la même forme que la demande.
« II.-Aucun paiement n'est exigé pour prendre les mesures et fournir ces mêmes informations, sauf en cas de demande manifestement infondée ou abusive.
« En cas de demande manifestement infondée ou abusive, le responsable de traitement peut également refuser de donner suite à la demande.
« En cas de contestation, la charge de la preuve du caractère manifestement infondé ou abusif des demandes incombe au responsable de traitement auquel elles sont adressées.

« Art. 70-24.-Les dispositions de la présente section ne s'appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l'objet d'un traitement lors d'une procédure pénale. Dans ces cas, l'accès à ces données et les conditions de rectification ou d'effacement de ces données ne peuvent être régis que par les dispositions du code de procédure pénale.

« Section 4
« Transferts de données à caractère personnel vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne

« Art. 70-25.-Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne que lorsque les conditions suivantes sont respectées :
« 1° Le transfert de ces données est nécessaire à l'une des finalités énoncées au premier alinéa de l'article 70-1 ;
« 2° Les données à caractère personnel sont transférées à un responsable établi dans cet Etat n'appartenant pas à l'Union européenne ou au sein d'une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l'article 70-1 ;
« 3° Si les données à caractère personnel proviennent d'un autre Etat, l'Etat qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.
« Toutefois, si l'autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l'autorisation préalable de l'Etat qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre Etat ou pour la sauvegarde des intérêts essentiels de la France. L'autorité dont provenaient ces données personnelles en est informée sans retard ;
« 4° La Commission européenne a adopté une décision d'adéquation en application de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l'absence d'une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu'il existe de telles garanties appropriées.
« Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet Etat n'appartenant pas à l'Union européenne, soit de dispositions juridiquement contraignantes exigées à l'occasion de l'échange de données.
« Lorsque le responsable de traitement autre qu'une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles transfère des données à caractère personnel sur le seul fondement de l'existence de garanties appropriées au regard de la protection des données à caractère personnel, il avise la Commission nationale de l'informatique et des libertés des catégories de transferts relevant de ce fondement.
« Dans ce cas, le responsable de traitement doit garder trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Ces informations sont mises à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.
« Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d'adéquation adoptée en application de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement peut néanmoins transférer des données à caractère personnel ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.

« Art. 70-26.-Par dérogation à l'article 70-25, le responsable de traitement de données à caractère personnel ne peut, en l'absence de décision d'adéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne que lorsque le transfert est nécessaire :
« 1° A la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne ;
« 2° A la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;
« 3° Pour prévenir une menace grave et immédiate pour la sécurité publique d'un autre Etat ;
« 4° Dans des cas particuliers, à l'une des finalités énoncées au premier alinéa de l'article 70-1 ;
« 5° Dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les mêmes fins.
« Dans les cas mentionnés aux 4° et 5° du présent article, le responsable de traitement de données à caractère personnel ne transfère pas ces données s'il estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé.
« Lorsqu'un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.

« Art. 70-27.-Toute autorité publique compétente mentionnée au premier alinéa de l'article 70-1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un Etat n'appartenant pas à l'Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant du même article 70-1 sont respectées et que les conditions ci-après sont remplies :
« 1° Le transfert est nécessaire à l'exécution de la mission de l'autorité compétente qui transfère ces données pour l'une des finalités énoncées au premier alinéa dudit article 70-1 ;
« 2° L'autorité compétente qui transfère ces données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public rendant nécessaire le transfert dans le cas considéré ;
« 3° L'autorité compétente qui transfère ces données estime que le transfert à l'autorité compétente de l'autre Etat est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;
« 4° L'autorité compétente de l'autre Etat est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;
« 5° L'autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l'objet d'un traitement par ce destinataire, à condition qu'un tel traitement soit nécessaire.
« L'autorité compétente qui transfère des données informe la Commission nationale de l'informatique et des libertés des transferts répondant aux conditions prévues au présent article.
« L'autorité compétente garde trace de la date et de l'heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »

Titre IV : DISPOSITIONS VISANT À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

Article 31 En savoir plus sur cet article...

Sans préjudice du dernier alinéa de l'article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel.
Les collectivités territoriales et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel.

Article 32 En savoir plus sur cet article...

I. - Dans les conditions prévues à l'article 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier à III de la présente loi et au présent titre, le Gouvernement est autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires :
1° A la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;
2° Pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;
3° A l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l'Etat.
II. - Cette ordonnance est prise, après avis de la Commission nationale de l'informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.
III. - Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l'ordonnance.

Article 33 En savoir plus sur cet article...

I.-Le livre II du code de la consommation, dans sa rédaction résultant de l'article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, est ainsi modifié :
1° La sous-section 4 de la section 3 du chapitre IV du titre II est abrogée ;
2° Au premier alinéa de l'article L. 242-20, la référence : « L. 224-42-3, » est supprimée.
II.-Le II de l'article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est abrogé.

Titre V : DISPOSITIONS DIVERSES ET FINALES

Article 34 En savoir plus sur cet article...

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° Au second alinéa du II de l'article 13, après la référence : « 3° », est insérée la référence : « du I » ;
2° L'article 15 est ainsi modifié :
a) Le quatrième alinéa est supprimé ;
b) Aux cinquième et sixième alinéas, après la référence : « 2° », est insérée la référence : « du I » ;
c) Au septième alinéa, après la référence : « 4° », est insérée la référence : « du I » ;
d) Le dernier alinéa est supprimé ;
3° Les troisième et dernier alinéas de l'article 16 sont supprimés ;
4° Au second alinéa de l'article 17, après la référence : « 2° », est insérée la référence : « du I » ;
5° Au second alinéa de l'article 21, après la référence : « 2° », est insérée la référence : « du I » ;
6° Au premier alinéa de l'article 29, la référence : « 25, » est supprimée ;
7° Le I de l'article 30 est ainsi modifié :
a) Au premier alinéa, le mot : « déclarations, » est supprimé ;
b) Aux 2° et 6°, la référence : « 25, » est supprimée ;
8° Le I de l'article 31 est ainsi modifié :
a) Au premier alinéa, la référence : « 23 à » est remplacée par la référence : « 26 et » ;
b) A la fin du 1°, les mots : « ou la date de la déclaration de ce traitement » sont supprimés ;
9° A la seconde phrase du second alinéa du II de l'article 39, les mots : « ou dans la déclaration » sont supprimés ;
10° A l'article 42, la référence : « 25, » est supprimée ;
11° L'article 67 est ainsi modifié :
a) Au premier alinéa, les références : « 22, les 1° et 3° du I de l'article 25, les articles » sont supprimées ;
b) Le quatrième alinéa est supprimé ;
c) La seconde phrase de l'avant-dernier alinéa est supprimée ;
12° L'article 70 est abrogé ;
13° La seconde phrase de l'article 71 est supprimée.

Article 35 En savoir plus sur cet article...

I. - Pour les traitements ayant fait l'objet de formalités antérieurement au 25 mai 2018, la liste mentionnée à l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans.
II. - Par dérogation au premier alinéa de l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la mise en œuvre des traitements comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques qui ont été autorisés avant le 25 mai 2018 en application des articles 25 et 27 de la même loi, dans leur rédaction antérieure à la présente loi, ne sont pas soumis à l'obligation d'être mentionnés dans le décret prévu au premier alinéa de l'article 22 de la loi n° 78-17 du 6 janvier 1978 précitée, sauf modification de ces traitements et au plus tard jusqu'au 25 mai 2020. Ces traitements restent soumis à l'ensemble des autres obligations découlant de la même loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Article 36 En savoir plus sur cet article...

I.-L'article 230-8 du code de procédure pénale est ainsi rédigé :

« Art. 230-8.-Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d'office ou à la demande de la personne concernée, ordonne qu'elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu'elles fassent l'objet d'une mention. La rectification pour requalification judiciaire est de droit. Le procureur de la République se prononce dans un délai de deux mois sur les suites qu'il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d'une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d'irrecevabilité, que lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d'une décision de relaxe ou d'acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause font l'objet d'une mention, sauf si le procureur de la République ordonne l'effacement des données personnelles. Lorsque les données personnelles relatives à la personne concernée font l'objet d'une mention, elles ne peuvent faire l'objet d'une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114-1 et L. 234-1 à L. 234-3 du code de la sécurité intérieure et à l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l'effacement des données personnelles ou ordonnant qu'elles fassent l'objet d'une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de l'intéressé.
« Les décisions d'effacement ou de rectification des informations nominatives prises par le procureur de la République sont portées à la connaissance des responsables de tous les traitements automatisés pour lesquels, sous réserve des règles d'effacement ou de rectification qui leur sont propres, ces mesures ont des conséquences sur la durée de conservation des données personnelles.
« Les décisions du procureur de la République sont susceptibles de recours devant le président de la chambre de l'instruction.
« Le procureur de la République dispose pour l'exercice de ses fonctions d'un accès direct aux traitements automatisés de données à caractère personnel mentionnés à l'article 230-6. »
II.-A la dernière phrase du deuxième alinéa de l'article 230-9 du code de procédure pénale, les mots : « d'un » sont remplacés par les mots : « de deux ».
III.-Le premier alinéa de l'article 804 du code de procédure pénale est ainsi rédigé :
« Le présent code est applicable, dans sa rédaction résultant de loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve des adaptations prévues au présent titre et aux seules exceptions : ».

Article 37 En savoir plus sur cet article...

Les titres Ier à III et les articles 34 et 35 entrent en vigueur le 25 mai 2018.
Toutefois, l'article 70-15 de la loi n° 78-17 du 6 janvier 1978 précitée entre en vigueur à une date fixée par décret, et au plus tard :
1° Le 6 mai 2023 lorsqu'une telle obligation exigerait des efforts disproportionnés ;
2° Le 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.
La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l'entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire.
La seconde phrase du 2° de l'article 10 de la loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction résultant de l'article 21 de la présente loi, entre en vigueur le 1er juillet 2020.
L'article 22 entre en vigueur à compter de la rentrée de l'année scolaire 2018-2019.
La présente loi sera exécutée comme loi de l'Etat.

Fait à Paris, le 20 juin 2018.

Emmanuel Macron

Par le Président de la République :

Le Premier ministre,

Edouard Philippe

Le ministre d'Etat, ministre de l'intérieur,

Gérard Collomb

La garde des sceaux, ministre de la justice,

Nicole Belloubet

Le ministre de l'Europe et des affaires étrangères,

Jean-Yves Le Drian

La ministre des armées,

Florence Parly

Le ministre de la cohésion des territoires,

Jacques Mézard

La ministre des solidarités et de la santé,

Agnès Buzyn

Le ministre de l'économie et des finances,

Bruno Le Maire

La ministre de la culture,

Françoise Nyssen

Le ministre de l'éducation nationale,

Jean-Michel Blanquer

La ministre de l'enseignement supérieur, de la recherche et de l'innovation,

Frédérique Vidal

La ministre auprès du ministre de l'Europe et des affaires étrangères, chargée des affaires européennes,

Nathalie Loiseau

Le secrétaire d'Etat auprès du Premier ministre, chargé du numérique,

Mounir Mahjoubi

(1) Loi n° 2018-493.

- Travaux préparatoires :

Assemblée nationale :

Projet de loi n° 490 ;

Rapport de Mme Paula Forteza, au nom de la commission des lois, n° 592 ;

Avis de Mme Albane Gaillot, au nom de la commission des affaires sociales, n° 579 ;

Discussion les 6 et 7 février 2018 et adoption, après engagement de la procédure accélérée, le 13 février 2018 (TA n° 84).

Sénat :

Projet de loi, adopté par l'Assemblée nationale, n° 296 (2017-2018) ;

Rapport de Mme Sophie Joissains, au nom de la commission des lois, n° 350 (2017-2018) ;

Rapport d'information de M. Simon Sutour, au nom de la commission des affaires européennes, n° 344 (2017-2018) ;

Texte de la commission n° 351 (2017-2018) ;

Discussion les 20 et 21 mars 2018 et adoption le 21 mars 2018 (TA n° 76, 2017-2018).

Assemblée nationale :

Projet de loi, modifié par le Sénat, n° 809 ;

Rapport de Mme Paula Forteza, au nom de la commission mixte paritaire, n° 855.

Sénat :

Rapport de Mme Sophie Joissains, au nom de la commission mixte paritaire, n° 407 (2017-2018) ;

Résultat des travaux de la commission n° 408 (2017-2018) ;

Assemblée nationale :

Projet de loi, modifié par le Sénat, n° 809 ;

Rapport de Mme Paula Forteza, au nom de la commission des lois n° 860 ;

Discussion et adoption le 12 avril 2018 (TA n° 110).

Sénat :

Projet de loi, adopté par l'Assemblée nationale, n° 425 (2017-2018) ;

Rapport de Mme Sophie Joissains, au nom de la commission des lois, n° 441 (2017-2018) ;

Texte de la commission n° 442 (2017-2018) ;

Discussion et adoption le 19 avril 2018 (TA n° 100, 2017-2018).

Assemblée nationale :

Projet de loi, modifié par le Sénat en nouvelle lecture n° 903 ;

Discussion et adoption, en lecture définitive, le 14 mai 2018 (TA n° 113).

- Conseil constitutionnel :

Décision n° 2018-765 DC du 12 juin 2018 publiée au Journal officiel de ce jour.

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

NOR: JUSC1911425D
Version consolidée au 08 octobre 2019

Le Premier ministre,
Sur le rapport de la garde des sceaux, ministre de la justice,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de l'action sociale et des familles ;
Vu le code de la défense ;
Vu le code de justice administrative ;
Vu le code de l'organisation judiciaire ;
Vu le code du patrimoine ;
Vu le code pénal ;
Vu le code de procédure pénale ;
Vu le code des relations entre le public et l'administration ;
Vu le code de la santé publique ;
Vu le code de la sécurité intérieure ;
Vu la loi du 29 juillet 1881 sur la liberté de la presse ;
Vu la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel ;
Vu la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire modifiée ;
Vu la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes ;
Vu la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice ;
Vu l'ordonnance n° 45-174 du 2 février 1945 modifiée relative à l'enfance délinquante ;
Vu le décret n° 2006-781 du 3 juillet 2006 fixant les conditions et les modalités de règlement des frais occasionnés par les déplacements temporaires des personnels civils de l'Etat ;
Vu le décret n° 2018-232 du 30 mars 2018 pris pour l'application à la Commission nationale de l'informatique et des libertés de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes ;
Vu la délibération n° 2019-055 du 9 mai 2019 portant avis de la Commission nationale de l'informatique et des libertés ;
Vu l'avis du gouvernement de la Nouvelle-Calédonie en date du 7 mai 2019 ;
Vu l'avis du gouvernement de la Polynésie française en date du 16 mai 2019 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :

Titre IER : DISPOSITIONS COMMUNES
- Chapitre Ier : La Commission nationale de l'informatique et des libertés
  - Section 1 : Composition et fonctionnement
    
    Article 1 En savoir plus sur cet article...
    
    Les membres de la Commission nationale de l'informatique et des libertés mentionnés aux 2°, 3°, 4°, 5°, 6° et 7° du I de l'article 9 de la loi du 6 janvier 1978 susvisée sont renouvelés par moitié tous les deux ans et six mois.
    
    Article 2 En savoir plus sur cet article...
    
    Les membres de la Commission nationale de l'informatique et des libertés sont convoqués par son président. La convocation est de droit à la demande du tiers des membres de la commission. La convocation précise l'ordre du jour.
    
    Article 3 En savoir plus sur cet article...
    
    La commission ne peut valablement délibérer que si la majorité de ses membres en exercice participe à la séance.
    
    Article 4 En savoir plus sur cet article...
    
    Les délibérations de la commission sont prises à la majorité absolue des membres présents.
    Toutefois, sont prises à la majorité absolue des membres composant la commission, réunie en formation plénière, les délibérations suivantes :
    1° L'élection des vice-présidents, dont celle du vice-président délégué ;
    2° L'adoption du règlement intérieur ;
    3° Les avis émis par la commission lorsqu'elle est saisie de la création de traitements mentionnés aux articles 31 et 32 de la loi du 6 janvier 1978 susvisée ;
    4° Les lignes directrices, recommandations ou référentiels et les méthodologies de référence mentionnés au b, ainsi que les règlements types mentionnés au c du 2° du I de l'article 8 de la même loi ;
    5° Les décisions élaborant ou approuvant les critères des référentiels de certification et d'agrément mentionnés au h du 2° du I de l'article 8 de la même loi ;
    6° Les autorisations délivrées par la commission, lorsqu'elle est saisie de la création de traitements de la section 3 du chapitre III du titre II de la même loi ;
    7° Les clauses contractuelles types de protection des données mentionnées à l'article 28 et à l'article 46 du règlement (UE) 2016/679 susvisé ;
    8° Les décisions et avis relatifs aux codes de conduite mentionnés au 5 de l'article 40 du même règlement ;
    9° Les listes de traitement mentionnées aux 4 et 5 de l'article 35 du même règlement et au k du 2° du I de l'article 8 de la même loi.
    
    Article 5 En savoir plus sur cet article...
    
    I. − Le président de la commission et le vice-président délégué peuvent, après en avoir informé la formation plénière de la commission, donner délégation au secrétaire général pour signer les seuls actes suivants :
    1° Tous actes ayant pour objet :
    a) La clôture d'une vérification diligentée en application du g du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée ;
    b) Conformément à la procédure de consultation préalable prévue à l'article 36 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, d'adresser un avis écrit au responsable de traitement ;
    c) Le renouvellement du délai de mise en demeure en application de l'article 38 du présent décret ;
    d) La désignation d'un expert ou d'un médecin en application des articles 35 et 36 du présent décret ;
    e) La prolongation des délais mentionnés au 2 de l'article 36 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, à l'article 34 et au V de l'article 66 de la loi du 6 janvier 1978, ainsi qu'aux articles 9, 72, 73, 74, 125 et 130 du présent décret ;
    f) La saisine de l'Institut national des données de santé en application de l'article 93 du présent décret ;
    2° Tout acte ayant pour objet le constat du respect des conditions mentionnées au 4 de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ;
    3° Tous actes ayant pour objet la communication et la diffusion de documents administratifs ;
    4° Tous actes ayant pour objet d'exercer les attributions mentionnées au d du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée et au 9 de l'article 60 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
    II. − Par délégation du président de la commission, le secrétaire général peut signer tous actes ayant pour objet le recrutement, la gestion et la rémunération du personnel de la commission, la gestion de son budget ainsi que tous marchés et conventions nécessaires à son fonctionnement.
    III. − Dans les conditions fixées par le président de la commission, le secrétaire général peut donner délégation aux agents d'encadrement placés sous son autorité à l'effet de signer, dans la limite de leurs attributions, tous actes pour lesquels il a lui-même reçu une délégation de signature en application du 2°, du 3° et du 4° du I et du II.
    Les agents mentionnés à l'alinéa précédent peuvent eux-mêmes donner délégation pour signer tous actes relatifs aux affaires pour lesquelles ils ont eux-mêmes reçu délégation :
    1° Aux agents de catégorie A placés sous leur autorité pour les actes mentionnés au 3° du I et au II ;
    2° Aux agents chargés de l'instruction des affaires mentionnées au 4° du I.
    IV. − Ces délégations s'exercent sous l'autorité du président et du vice-président délégué ainsi que, le cas échéant, sous l'autorité du supérieur hiérarchique immédiat des agents concernés.
    V. − Ces délégations sont publiées sur le site internet de la Commission nationale de l'informatique et des libertés.
    
    Article 6 En savoir plus sur cet article...
    
    Les membres de la commission élisent en leur sein à la majorité absolue des membres composant la commission le président, le vice-président et les quatre autres membres de la formation restreinte dans les conditions prévues à l'article 9 de la loi du 6 janvier 1978 susvisée.
    La commission ne peut valablement procéder à cette élection que si la majorité des membres en exercice de la commission participe à la séance.
    Lorsque l'un des membres élus au sein de la formation restreinte cesse d'exercer ses fonctions en cours de mandat, il est remplacé dans les conditions définies aux alinéas précédents.
    La formation restreinte ne peut valablement délibérer que si au moins quatre de ses membres, dont le président ou le vice-président, sont présents.
    
    Article 7 En savoir plus sur cet article...
    
    Les dépenses sont ordonnancées par le président de la commission ou par le vice-président délégué.
    
    Article 8 En savoir plus sur cet article...
    
    Les membres de la commission ont droit au remboursement des frais que nécessite l'exécution de leur mandat, dans les conditions prévues par le décret du 3 juillet 2006 susvisé.
    Les personnels qui sont appelés à prêter leur concours à la commission ont droit, dans les conditions de l'alinéa précédent, au remboursement des frais engagés à l'occasion des missions exécutées pour le compte de la commission.
    
    Article 9 En savoir plus sur cet article...
    
    I. - La Commission nationale de l'informatique et des libertés, saisie dans le cadre du a du 4° du I de l'article 8 de la loi du 6 janvier 1978 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis. Ce délai peut être prolongé d'un mois sur décision motivée du président de la commission.
    En cas d'urgence, ce délai est ramené à un mois à la demande du Gouvernement lorsque la commission est saisie de projets de loi ou de décret ou de toute disposition de projet de loi ou de décret.
    II. - Les avis destinés au président de l'Assemblée nationale, au président du Sénat, aux commissions parlementaires de l'Assemblée nationale et du Sénat ou aux présidents de groupe parlementaire peuvent être publiés par leur destinataire ou, avec l'accord de ce dernier, par la Commission nationale de l'informatique et des libertés.
    III. - La commission, saisie dans le cadre du e du 2° du I de l'article 8 de la même loi, ou sur le fondement de toute autre disposition législative prévoyant qu'un acte réglementaire est pris après avis de la commission, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande. Ce délai peut être prolongé d'un mois sur décision motivée du président de la commission. En cas d'urgence, ce délai est ramené à un mois à la demande du Gouvernement lorsque la commission est saisie par ce dernier.
    IV. - Lorsqu'il n'est pas rendu à l'expiration des délais prévus au I et au III, l'avis demandé à la commission est réputé donné.
    
    Article 10 En savoir plus sur cet article...
    
    En vue de faciliter l'introduction des réclamations visées au d du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée, la commission fournit notamment un formulaire de réclamation pouvant être rempli par voie électronique.
    Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet.
    
    Article 11 En savoir plus sur cet article...
    
    L'accomplissement des missions de la commission est gratuit pour la personne concernée et pour le délégué à la protection des données.
    Toutefois, lorsqu'une demande est manifestement infondée ou excessive en raison notamment de son caractère répétitif, la commission peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. En cas de contestation, la charge de la preuve du caractère manifestement infondé ou excessif de la demande incombe à la commission.
    
    Article 12 En savoir plus sur cet article...
    
    Lorsque la commission demande, pour l'exercice de ses missions, communication de documents dont doit disposer le responsable du traitement ou le sous-traitant en application du règlement (UE) 2016/679 du 27 avril 2016 susvisé ou de la loi 6 janvier 1978 susvisée, elle peut exiger que l'organisme concerné joigne une traduction en français des documents rédigés dans une autre langue.
    
    Article 13 En savoir plus sur cet article...
    
    Les listes de traitements établies par la commission en application des 4 et 5 de l'article 35 du règlement (UE) 2016/679 du 27 avril 2016 susvisé et du k du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée sont publiées au Journal officiel de la République française.
    
    Article 14 En savoir plus sur cet article...
    
    La Commission nationale de l'informatique et des libertés contribue aux activités du comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
    
    Article 15 En savoir plus sur cet article...
    
    Le commissaire du Gouvernement est convoqué à toutes les séances mentionnées à l'article 17 de la loi du 6 janvier 1978 susvisée dans les mêmes conditions que les membres de la commission.
    En cas d'absence ou d'empêchement, il est remplacé par un commissaire du Gouvernement adjoint.
    La commission ne peut valablement délibérer que si le projet de délibération et, le cas échéant, le rapport y afférent, relatifs aux dossiers inscrits à l'ordre du jour d'une séance sont parvenus au commissaire du Gouvernement huit jours au moins avant la date de la séance.
    Le commissaire du Gouvernement peut consulter dans le même délai, sur place et sur pièces, les dossiers inscrits à l'ordre du jour.
  - Section 2 : Contrôle de la mise en œuvre des traitements
    - Sous-section 1 : Dispositions générales relatives à l'habilitation
      - Paragraphe 1 : L'habilitation des agents des services de la commission et les personnes lui prêtant leur concours
        
        Article 16 En savoir plus sur cet article...
        
        L'habilitation prévue par le dernier alinéa de l'article 10 de la loi du 6 janvier 1978 susvisée est délivrée aux agents des services de la commission pour une durée de cinq ans renouvelable.
        
        Article 17 En savoir plus sur cet article...
        
        Nul agent des services de la commission ne peut être habilité à effectuer une visite ou une vérification s'il a fait l'objet d'une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casier judiciaire, ou dans un document équivalent lorsqu'il s'agit d'un ressortissant de l'Union européenne.
        
        Article 18 En savoir plus sur cet article...
        
        Nul agent des services de la commission ne peut être désigné pour effectuer une visite ou une vérification auprès d'un organisme au sein duquel :
        1° Il détient un intérêt direct ou indirect, exerce des fonctions ou une activité professionnelle ou détient un mandat ;
        2° Il a, au cours des trois années précédant la visite ou la vérification, détenu un intérêt direct ou indirect, exercé des fonctions ou une activité professionnelle ou détenu un mandat.
        
        Article 19 En savoir plus sur cet article...
        
        Lorsque les conditions prévues aux articles 16 à 18 cessent d'être remplies, il est mis fin à l'habilitation après que l'intéressé a été mis en mesure de présenter ses observations. En cas d'urgence, la commission peut suspendre l'habilitation pour une durée maximale de six mois.
        Il est également mis fin à l'habilitation lorsque l'intéressé n'exerce plus les fonctions à raison desquelles il a été habilité.
      - Paragraphe 2 : L'habilitation des membres et agents des autres autorités de contrôle des Etats membres de l'Union européenne
        
        Article 20 En savoir plus sur cet article...
        
        L'habilitation prévue au III de l'article 25 de la loi du 6 janvier 1978 susvisée est délivrée aux membres et agents des autorités de contrôle des Etats membres de l'Union européenne pour la durée de l'opération conjointe qui se déroule sur le territoire français.
        
        Article 21 En savoir plus sur cet article...
        
        Lorsque l'autorité de contrôle d'un Etat membre demande la participation d'un de ses membres ou agents à une opération conjointe, elle atteste auprès du président de la Commission nationale de l'informatique et des libertés qu'ils répondent aux conditions prévues aux articles 17 et 18. Le président de la commission est tenu de refuser l'habilitation si le membre ou l'agent ne respecte pas ces conditions.
        
        Article 22 En savoir plus sur cet article...
        
        Le président de la Commission nationale de l'informatique et des libertés peut retirer l'habilitation délivrée en application de l'article 20 si les conditions prévues aux articles 17 et 18 cessent d'être remplies. L'intéressé est mis en demeure de présenter ses observations. En cas d'urgence, le président de la commission peut suspendre l'habilitation. Il informe l'autorité de contrôle concernée du retrait ou de la suspension.
    - Sous-section 2 : Dispositions particulières relatives à l'habilitation des agents, des membres de la commission et les personnes lui prêtant leur concours pour les traitements relevant de l'article 31 de la loi du 6 janvier 1978
      
      Article 23 En savoir plus sur cet article...
      
      Les agents de la commission et les personnes lui prêtant leur concours, appelés dans le cadre de l'exécution de leur mission, à prendre connaissance d'informations classifiées au titre de la protection du secret de défense nationale, doivent y être habilités par le Premier ministre dans les conditions fixées par le code de la défense.
      Les agents de la commission et les personnes lui prêtant leur concours, appelés à effectuer les visites ou les vérifications portant sur les traitements relevant de l'article 31 de la loi du 6 janvier 1978 susvisée, doivent y être habilités par le Premier ministre, sur proposition du président de la commission, après une enquête administrative, dans les conditions prévues par l'article L. 114-1 du code de la sécurité intérieure, vérifiant que la moralité ou le comportement de ces personnes n'est pas incompatible avec l'exercice de leurs missions et la consultation de ces fichiers.
      
      Article 24 En savoir plus sur cet article...
      
      Le président de la Commission nationale de l'informatique et des libertés fait connaître, chaque année, au Premier ministre les nom et qualité des membres, des agents de la commission et des personnes lui prêtant leur concours, désignés pour procéder à toutes investigations concernant les traitements relevant de l'article 31 de la loi du 6 janvier 1978 susvisée.
    - Sous-section 3 : Le contrôle sur place
      
      Article 25 En savoir plus sur cet article...
      
      Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de la République dans le ressort territorial duquel doit avoir lieu la visite ou la vérification.
      Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.
      
      Article 26 En savoir plus sur cet article...
      
      Lorsque la commission effectue un contrôle sur place, elle informe au plus tard lors de son arrivée sur place le responsable des lieux ou son représentant de l'objet des vérifications qu'elle compte entreprendre, de l'identité et de la qualité des personnes chargées du contrôle ainsi que, le cas échéant, de son droit d'opposition à la visite. Lorsque le responsable du traitement ou le sous-traitant n'est pas présent sur les lieux du contrôle, ces informations sont portées à sa connaissance dans les quinze jours suivant le contrôle.
      Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demande leur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles.
      
      Article 27 En savoir plus sur cet article...
      
      Lorsque le président de la commission saisit le juge des libertés et de la détention sur le fondement du II de l'article 19 de la loi du 6 janvier 1978 susvisée afin que celui-ci autorise la visite sur place, le juge statue dans un délai de quarante-huit heures.
      Sans préjudice du troisième alinéa du II de cet article 19, l'ordonnance autorisant la visite sur place comporte l'adresse des lieux à visiter, le nom et la qualité du ou des agents habilités à procéder aux opérations de visite et de contrôle, le cas échéant le nom et la qualité du ou des agents ou membres des autorités de contrôle des Etats membres habilités à procéder aux mêmes opérations, ainsi que les heures auxquelles ils sont autorisés à se présenter.
      L'ordonnance, exécutoire au seul vu de la minute, est notifiée sur place, au moment de la visite, au responsable des lieux ou à son représentant qui en reçoit copie intégrale contre récépissé ou émargement au procès-verbal de visite.
      L'acte de notification comporte mention des voies et délais de recours contre l'ordonnance ayant autorisé la visite et contre le déroulement des opérations de vérification. Il mentionne également que le juge ayant autorisé la visite peut être saisi d'une demande de suspension ou d'arrêt de cette visite.
      En l'absence du responsable des lieux ou de son représentant, l'ordonnance est notifiée, après la visite, par lettre recommandée avec demande d'avis de réception. A défaut de réception de la lettre recommandée, il est procédé à la signification de l'ordonnance par acte d'huissier de justice.
      Le juge des libertés et de la détention peut, s'il l'estime utile, se rendre dans les locaux pendant l'intervention. A tout moment, il peut décider la suspension ou l'arrêt de la visite. La saisine du juge des libertés et de la détention aux fins de suspension ou d'arrêt des opérations de visite et de vérification n'a pas d'effet suspensif.
      
      Article 28 En savoir plus sur cet article...
      
      L'ordonnance autorisant la visite peut faire l'objet d'un appel devant le premier président de la cour d'appel suivant les règles prévues par les articles 931 et suivants du code de procédure civile.
      Cet appel est formé par déclaration remise ou adressée par lettre recommandée avec demande d'avis de réception au greffe de la cour d'appel dans un délai de quinze jours à compter de la notification de l'ordonnance. Cet appel n'est pas suspensif.
      Le greffe du tribunal de grande instance transmet sans délai le dossier de l'affaire au greffe de la cour d'appel où les parties peuvent le consulter.
      L'ordonnance du premier président de la cour d'appel est susceptible d'un pourvoi en cassation selon les règles prévues par les articles 974 et suivants du code de procédure civile.
      
      Article 29 En savoir plus sur cet article...
      
      Le premier président de la cour d'appel connaît des recours contre le déroulement des opérations de visite autorisées par le juge des libertés et de la détention.
      Le recours est formé par déclaration remise ou adressée par lettre recommandée avec demande d'avis de réception au greffe de la cour d'appel dans un délai de quinze jours à compter de la notification du procès-verbal de la visite. Ce recours n'est pas suspensif.
      L'ordonnance du premier président de la cour d'appel est susceptible d'un pourvoi en cassation selon les règles prévues par les articles 974 et suivants du code de procédure civile. Le délai du pourvoi en cassation est de quinze jours.
      
      Article 30 En savoir plus sur cet article...
      
      Lorsqu'en application des articles 24 à 28 de la loi du 6 janvier 1978 susvisée la commission procède à des vérifications, à la demande d'une autorité de contrôle d'un autre Etat membre de l'Union européenne, elle en informe le responsable du traitement ou le sous-traitant.
      La commission informe également le responsable du traitement ou le sous-traitant que les informations recueillies ou détenues par elle sont susceptibles d'être communiquées à d'autres autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence prévu à la section 2 du chapitre VII du règlement (UE) 2016/679 du 27 avril 2016 susvisé, que le contrôle ait été effectué à la demande d'une autre autorité ou à sa seule initiative.
      
      Article 31 En savoir plus sur cet article...
      
      Les missions de contrôle sur place font l'objet d'un procès-verbal.
      Le procès-verbal énonce la nature, le jour, l'heure et le lieu des vérifications ou des contrôles effectués. Il indique également l'objet de la mission, les membres de celle-ci présents, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les membres de la mission ainsi que les éventuelles difficultés rencontrées. L'inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie est annexé au procès-verbal.
      Lorsque la visite n'a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son déroulement, ainsi que, le cas échéant, les motifs de l'opposition du responsable des lieux ou de son représentant.
      Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou par son représentant. En cas de refus ou d'absence de signature, mention en est portée au procès-verbal.
      Le procès-verbal est notifié au responsable des lieux et au responsable des traitements et le cas échéant à son sous-traitant par lettre recommandée avec demande d'avis de réception. Lorsque seul le sous-traitant a fait l'objet d'un contrôle sur place, le procès-verbal lui est notifié, ainsi que, le cas échéant, au responsable du traitement et aux personnes mentionnées à l'alinéa précédent, selon les mêmes modalités.
      
      Article 32 En savoir plus sur cet article...
      
      Lorsque la visite a lieu avec l'autorisation et sous le contrôle du juge en application du II de l'article 19 de la loi du 6 janvier 1978 susvisée, copie du procès-verbal de la visite lui est adressée par le président de la commission.
    - Sous-section 4 : Le contrôle en ligne
      
      Article 33 En savoir plus sur cet article...
      
      Lorsque les membres ou agents font usage d'une identité d'emprunt au sens du III de l'article 19 de la loi du 6 janvier 1978 susvisée, pour contrôler des services de communication au public en ligne d'un responsable du traitement ou d'un sous-traitant, ils dressent un procès-verbal des opérations en ligne réalisées, des modalités de consultation et d'utilisation de ces services, des réponses obtenues et de leurs constatations. Les pages pertinentes du site ou toute autre information au regard des constatations effectuées y sont annexées. Ce procès-verbal est adressé au responsable du traitement ou au sous-traitant.
    - Sous-section 5 : L'audition sur convocation
      
      Article 34 En savoir plus sur cet article...
      
      En application du premier alinéa du III de l'article 19 de la loi du 6 janvier 1978 susvisée, les agents habilités en application des articles 10 et 25 de cette même loi peuvent entendre toute personne susceptible de leur fournir tout renseignement ou toute justification utile pour l'accomplissement de leur mission.
      Les agents habilités en application de l'article 10 susmentionné adressent la convocation, par lettre remise contre signature, ou remise en main propre contre récépissé ou acte d'huissier, qui doit parvenir au moins huit jours avant la date de son audition.
      La convocation rappelle à la personne convoquée qu'elle est en droit de se faire assister d'un conseil de son choix.
      Un procès-verbal est dressé dans les conditions prévues à l'article 31. Lorsque l'intéressé ne se rend pas à l'audition, il en est fait mention dans un procès-verbal de carence établi par les personnes chargées du contrôle.
    - Sous-section 6 : Le recours à des experts
      
      Article 35 En savoir plus sur cet article...
      
      Lorsqu'en application du III de l'article 19 de la loi du 6 janvier 1978 susvisée le président de la commission fait appel à un ou plusieurs experts, sa demande définit l'objet de l'expertise et fixe le délai de sa réalisation.
      Préalablement aux opérations d'expertise, le ou les experts désignés attestent auprès du président de la commission qu'ils répondent aux conditions posées aux articles 16 à 19.
      Les indemnités dues aux experts font, le cas échéant, l'objet d'une convention.
      Le ou les experts informent le président de la commission de l'avancement des opérations d'expertise. Celles-ci sont menées contradictoirement.
      Le rapport d'expertise est remis au président de la commission qui en adresse une copie au responsable du traitement ou au sous-traitant.
      
      Article 36 En savoir plus sur cet article...
      
      Lorsque les opérations de vérification nécessitent l'accès à des données médicales individuelles, dans les cas prévus au III de l'article 19 de la loi du 6 janvier 1978 susvisée, le préfet ou, selon le cas, le directeur général de l'agence régionale de santé dans le ressort territorial duquel doit avoir lieu le contrôle désigne, à la demande du président de la commission, un médecin inspecteur du travail ou un médecin chargé de requérir la communication de ces données ; le président de la commission peut également désigner un médecin inscrit sur une liste d'experts judiciaires. Le président de la commission définit les conditions d'exercice de la mission confiée au médecin selon les formes prescrites aux premier et deuxième alinéas de l'article 35.
      Préalablement aux opérations de vérification requises, le médecin désigné atteste auprès du président de la commission qu'il répond aux conditions posées aux articles 16 à 19.
      Le médecin présente en réponse à toute demande son ordre de mission.
      Le médecin consigne dans un rapport les vérifications qu'il a faites sans faire état, en aucune manière, des données médicales individuelles auxquelles il a eu accès.
      Le rapport est remis au président de la commission qui en adresse une copie au responsable du traitement ou du sous-traitant.
    - Sous-section 7 : Secret professionnel
      
      Article 37 En savoir plus sur cet article...
      
      Lorsqu'une personne interrogée dans le cadre des vérifications faites par la commission oppose l'un des secrets professionnels mentionnés au III de l'article 19 de la loi du 6 janvier 1978 susvisée, mention de cette opposition est portée au procès-verbal établi par les personnes chargées du contrôle. Il est alors également fait mention des dispositions législatives ou réglementaires auxquelles se réfère, le cas échéant, la personne interrogée ainsi que la nature des données qu'elle estime couvertes par ces dispositions.
  - Section 3 : Mesures correctrices, sanctions et astreintes
    - Sous-section 1 : La procédure ordinaire
      
      Article 38 En savoir plus sur cet article...
      
      La mise en demeure précise le ou les manquements aux obligations incombant au responsable du traitement ou au sous-traitant en vertu du règlement (UE) 2016/679 du 27 avril 2016 susvisé ou de la loi du 6 janvier 1978 susvisée qui ont été constatés par la commission.
      La mise en demeure, décidée par le président de la commission, fixe le délai au terme duquel le responsable du traitement ou le sous-traitant est tenu d'avoir fait cesser le ou les manquements constatés. Ce délai ne peut, sauf urgence, être inférieur à dix jours. Il ne peut excéder six mois. Il court à compter du jour de la réception par le responsable du traitement de la mise en demeure. Lorsque la complexité de l'affaire le justifie, ce délai peut être renouvelé une fois dans la même limite.
      La mise en demeure est adressée au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'apporter la preuve de la date de cette notification. Elle est également transmise, à titre d'information, au commissaire du Gouvernement.
      
      Article 39 En savoir plus sur cet article...
      
      Lorsqu'une sanction est susceptible d'être prononcée, le président de la commission désigne un rapporteur n'appartenant pas à la formation restreinte et en informe le responsable de traitement ou le sous-traitant mis en cause.
      Le rapporteur procède à toutes diligences utiles avec le concours des services de la commission. Le responsable du traitement ou le sous-traitant peut être entendu si le rapporteur l'estime utile. L'audition du responsable du traitement ou du sous-traitant donne lieu à l'établissement d'un procès-verbal qu'il signe. En cas de refus de signer, il en est fait mention par le rapporteur. Les personnes entendues peuvent être assistées d'un conseil de leur choix. Le rapporteur peut entendre toute autre personne dont l'audition lui paraît utile.
      
      Article 40 En savoir plus sur cet article...
      
      Le rapport prévu par l'article 22 de la loi du 6 janvier 1978 susvisée est notifié au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'apporter la preuve de la date de cette notification. Il est également transmis à la formation restreinte.
      Le responsable du traitement ou le sous-traitant dispose d'un délai d'un mois pour transmettre au rapporteur et à la formation restreinte ses observations écrites. La notification du rapport mentionne ce délai et précise que le responsable du traitement peut prendre connaissance et copie des pièces du dossier auprès des services de la commission et se faire assister ou représenter par tout conseil de son choix.
      Le rapporteur peut répondre au responsable du traitement ou au sous-traitant dans les quinze jours suivant la réception des observations du mis en cause. Le responsable du traitement ou le sous-traitant dispose d'un nouveau délai de quinze jours pour, le cas échéant, produire des observations écrites. La formation restreinte est destinataire des courriers et pièces échangées en application du présent alinéa.
      Lorsque les circonstances de l'espèce ou la complexité de l'affaire le justifient, le président de la formation restreinte peut décider, sur demande du rapporteur ou de l'organisme mis en cause, de prolonger, dans la limite d'un mois, les délais mentionnés aux deuxième et troisième alinéas. Lorsqu'une prolongation du délai est accordée par le président de la formation restreinte au rapporteur, elle est systématiquement octroyée au responsable de traitement ou au sous-traitant, qui en est informé.
      Le responsable du traitement ou le sous-traitant est informé que passés les délais mentionnés aux deuxième, troisième et quatrième alinéas, sauf report de la clôture de l'instruction, l'instruction est close et ses observations écrites seront déclarées irrecevables par la formation restreinte.
      A tout moment, le rapporteur peut décider de modifier son rapport, notamment, au vu d'éléments portés à sa connaissance par le responsable du traitement ou le sous-traitant. Il est alors fait application de la procédure prévue aux alinéas précédents. Si la modification intervient après la clôture de l'instruction, l'instruction est rouverte.
      
      Article 41 En savoir plus sur cet article...
      
      Le responsable du traitement ou le sous-traitant est informé de la date de la séance de la formation restreinte au cours de laquelle est inscrite l'affaire le concernant et de la faculté qui lui est offerte d'y être entendu, lui-même ou son représentant, par tout moyen permettant d'attester la date de sa notification. Cette information doit lui parvenir au moins un mois avant la date de la séance au cours de laquelle l'affaire est examinée. En cas de réexamen ou de report de l'affaire lors d'une séance ultérieure, ce délai minimal peut être ramené à sept jours.
      
      Article 42 En savoir plus sur cet article...
      
      Lors de la séance, le rapporteur peut présenter des observations orales sur l'affaire. Lorsqu'il assiste à la séance, le responsable du traitement ou le sous-traitant et, le cas échéant, son conseil sont invités à présenter des observations orales à l'appui de leurs conclusions écrites. Le commissaire du Gouvernement est invité à donner son avis sur l'affaire. La formation restreinte peut entendre toute personne dont elle estime l'audition utile. Dans tous les cas, le responsable du traitement ou le sous-traitant et, le cas échéant, son conseil doivent pouvoir prendre la parole en dernier. Lorsque la formation restreinte s'estime insuffisamment éclairée, elle peut demander au rapporteur de poursuivre ses diligences.
      Un agent des services de la commission, faisant office de secrétaire de séance, peut être désigné par le président de la formation restreinte. Il assiste au délibéré de la formation restreinte, sans y prendre part. Il relève de la seule autorité du président de la formation restreinte dans le cadre de ces fonctions.
      
      Article 43 En savoir plus sur cet article...
      
      La décision de sanction énonce les considérations de droit et de fait sur lesquels elle est fondée. Elle indique les voies et délais de recours.
      La décision de sanction est notifiée à la personne concernée par tout moyen permettant d'attester la date de sa notification. Cette décision est communiquée au président de la commission.
      Lorsque la formation restreinte décide de publier la décision de sanction, cette publication peut intervenir dès la notification de la décision de sanction à la personne concernée. La décision ainsi publiée indique qu'un recours est susceptible d'être exercé à son encontre devant le juge administratif.
      
      Article 44 En savoir plus sur cet article...
      
      Lorsque la formation restreinte décide d'assortir d'une astreinte sa décision d'injonction de mise en conformité, en application du 2° du III de l'article 20 ou du 6° du I de l'article 21 de la loi du 6 janvier 1978 susvisée, elle peut le faire par la même décision.
      Le responsable de traitement ou le sous-traitant transmet à la formation restreinte, au plus tard à la date fixée dans la décision de cette dernière, les éléments attestant qu'il s'est conformé à l'injonction prononcée à son encontre.
      En cas d'inexécution totale ou partielle ou d'exécution tardive, la formation restreinte procède à la liquidation de l'astreinte qu'elle avait prononcée. Le montant de l'astreinte est liquidé en tenant compte des éléments transmis, le cas échéant, par le responsable de traitement ou le sous-traitant, de son comportement et des difficultés d'exécution qu'il a rencontrées, notamment s'il est établi que l'inexécution ou le retard dans l'exécution provient, en tout ou partie, d'une cause étrangère aux capacités de mise en conformité.
      La décision prononçant la liquidation de l'astreinte est précédée d'une procédure écrite au cours de laquelle la formation restreinte porte à la connaissance du responsable du traitement ou du sous-traitant les motifs de la liquidation envisagée et son montant.
      Le responsable du traitement ou le sous-traitant dispose d'un délai de quinze jours à compter de la date de notification des motifs de la liquidation et de son montant pour transmettre à la formation restreinte ses observations écrites. Ce délai est mentionné lors de la notification. Celle-ci a lieu par tout moyen.
      Le rapporteur désigné dans le cadre de la procédure ayant conduit au prononcé de l'injonction est tenu informé par écrit de l'initiative de la formation restreinte.
      Lorsque le président de la formation restreinte estime que les éléments d'explication fournis par le responsable de traitement ou le sous-traitant nécessitent des vérifications complémentaires, il peut demander au rapporteur d'intervenir à nouveau, dans les conditions prévues à l'article 39.
      
      Article 45 En savoir plus sur cet article...
      
      Les dispositions de la présente section sont applicables lorsqu'est mis en cause un organisme de certification ou un organisme chargé du respect d'un code de conduite en application de l'article 23 de la loi du 6 janvier 1978 susvisée.
    - Sous-section 2 : La procédure d'urgence
      
      Article 46 En savoir plus sur cet article...
      
      Sous réserve des dispositions qui suivent, les articles 39 à 43 du présent décret, à l'exception des troisième à cinquième alinéas de l'article 40, sont applicables à la procédure présidant aux sanctions prises en application des 1° à 7° du I de l'article 21 de la loi du 6 janvier 1978 susvisée.
      Le responsable du traitement ou le sous-traitant dispose d'un délai de huit jours pour transmettre à la formation restreinte ses observations écrites.
      La convocation du responsable du traitement ou le sous-traitant doit lui être parvenue au plus tard huit jours avant la date de son audition devant la formation restreinte.
      
      Article 47 En savoir plus sur cet article...
      
      Lorsque la formation restreinte constate que la mise en œuvre d'un traitement de données, au nombre de ceux qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du titre III de la loi du 6 janvier 1978 susvisée, entraîne une violation des droits et libertés mentionnés à l'article 1er de la même loi, elle informe, par tout moyen, le responsable du traitement ou le sous-traitant.
      Le responsable du traitement ou le sous-traitant dispose d'un délai de huit jours pour transmettre à la formation restreinte ses observations écrites sur les manquements qui ont été constatés. Ce délai est porté à sa connaissance.
      Le président de la formation restreinte informe, le cas échéant, le Premier ministre de la violation constatée.
  - Section 4 : Coopération
    
    Article 48 En savoir plus sur cet article...
    
    Les articles 38 à 44 sont applicables à la présente section.
    La sous-section 2 s'applique lorsque la Commission nationale de l'informatique et des libertés entend adopter une mesure en tant qu'autorité chef de file au sens de l'article 56 du règlement (UE) 2016/679 du 27 avril 2016 susvisé pour les opérations de traitement relevant du champ d'application de ce règlement.
    - Sous-section 1 : Dispositions communes
      
      Article 49 En savoir plus sur cet article...
      
      Sous réserve des actes d'exécution adoptés par la Commission européenne en application de l'article 67 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les communications entre la Commission nationale de l'informatique et des libertés et les autres autorités de contrôle ou entre la Commission nationale de l'informatique et des libertés et le comité européen de la protection des données se font par tout moyen électronique permettant d'attester la date de réception.
      Si cette communication s'avère longue ou difficile en raison de la nature ou du volume des informations échangées, la commission transmet ces informations par tout moyen ou les tient à disposition des autres autorités de contrôle ou du comité européen de la protection des données.
      
      Article 50 En savoir plus sur cet article...
      
      Lorsqu'elle notifie sa décision finale au responsable du traitement ou au sous-traitant, la commission y joint, le cas échéant, la décision du comité européen de la protection des données.
    - Sous-section 2 : La Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle chef de file
      
      Article 51 En savoir plus sur cet article...
      
      Le président de la commission soumet sans tarder aux autorités de contrôle concernées le projet d'avertissement prévu au I de l'article 20 de la loi du 6 janvier 1978 susvisée ou le projet de mise en demeure prévu au II de ce même article.
      
      Article 52 En savoir plus sur cet article...
      
      Si les objections des autorités de contrôle concernées tendent à ce que soit prononcée une mesure prévue au titre du III de l'article 20 de la loi du 6 janvier 1978 susvisée en lieu et place de la mesure initialement proposée en application du II de l'article 20 de la même loi, le président de la commission, s'il décide de suivre ces objections, désigne sans tarder un rapporteur qui instruit l'affaire en tenant compte de ces objections dans les conditions prévues à l'article 40. La formation restreinte adopte une décision finale dans les conditions prévues à l'article 56.
      Si le président de la commission n'entend pas suivre ces objections, il adresse au responsable de traitement ou au sous-traitant, avant de saisir le comité européen de la protection des données en application de l'article 65 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, toutes les informations utiles sur le projet de décision qu'il avait préparé ainsi que les objections formulées par les autorités de contrôle concernées. Le responsable de traitement ou le sous-traitant dispose d'un délai de quinze jours, renouvelable une fois, pour faire part de ses observations, qui sont transmises au comité lors de sa saisine.
      Si la décision contraignante du comité implique l'adoption par la commission d'une mesure relevant du II de l'article 20, le président de la commission prononce la mise en demeure. Si la décision contraignante du comité implique l'adoption par la commission d'une mesure prévue par le III de l'article 20, le président de la commission saisit la formation restreinte dans les conditions prévues à l'article 39.
      
      Article 53 En savoir plus sur cet article...
      
      La formation restreinte communique aux autorités de contrôle concernées le rapport et les informations utiles mentionnés au premier alinéa de l'article 27 de la loi du 6 janvier 1978 susvisée, au plus tard une semaine après la notification prévue au premier alinéa de l'article 40.
      Les autorités de contrôle concernées sont informées de la date de la séance de la formation restreinte prévue à l'article 41 en même temps que le responsable du traitement ou le sous-traitant et reçoivent toute information utile, notamment les observations en défense du mis en cause. Elles sont mises en mesure d'assister à l'audition par le biais d'outils de visioconférence ou communication électronique permettant leur identification ou d'en prendre connaissance par le moyen d'un enregistrement. A défaut, un procès-verbal est dressé à son issue, dont elles peuvent prendre connaissance.
      
      Article 54 En savoir plus sur cet article...
      
      La formation restreinte soumet sans tarder le projet de décision aux autres autorités de contrôle.
      
      Article 55 En savoir plus sur cet article...
      
      Si les objections des autorités de contrôle concernées proposent de s'écarter du projet de décision mentionné à l'article 54 par la prise en compte d'une circonstance de fait nouvelle, l'ajout d'un manquement ou une aggravation de la nature de la mesure correctrice initialement proposée, la formation restreinte rouvre l'instruction et communique sans tarder au rapporteur ces objections afin qu'il complète son rapport et, le cas échéant, le modifie. Le responsable de traitement ou le sous-traitant dispose d'un délai de quinze jours, renouvelable une fois sur décision du président de la formation restreinte, pour faire part de ses observations. La formation restreinte délibère ensuite sur la prise en compte des objections.
      Si la formation restreinte décide de rejeter les objections des autorités, elle saisit le comité européen de la protection des données en application de l'article 65 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
      
      Article 56 En savoir plus sur cet article...
      
      Au terme des procédures prévues par les articles 60 et 65 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, la formation restreinte arrête sa décision finale. Cette décision mentionne, le cas échéant, les échanges entre les autorités de contrôle ou avec le comité européen de la protection des données.
    - Sous-section 3 : La Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle concernée
      
      Article 57 En savoir plus sur cet article...
      
      A réception d'un projet de mesure correctrice d'objet équivalent à celles définies au III de l'article 20 de la loi du 6 janvier susvisée, émis par une autorité de contrôle chef de file, le président de la formation restreinte, saisi par le président de la commission, peut soit réunir cette dernière en vue d'émettre, le cas échéant, des objections pertinentes et motivées, soit traiter le cas ou le confier à un membre de la formation restreinte désigné par lui.
    - Sous-section 4 : Procédure en cas de circonstances exceptionnelles
      
      Article 58 En savoir plus sur cet article...
      
      Les troisième à cinquième alinéas de l'article 40 ne sont pas applicables à la procédure régissant les mesures prises en vertu du II de l'article 21 de la loi du 6 janvier 1978 susvisée.
      Par dérogation au deuxième alinéa de l'article 40, le responsable du traitement ou le sous-traitant dispose d'un délai de huit jours pour transmettre à la formation restreinte ses observations écrites.
      Par dérogation à l'article 41, la convocation du responsable du traitement ou le sous-traitant doit lui être parvenue au plus tard huit jours avant la date de son audition devant la formation restreinte.
      Par dérogation à l'article 55, le délai dont dispose le responsable du traitement ou le sous-traitant pour transmettre à la formation restreinte ses observations écrites est fixé à huit jours.
      
      Article 59 En savoir plus sur cet article...
      
      La formation restreinte communique la mesure provisoire adoptée ainsi que sa durée de validité, qui ne peut excéder trois mois conformément au 1 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, aux autorités de contrôle concernées, au comité européen de la protection des données et à la Commission européenne. Elle la notifie au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'attester la date de notification.
      Cette décision est communiquée au président de la commission et au rapporteur.
      
      Article 60 En savoir plus sur cet article...
      
      Le président de la formation restreinte réunit cette dernière afin qu'elle délibère au vu d'un rapport sur la nécessité d'adopter une mesure définitive. La formation restreinte peut, en la motivant, saisir le comité européen de la protection des données d'une demande avis ou de décision.
- Chapitre II : Formalités préalables à la mise en œuvre des traitements
  - Section 1 : Dispositions générales
    
    Article 61 En savoir plus sur cet article...
    
    En vue de faciliter l'accomplissement des formalités préalables à la mise en œuvre des traitements de données à caractère personnel, la commission définit des modèles de déclaration, de demande d'avis, de consultation et de demande d'autorisation et fixe la liste des annexes qui, le cas échéant, doivent être jointes.
    
    Article 62 En savoir plus sur cet article...
    
    Les déclarations, demandes d'avis, consultations et demandes d'autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l'autorité publique dont il relève doit être mentionnée.
    Les déclarations, consultations et demandes sont adressées à la commission par voie électronique.
    La décision par laquelle le président renouvelle ou prolonge les délais dont dispose la commission pour notifier ses avis et autorisations est notifiée au responsable du traitement par lettre remise contre signature ou par voie électronique dans les conditions fixées au deuxième alinéa de l'article L. 112-15 du code des relations entre le public et l'administration.
    
    Article 63 En savoir plus sur cet article...
    
    Lorsqu'une demande d'avis, d'autorisation ou une consultation est présentée pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public ou qu'elle fait l'objet d'un examen en séance plénière de la commission ou en bureau, une copie de la demande est transmise préalablement à toute délibération au commissaire du Gouvernement.
    Celui-ci peut disposer à sa demande de la copie de toute déclaration, demande d'avis, demande d'autorisation ou toute consultation.
    Les communications prévues aux deux premiers alinéas peuvent être accomplies, le cas échéant, par voie électronique.
    
    Article 64 En savoir plus sur cet article...
    
    Lorsqu'une déclaration, une demande d'avis, une demande d'autorisation ou une consultation fait l'objet d'un examen en séance plénière ou en bureau, le commissaire du Gouvernement présente ses observations.
    Le responsable du traitement ou toute personne dont l'audition est demandée par la commission ou le commissaire du Gouvernement peut être entendu.
    
    Article 65 En savoir plus sur cet article...
    
    Pour l'application de l'article 33 de la loi du 6 janvier 1978 susvisée par le responsable du traitement, la commission est informée sans délai dans les conditions prévues à l'article 62 du présent décret.
  - Section 2 : Les demandes d'avis et d'autorisation
    
    Article 66 En savoir plus sur cet article...
    
    La délibération portant avis, autorisation ou refus d'autorisation de la commission est notifiée par lettre remise contre signature ou par voie électronique dans les conditions fixées au deuxième alinéa de l'article L. 112-15 du code des relations entre le public et l'administration, dans un délai de huit jours, au responsable du traitement qui a présenté la demande.
    Elle est transmise au commissaire du Gouvernement.
    
    Article 67 En savoir plus sur cet article...
    
    I. - Le dossier produit à l'appui d'une demande d'avis présentée en application des articles 31 ou 32 de la loi du 6 janvier 1978 susvisée comporte, outre les mentions prévues à l'article 33 de cette même loi, en annexe le projet d'acte autorisant le traitement, mentionné à l'article 35 de la même loi.
    II. - Les demandes d'avis portant sur les traitements dont la liste est fixée en application du dernier alinéa du I de l'article 33 de la loi du 6 janvier 1978 susvisée comportent, au minimum, les mentions suivantes :
    1° L'identité et l'adresse du responsable du traitement ;
    2° La ou les finalités du traitement, s'il y a lieu, la dénomination du traitement ;
    3° Le ou les services chargés de la mise en œuvre du traitement ;
    4° Le service auprès duquel s'exerce le droit d'accès prévu aux articles 49, 105 et 119 de la loi du 6 janvier 1978 susvisée ainsi que les mesures prises pour faciliter l'exercice de ce droit ;
    5° Les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
    6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
    7° Le cas échéant, les interconnexions, les rapprochements ou toute autre forme de mise en relation avec d'autres traitements.
    
    Article 68 En savoir plus sur cet article...
    
    L'engagement de conformité à un acte réglementaire unique pris en application du IV de l'article 31 de la loi du 6 janvier 1978 susvisée est adressé à la commission dans les conditions prévues à l'article 62 du présent décret.
    
    Article 69 En savoir plus sur cet article...
    
    Les avis motivés de la commission émis en application des articles 31 et 32 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement.
    
    Article 70 En savoir plus sur cet article...
    
    Lorsqu'un traitement fait l'objet d'un décret autorisant la dispense de publication de l'acte l'autorisant en application du III de l'article 31 de la loi du 6 janvier 1978 susvisée, le sens de l'avis émis par la commission ne peut porter que la mention « favorable », « favorable avec réserve » ou « défavorable ».
    Dans les cas visés au premier alinéa et pour l'application du II de l'article 36 de la loi du 6 janvier 1978 susvisée, la commission ne peut mettre à la disposition du public que le sens de son avis.

Titre II : TRAITEMENTS RELEVANT DU RÉGIME DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PRÉVUE PAR LE RÈGLEMENT (UE) 2016/679 DU 27 AVRIL 2016

Article 71 En savoir plus sur cet article...

Le présent titre s'applique aux traitements relevant du titre II de la loi du 6 janvier 1978 susvisée.
- Chapitre Ier : Dispositions générales
  - Section 1 : Codes de conduite, règles d'entreprises contraignantes, certifications
    
    Article 72 En savoir plus sur cet article...
    
    En application de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants soumettent un projet de code de conduite, une modification ou une prorogation d'un code existant à la Commission nationale de l'informatique et des libertés.
    La commission approuve ce projet de code, cette modification ou cette prorogation dans un délai de quatre mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
    Si la commission saisit, en application du 7 de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à la notification de l'avis rendu par ce comité ou, le cas échéant, de la décision prise par la Commission européenne, en application des règles relatives au mécanisme de contrôle de la cohérence. La commission informe le demandeur de cette saisine et des suites de celle-ci.
    
    Article 73 En savoir plus sur cet article...
    
    Lorsque la Commission nationale de l'informatique et des libertés est saisie d'une demande d'approbation de règles d'entreprises contraignantes mentionnées à l'article 47 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, elle communique un projet de décision au comité européen de la protection des données mentionné à l'article 68 du même règlement dans un délai de six mois. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. La commission informe le demandeur de cette transmission.
    Après réception de l'avis du comité européen de la protection des données en vertu de l'article 64 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ou, le cas échéant, après la mise en œuvre de la procédure de règlement des litiges par le comité en application de l'article 65 du même règlement, la commission se prononce sur la demande dans un délai d'un mois. Lorsque la commission ne s'est pas prononcée dans ce délai, la demande est réputée rejetée.
    
    Article 74 En savoir plus sur cet article...
    
    I. − Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au h du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.
    La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.
    Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.
    II. − Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.
    La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
    Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement susvisé. La commission informe le demandeur de cette saisine et des suites de celle-ci.
    Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.
    III. − Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.
    Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.
    
    Article 75 En savoir plus sur cet article...
    
    Si la commission saisit le Comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 susvisé en dehors des délais prévus aux articles 72 à 74 du présent décret, elle rend une décision au plus tard un mois après la notification de la décision du comité.
  - Section 2 : Dispositions relatives aux traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes
    
    Article 76 En savoir plus sur cet article...
    
    En application du 1° de l'article 46 de la loi du 6 janvier 1978 susvisée, sont autorisés à mettre en œuvre les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes :
    1° a) Jusqu'à l'entrée en vigueur du II et du VII de l'article 42 de la loi du 23 mars 2019 susvisée selon les conditions précisées au XI de son article 109, les associations d'aide aux victimes conventionnées par le ministère de la justice ;
    b) Après l'entrée en vigueur du II et du VII de l'article 42 de la loi du 23 mars 2019 susvisée selon les conditions précisées au XI de son article 109, les associations d'aide aux victimes agréées par le ministère de la justice ;
    2° Les associations d'aide à la réinsertion des personnes placées sous-main de justice mentionnées à l'article 2-1 de la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire, dans le respect de leur objet social ;
    3° Les établissements et services mentionnés aux 2° du I de l'article L. 312-1 du code de l'action sociale et des familles au titre de leur mission d'accompagnement médico-social ;
    4° Les établissements et services mentionnés aux 4° et 14° du I de l'article L. 312-1 du code de l'action sociale et des familles ;
    5° Les lieux de vie et d'accueil mentionnés au III de l'article L. 312-1 du code de l'action sociale et des familles ;
    6° Les établissements médicaux ou médico-pédagogiques habilités mentionnés aux articles 15 et 16 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante ;
    7° Les institutions ou les établissements publics ou privés, d'éducation ou de formation professionnelle, habilités et les internats appropriés aux mineurs délinquants d'âge scolaire mentionnés aux articles 15 et 16 de l'ordonnance du 2 février 1945 susvisée ;
    8° Les personnes morales de droit privé exerçant une mission de service public ou les associations habilitées mentionnées à l'article 16 ter de l'ordonnance du 2 février 1945 susvisée ;
    9° Les mandataires judiciaires à la protection des majeurs mentionnés à l'article L. 471-1 du code de l'action sociale et des familles.
- Chapitre II : Droits de la personne concernée
  - Section 1 : Dispositions générales
    
    Article 77 En savoir plus sur cet article...
    
    Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 48, 49, 50, 51, 53, 54, 55 et 56 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
    Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l'identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.
    Les délais prévus au 3 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont suspendus lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires pour identifier la personne concernée.
    Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant lors de la délivrance du pli.
    Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande est transmise immédiatement au responsable du traitement.
    La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, si celle-ci justifie de son identité et de l'identité du mandant, de son mandat ainsi que de la durée et de l'objet précis de celui-ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse du responsable du traitement ou du sous-traitant.
    
    Article 78 En savoir plus sur cet article...
    
    Lorsqu'une demande est présentée sur place, la personne concernée justifie par tout moyen de son identité auprès du responsable du traitement ou du sous-traitant. La demande peut être présentée par une personne spécialement mandatée à cet effet par le demandeur, dans les conditions prévues à l'article 77.
    Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
    
    Article 79 En savoir plus sur cet article...
    
    Sans préjudice du 4 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, si la demande transmise par la personne concernée est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d'y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires dans les délais prévus au 3 de l'article 12 du même règlement.
    Lorsque le responsable de traitement ou le sous-traitant ne s'est pas prononcé dans les délais mentionnés aux 3 et 4 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, la demande est réputée rejetée.
    
    Article 80 En savoir plus sur cet article...
    
    Les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement, le sous-traitant ou le délégué à la protection des données en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique ou d'icônes normalisées.
  - Section 2 : Dispositions particulières aux droits exercés de manière indirecte
    
    Article 81 En savoir plus sur cet article...
    
    Les dispositions des articles 141 à 143 sont applicables aux traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions ainsi qu'à ceux intéressant la sécurité publique, si l'acte instaurant le traitement a prévu que les droits d'accès, de rectification et d'effacement s'exerceraient dans les conditions de l'article 52 de la loi du 6 janvier 1978 susvisée. Les actes créant ces traitements contiennent les dispositions mentionnées au second paragraphe de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
- Chapitre III : Obligations incombant au responsable du traitement et au sous-traitant
  - Section 1 : Obligations générales
    
    Article 82 En savoir plus sur cet article...
    
    Un délégué à la protection des données est désigné par le responsable du traitement ou par le sous-traitant dans les cas prévus par l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
    Le délégué veille au respect des obligations prévues par le règlement (UE) 2016/679 du 27 avril 2016 susvisé et par la loi du 6 janvier 1978 susvisée.
    
    Article 83 En savoir plus sur cet article...
    
    La communication à la Commission nationale de l'informatique et des libertés des coordonnées prévues au 7 de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé comporte les mentions suivantes :
    1° Les nom, prénom et coordonnées professionnelles du responsable du traitement ou du sous-traitant ou, le cas échéant, ceux de son représentant, ainsi que ceux du délégué à la protection des données. Pour les personnes morales responsables du traitement et les sous-traitants, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;
    2° Lorsque le délégué à la protection des données est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de délégué.
    Les coordonnées mentionnées au 1° et au 2° sont communiquées sans délai à la Commission nationale de l'informatique et des libertés par voie électronique ainsi que toutes modifications de celles-ci.
    La dénomination et les coordonnées professionnelles de l'organisme ainsi que les moyens de contacter le délégué à la protection des données font l'objet d'une diffusion dans un format ouvert et aisément réutilisable par la Commission nationale de l'informatique et des libertés.
    
    Article 84 En savoir plus sur cet article...
    
    Conformément à l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les responsables du traitement ou les sous-traitants peuvent désigner un seul délégué à la protection des données qui exerce sa mission pour le compte de plusieurs d'entre eux.
    Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux, et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement ou sous-traitant.
    
    Article 85 En savoir plus sur cet article...
    
    Sont autorisés à déroger au droit à la communication d'une violation de données, dans les conditions prévues au II de l'article 58 de la loi du 6 janvier 1978 susvisée :
    1° Les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse ;
    2° Les traitements de données de gestion administrative, financière et opérationnelle ainsi que les traitements de données de santé pour lesquels la notification d'une divulgation ou d'un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées par la violation et des informations relatives à la vie privée qu'elles comportent telles que l'adresse ou la composition de la famille.
  - Section 2 : Traitements de données à caractère personnel dans le domaine de la santé
    - Sous-section 1 : Dispositions générales
      
      Article 86 En savoir plus sur cet article...
      
      Les traitements de données à caractère personnel dans le domaine de la santé mentionnés au premier alinéa de l'article 67 de la loi du 6 janvier 1978 susvisée ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites peuvent utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques dans les conditions prévues au deuxième alinéa du même article 67 lorsqu'une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l'urgence sanitaire.
      Le numéro d'inscription au répertoire national d'identification des personnes physiques est collecté soit directement auprès des personnes concernées, soit indirectement auprès de leurs proches ou de toutes personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités.
      Sa transmission et sa conservation sur support électronique ou numérique font l'objet d'un chiffrement, conforme aux recommandations, référentiels ou aux règlements types adoptés par la Commission nationale de l'informatique et des libertés. Il est conservé pour la durée nécessaire à l'appariement de données.
      
      Article 87 En savoir plus sur cet article...
      
      Sous réserve des dispositions particulières du présent chapitre, les demandes d'autorisation formulées en application de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 susvisée sont instruites dans les conditions prévues au chapitre II du titre Ier du présent décret.
    - Sous-section 2 : Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé
      - Paragraphe 1 : Présentation et instruction des demandes d'autorisations de traitements
        
        Article 88 En savoir plus sur cet article...
        
        Dans les cas prévus à l'article 76 de la loi du 6 janvier 1978 susvisée, les dossiers de demande d'autorisation de traitement de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé sont signés par la personne qui a qualité pour représenter le responsable de traitement.
        Ils sont déposés soit auprès de la Commission nationale de l'informatique et des libertés, après avis du comité compétent de protection des personnes en application du 1° de l'article 76 de la loi du 6 janvier 1978 susvisée, soit auprès du secrétariat unique confié, conformément au 2° de l'article L. 1462-1 du code de la santé publique, à l'Institut national des données de santé.
        Les dossiers déposés auprès du secrétariat unique sont transmis dans un délai maximal de sept jours ouvrés au comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé pour rendre un avis sur le projet.
        
        Article 89 En savoir plus sur cet article...
        
        Chaque dossier déposé auprès du secrétariat unique mentionné à l'article 88 doit comporter :
        1° L'identité, l'adresse, les titres, expériences, fonctions et déclarations d'intérêt en lien avec l'objet de la recherche du responsable du traitement et du responsable de la recherche, de l'étude ou de l'évaluation, ainsi que, le cas échéant, l'identité et l'adresse du commanditaire de la recherche, de l'étude ou de l'évaluation et de la personne publique qui en a fait la demande. Si ces responsables ou commanditaires ne sont établis ni sur le territoire national, ni sur celui d'un autre Etat membre de l'Union européenne, sont indiquées l'identité, l'adresse et les fonctions de leur représentant en France.
        Les missions ou l'objet social de l'organisme concerné sont également précisés ;
        2° Les catégories de personnes qui seront appelées à mettre en œuvre le traitement ainsi que celles qui auront accès aux données ;
        3° La méthodologie de l'étude ou de l'évaluation ou le protocole de recherche, indiquant notamment l'objectif du traitement de données à caractère personnel, les catégories de personnes concernées par le traitement, l'origine, la nature et la liste des données à caractère personnel utilisées et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, de l'étude ou de l'évaluation, la méthode d'analyse des données, ainsi que, lorsque les caractéristiques de l'étude, de la recherche ou de l'évaluation l'exigent, la justification du nombre de personnes et la méthode d'observation ou d'investigation retenue ;
        4° Le type de diffusion ou de publication des résultats de l'étude, de la recherche ou de l'évaluation par le demandeur ;
        5° S'il y a lieu, les mesures d'information prévues en application du règlement (UE) 2016/679 du 27 avril 2016 susvisé et à l'article 58 de la loi du 6 janvier 1978 susvisée ainsi que la justification de toute demande de dérogation à cette obligation d'information ;
        6° Les caractéristiques du traitement, notamment la durée de conservation des données ;
        7° Le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'interdiction de conservation des données sous une forme nominative au-delà de la durée nécessaire à la recherche ;
        8° Les avis rendus antérieurement par des instances scientifiques ou éthiques ;
        9° Les rapprochements ou interconnexions envisagés ou toute autre forme de mise en relation des informations ;
        10° Les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;
        11° Le cas échéant, la mention de toute transmission de données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne ;
        12° Le cas échéant, la liste des traitements répondant aux caractéristiques prévues au IV de l'article 66 de la loi du 6 janvier 1978 susvisée. Le dossier précise, en ce cas, les catégories de données, les destinataires ou les catégories de destinataires.
        Le secrétariat unique vérifie que chaque dossier produit à l'appui d'une demande comporte tous les éléments énoncés ci-dessus.
        Toute modification de ces éléments doit être portée à la connaissance du secrétariat susmentionné qui, le cas échéant, en fait part aux instances compétentes.
        
        Article 90 En savoir plus sur cet article...
        
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, mentionné au 2° de l'article 76 de la loi du 6 janvier 1978 susvisée et saisi par le secrétariat unique mentionné à l'article 88 du présent décret, émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les obligations prévues par la loi du 6 janvier 1978 susvisée.
        Dès que le comité a rendu son avis, celui-ci est notifié au secrétariat unique, par tout moyen permettant de dater la réception de cette notification.
        L'avis rendu par le comité est transmis au demandeur de l'autorisation.
        A l'expiration d'un délai d'un mois à compter de la date de réception du dossier complet par le comité, l'avis dudit comité est réputé favorable.
        Le délai mentionné à l'alinéa précédent peut être prolongé une fois, pour une durée d'un mois supplémentaire, sur décision du président du comité.
        En cas d'urgence, le délai mentionné au quatrième alinéa peut être ramené à quinze jours, dans les conditions prévues à l'article 100.
        
        Article 91 En savoir plus sur cet article...
        
        Lorsque le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé rend un avis favorable, le cas échéant de façon tacite, ou un avis favorable avec recommandations, réservé ou défavorable, le demandeur informe le secrétariat unique de sa volonté de saisir ou non la Commission nationale de l'informatique et des libertés. Il peut rectifier ou compléter son dossier de demande d'autorisation sur les points qui ont fondé le refus, les réserves ou les recommandations du comité.
        Lorsque le demandeur a informé le secrétariat de sa volonté que la commission soit saisie, le secrétariat unique susmentionné transmet sans délai le dossier produit à l'appui de la demande accompagné des avis rendus, ou de l'avis de réception ou du récépissé de la demande d'avis lorsque ce comité a rendu un avis tacitement favorable, à la commission, qui se prononce dans les conditions prévues au V de l'article 66 de la loi du 6 janvier 1978 susvisée.
        Le secrétariat unique informe le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé des suites données à son avis.
        Le secrétariat unique tient à la disposition du demandeur de l'autorisation, les informations relatives à l'état d'avancement de l'instruction de son dossier jusqu'à l'autorisation rendue par la commission.
        
        Article 92 En savoir plus sur cet article...
        
        Conformément aux dispositions du deuxième alinéa de l'article 72 de la loi n° 78-17 du 6 janvier 1978 susvisée, l'Institut national des données de santé prévu à l'article L. 1462-1 du code de la santé publique peut être saisi par le président de la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé pour qu'il se prononce sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation justifiant une demande d'autorisation de traitement de données en application de la section 3 du chapitre III du titre II de la même loi. Il peut évoquer le cas de sa propre initiative, au plus tard une semaine après avis du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, lorsque la demande d'autorisation concerne une recherche, une étude ou une évaluation n'impliquant pas la personne humaine.
        Il rend un avis motivé dans un délai d'un mois à compter de sa saisine.
        L'Institut national des données de santé peut se prononcer sans débat sur des traitements similaires à ceux qu'il a déjà examinés c'est-à-dire des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.
        Lorsque l'Institut national des données de santé est saisi, le secrétariat unique mentionné à l'article 88 en avise le demandeur sans délai.
        L'avis rendu par l'Institut national des données de santé est transmis à l'auteur de la saisine et au demandeur.
      - Paragraphe 2 : Composition et fonctionnement du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES)
        
        Article 93 En savoir plus sur cet article...
        
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé prévu par le 2° de l'article 76 de la loi du 6 janvier 1978 susvisé comprend vingt et un membres, nommés par arrêté conjoint du ministre chargé de la recherche et du ministre chargé de la santé, après appel à candidatures public, en raison de leurs compétences en matière de recherche dans les domaines de la santé, de l'épidémiologie, de la génétique, de la biostatistique et des sciences humaines et sociales et en matière de traitement des données à caractère personnel, sur proposition d'un comité de sélection, dont la composition est fixée par arrêté des ministres chargés de la santé et de la recherche.
        Plusieurs sections peuvent être instituées au sein du comité en fonction de la nature ou de la finalité du traitement.
        Parmi les candidats figurent au moins trois personnes choisies pour leur connaissance des données de santé, proposées au comité de sélection respectivement par la Caisse nationale d'assurance maladie, l'Agence nationale de santé publique et l'Institut national de la santé et de la recherche médicale.
        Le président du comité d'expertise est nommé par arrêté conjoint du ministre chargé de la recherche et du ministre chargé de la santé parmi les membres du comité et sur proposition du comité, statuant à la majorité des membres qui le constituent par un vote à bulletin secret.
        Le mandat des membres et du président du comité d'expertise est de trois ans, renouvelable une fois. Les membres démissionnaires ou décédés sont remplacés pour la durée restant à courir de leur mandat.
        
        Article 94 En savoir plus sur cet article...
        
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé est saisi, préalablement à la saisine de la Commission nationale de l'informatique et des libertés, de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l'étude ou l'évaluation dans le domaine de la santé et n'impliquant pas la personne humaine, conformément au 2° de l'article 76 de la loi du 6 janvier 1978 susvisée.
        Il peut être consulté, en outre, par les ministères concernés, par la commission, par l'Institut national des données de santé et par les organismes publics et privés qui ont recours à des traitements de données à caractère personnel dans ce domaine.
        Les avis qu'il rend sont publiés par l'Institut national des données de santé.
        
        Article 95 En savoir plus sur cet article...
        
        I. - Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé se réunit au moins dix fois par an sur convocation de son président. Il ne peut valablement siéger que si la moitié au moins de ses membres est présente.
        Chaque dossier est évalué par deux membres du comité, sauf exception motivée par le président, qui assure la distribution des dossiers entre les membres du comité en fonction de leurs compétences.
        II. - Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé rend ses avis à la majorité des membres présents. Le vote a lieu à main levée. En cas de partage égal des voix, celle du président est prépondérante.
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé peut se prononcer sans débat sur des traitements similaires à ceux qu'il a déjà examinés c'est-à-dire des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.
        Lorsque l'avis rendu est favorable avec recommandations, réservé ou défavorable, il doit être motivé. S'il le juge pertinent, le comité accompagne l'avis favorable d'éléments justificatifs. La motivation de l'avis et les éléments justificatifs sont communiqués au demandeur, au secrétariat unique et à la Commission nationale de l'informatique et des libertés si elle est saisie. Pour les traitements autorisés par la commission, la motivation de l'avis du comité et les éléments justificatifs sont publiés par l'Institut national des données de santé à la fin de la recherche, de l'étude ou de l'évaluation.
        III. - Les séances du comité ne sont pas publiques. Un représentant de l'Institut national des données de santé peut y assister sans prendre part aux délibérations.
        IV. - Le comité peut faire appel à des experts extérieurs choisis par le président du comité sur proposition de ses membres, notamment pour la participation à certaines des sections mentionnées à l'article 93. Ces experts sont soumis aux obligations prévues par l'article L. 1451-1 du code de la santé publique.
        Les membres du comité et les experts extérieurs sont tenus au secret professionnel.
        V. - Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé adopte son règlement intérieur qui définit les modalités de son fonctionnement et, le cas échéant, l'organisation des sections et qui est approuvé par le ministre chargé de la recherche et par le ministre chargé de la santé.
        Le président peut déléguer sa signature à un membre du comité d'expertise nommément désigné.
        
        Article 96 En savoir plus sur cet article...
        
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé peut entendre les représentants de l'organisme ayant présenté la demande ainsi que le responsable du traitement.
        
        Article 97 En savoir plus sur cet article...
        
        Les membres du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé et les experts extérieurs auxquels il fait appel reçoivent, dans l'exercice de leur mission, une indemnité dont le montant est fixé par arrêté conjoint des ministres chargés du budget, de la santé et de la recherche. Ils ont droit, en outre, au remboursement des frais qu'occasionne l'exécution de leur mission, dans les conditions prévues par le décret du 3 juillet 2006 susvisé.
        
        Article 98 En savoir plus sur cet article...
        
        Les dossiers, rapports, délibérations et avis sont conservés par le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé dans des conditions assurant leur confidentialité, pendant une durée maximale de dix ans, avant leur versement aux Archives nationales.
        
        Article 99 En savoir plus sur cet article...
        
        Le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé établit un rapport annuel d'activité qui est adressé au ministre chargé de la recherche, au ministre chargé de la santé, des affaires sociales et de la sécurité sociale et au président de la Commission nationale de l'informatique et des libertés.
        
        Article 100 En savoir plus sur cet article...
        
        En cas d'urgence, le ministre chargé de la recherche ou le ministre chargé de la santé, des affaires sociales et de la sécurité sociale peut demander au comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé de statuer dans un délai qui peut être réduit à quinze jours. Il en informe le demandeur et le secrétariat unique.
      - Paragraphe 3 : Composition et fonctionnement du comité d'audit du système national des données de santé
        
        Article 101 En savoir plus sur cet article...
        
        Le comité d'audit prévu à l'article 77 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.
        Le comité d'audit est composé :
        1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;
        2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
        3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;
        4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;
        5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;
        6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;
        7° De représentants des organismes d'assurance maladie complémentaire ;
        8° Du président de l'Institut national des données de santé ou son représentant ;
        9° D'une personne représentant les acteurs privés du domaine de la santé ;
        10° D'une personnalité qualifiée.
        Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.
        Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.
        Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.
        Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.
        La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.
        
        Article 102 En savoir plus sur cet article...
        
        Les audits sont réalisés par des prestataires indépendants.
        Si le périmètre de l'audit implique des données médicales individuelles, le prestataire retenu doit prévoir la présence d'un médecin auprès des auditeurs pour tous les aspects de l'audit concernant ces données.
        Le président du comité d'audit suit la mise en œuvre des audits et en rend compte au comité.
        Le comité d'audit et le prestataire fondent leur action sur une charte d'audit définie par arrêté du ministre chargé des affaires sociales et de la santé pris après avis de la Commission nationale de l'informatique et des libertés.
        
        Article 103 En savoir plus sur cet article...
        
        Le président du comité d'audit envoie une notification à l'entité auditée pour l'avertir de l'audit. Cette notification rappelle notamment l'objet de la mission, l'identité des auditeurs, la procédure d'audit, le droit d'opposition à l'audit de l'entité auditée qui peut s'exercer à tout moment ainsi que les délais et les voies de recours de l'entité auditée.
        Si l'entité auditée fait état de son droit d'opposition à l'audit, les auditeurs alertent aussitôt le président du comité d'audit qui en informe sans délai le président de la Commission nationale de l'informatique et des libertés.
        Les auditeurs ont accès de 8 heures à 20 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre des traitements de données à caractère personnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
        Pour l'exercice de leurs missions, les auditeurs peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles. Les auditeurs peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
        Les auditeurs peuvent procéder à toute constatation utile. Les auditeurs peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles. Les auditeurs peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
        En cas de difficultés lors de l'audit, l'entité auditée peut saisir le président du comité d'audit afin qu'il s'assure de la conformité du comportement du prestataire et de ses auditeurs aux exigences découlant de la loi du 6 janvier 1978 susvisée, du présent décret, de la charte d'audit mentionnée à l'article 102 et des clauses du marché public sur le fondement duquel ils interviennent.
        
        Article 104 En savoir plus sur cet article...
        
        L'audit donne lieu à un rapport qui est transmis, pour contradiction, à l'entité auditée. Ce rapport rappelle l'objet de la mission, les membres de celle-ci, les personnes rencontrées, le cas échéant leurs déclarations, les demandes formulées par les auditeurs ainsi que les éventuelles difficultés rencontrées. Les manquements et dysfonctionnements constatés par les auditeurs à la loi du 6 janvier 1978 susvisée et aux dispositions du code de la santé publique relatives au système national des données de santé sont consignés dans ces rapports ainsi que les recommandations en découlant.
        Le rapport est signé par les auditeurs. Il est envoyé, après validation par le président du comité d'audit, par ce dernier par lettre recommandée avec accusé de réception à l'entité auditée.
        Lorsque l'audit conduit à l'accès à des données médicales individuelles, le médecin désigné par le prestataire consigne dans un rapport les vérifications qu'il a faites sans faire état des données médicales individuelles auxquelles il a eu accès. Le rapport, après validation par le président du comité d'audit, est transmis par ce dernier par lettre recommandée avec accusé de réception à l'entité contrôlée.
        L'entité auditée dispose d'un délai d'un mois pour répondre à compter de la réception des rapports. Ses réponses doivent comporter un plan d'action et un calendrier de mise en œuvre de ses actions.
        Au vu des réponses de l'entité auditée, de son plan d'action et de son calendrier de mise en œuvre, les auditeurs formalisent des rapports définitifs. Ces rapports définitifs sont signés par les auditeurs et le président du comité d'audit, après validation par ce dernier. Ils sont envoyés aux entités auditées par lettre recommandée avec accusé de réception par le président du comité d'audit.
        Les rapports définitifs sont systématiquement transmis au président de la Commission nationale de l'informatique et des libertés, et à tous les corps de contrôle qui en font la demande.
        L'intégralité des pièces justificatives sont transmises par les auditeurs au président du comité d'audit.
        
        Article 105 En savoir plus sur cet article...
        
        Les entités auditées rendent compte au président du comité d'audit et aux auditeurs de la mise en œuvre de leur plan d'action tous les six mois ou selon le calendrier arrêté par les parties. Les entités auditées doivent fournir à cette occasion tout document justifiant de cette mise en œuvre.
        Le président du comité d'audit et les auditeurs suivent la mise en œuvre de ces plans d'action.
        
        Article 106 En savoir plus sur cet article...
        
        Le président du comité d'audit rend compte annuellement au ministre chargé des affaires sociales et de la santé ainsi qu'au comité stratégique de la stratégie d'audit du comité d'audit, des audits réalisés, du niveau global de maîtrise des opérations, des problèmes significatifs constatés ainsi que des recommandations formulées pour respecter la législation en vigueur, les référentiels et réduire les risques.
        Le président du comité d'audit présente les principales conclusions et recommandations des audits au comité d'audit.
      - Paragraphe 4 : Composition et fonctionnement des comités de protection des personnes
        
        Article 107 En savoir plus sur cet article...
        
        La composition et le fonctionnement des comités de protection des personnes sont fixés par les articles R. 1123-1 et suivants du code de la santé publique.
    - Sous-section 3 : Procédures simplifiées
      
      Article 108 En savoir plus sur cet article...
      
      Le président du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, siégeant à l'assemblée générale de l'Institut national des données de santé, peut avoir recours aux membres du comité d'expertise pour participer à la formalisation des référentiels et règlements types mentionnés au II de l'article 66 de la loi du 6 janvier 1978 susvisée ainsi que des méthodologies de référence mentionnées à l'article 73 de la même loi.
      La Commission nationale de l'informatique et des libertés ou, par délégation, le président ou le vice-président délégué établit ces référentiels et règlements types et homologue ces méthodologies de référence. Ceux-ci sont publiés au Journal officiel de la République française.
      
      Article 109 En savoir plus sur cet article...
      
      L'Institut national des données de santé peut adresser à la Commission nationale de l'informatique et des libertés des contributions en vue d'éventuelles recommandations de celle-ci relatives aux traitements visés au à la section 3 du chapitre 3 du titre II de la loi n° 78-17 du 6 janvier 1978 et mentionnées à l'article 8 de cette même loi.
      Ces propositions sont rendues publiques. Elles peuvent s'appliquer à des catégories d'opérations pouvant constituer des étapes indépendantes de traitements automatisés.
      Les dossiers de demande peuvent se référer aux recommandations publiées par la commission.
      
      Article 110 En savoir plus sur cet article...
      
      Lorsque le responsable d'un traitement ou d'une catégorie de traitements similaires de données à caractère personnel a fait une déclaration de conformité à l'un des référentiels, l'un des règlements types ou à l'une des méthodologies de référence homologuées conformément à l'article 108, seule cette déclaration est envoyée à la commission qui en accuse réception. Le responsable des traitements tient à jour la liste des traitements entrant dans le cadre d'une déclaration de conformité. Pour les traitements qui ne sont pas enregistrés dans le répertoire public mentionné à l'article L. 1121-15 du code de la santé publique, les traitements sont enregistrés dans un répertoire public mis à disposition par le secrétariat unique.
    - Sous-section 4 : Modalités d'information des personnes concernées
      
      Article 111 En savoir plus sur cet article...
      
      Concernant les données du système national des données de santé et de ses composantes, les personnes concernées sont informées de la réutilisation possible de ces données, préalablement rendues non directement identifiantes, à des fins de recherche, d'études ou d'évaluation dans les conditions mentionnées à l'article L. 1461-3 du code de la santé publique, ainsi que de leurs droits. Elles en sont informées par une mention figurant sur le site internet des établissements de santé, des établissements médico-sociaux, des organismes d'assurance maladie obligatoire ou des organismes d'assurance maladie complémentaire, et sur des supports permettant de la porter à la connaissance des personnes concernées, notamment des affiches dans les locaux ouverts au public ou des documents qui leur sont remis. Cette information est mise en œuvre par les directeurs des établissements de santé, des directeurs des établissements médico-sociaux et des directeurs des organismes d'assurance maladie obligatoire et complémentaire.
      
      Article 112 En savoir plus sur cet article...
      
      Les personnes accueillies dans les établissements ou les centres où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d'un traitement de données à caractère personnel dans le domaine de la santé relevant de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 susvisée sont informées individuellement des mentions prescrites par le règlement (UE) 2016/679 du 27 avril 2016 susvisé par la remise d'un document ou par tout autre moyen approprié leur permettant de prendre utilement connaissance de ces mentions.
      
      Article 113 En savoir plus sur cet article...
      
      La personne qui entend s'opposer au traitement des données à caractère personnel dans le domaine de la santé la concernant peut exprimer son refus par tout moyen auprès soit du responsable du traitement, soit de l'établissement ou du professionnel de santé détenteur de ces données excepté dans le cas prévu au II de l'article R. 1461-9 du code de la santé publique.
      
      Article 114 En savoir plus sur cet article...
      
      Lorsque la recherche, l'étude ou l'évaluation nécessite l'examen des caractéristiques génétiques, le consentement de la personne concernée ou de ses représentants légaux doit être recueilli, préalablement au traitement, sous forme écrite. En cas d'impossibilité de le recueillir sous cette forme, le consentement exprès de la personne concernée est attesté par un tiers indépendant de l'organisme qui met en œuvre le traitement.
      
      Article 115 En savoir plus sur cet article...
      
      Les articles 39 à 43 du présent décret sont applicables lorsqu'une sanction est susceptible d'être prononcée en application des articles 20 et 21 de la loi du 6 janvier 1978 susvisée.
  - Section 3 : Traitements aux fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
    
    Article 116 En savoir plus sur cet article...
    
    Les dérogations prévues au deuxième alinéa de l'article 78 de la loi du 6 janvier 1978 susvisée relatif aux traitements à des fins de recherche scientifique ou historique ou à des fins statistiques s'appliquent uniquement dans les cas où les droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 susvisé risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
    Les données issues de ces traitements conservées par le responsable du traitement ou son sous-traitant ne sont accessibles ou modifiables que par des personnes autorisées. Ces personnes respectent les règles de déontologie applicables à leurs secteurs d'activités. Les autorisations accordées par les responsables de traitement à ces personnes respectent les finalités spécifiques de l'alinéa précédent ainsi que les garanties prévues à l'alinéa suivant.
    Ces données ne peuvent pas être diffusées sans avoir été préalablement anonymisées sauf si l'intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La diffusion de données à caractère personnel figurant dans des documents consultés en application de l'article L. 213-3 du code du patrimoine ne peut intervenir qu'après autorisation de l'administration des archives, après accord de l'autorité dont émanent les documents et avis du comité du secret statistique institué par l'article 6 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques en ce qui concerne les données couvertes par le secret en matière de statistiques.
- Chapitre IV : Droits et obligations propres aux traitements dans le secteur des communications électroniques
  
  Article 117 En savoir plus sur cet article...
  
  Le présent chapitre s'applique aux traitements relevant du chapitre IV du titre II de la loi du 6 janvier 1978 susvisée.
  Les droits et obligations mentionnés aux chapitres II et III s'appliquent sous réserve des dispositions particulières du présent chapitre.
  
  Article 118 En savoir plus sur cet article...
  
  La notification d'une violation des données à caractère personnel prévue au premier alinéa du II de l'article 83 de la loi du 6 janvier 1978 susvisée est adressée à la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par voie électronique qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d'être impactées par la violation en cause.
  
  Article 119 En savoir plus sur cet article...
  
  La notification d'une violation des données à caractère personnel prévue au deuxième alinéa du II de l'article 83 de la loi du 6 janvier 1978 est adressée à la personne intéressée par tout moyen permettant au fournisseur de services de communications électroniques accessibles au public d'apporter la preuve de l'accomplissement de cette formalité. Cette notification précise la nature de la violation de données à caractère personnel, les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ainsi que les mesures que le fournisseur recommande à la personne intéressée de prendre pour atténuer les conséquences négatives de cette violation.
  Cette notification n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que les mesures de protection appropriées au sens de l'article 120 et sur lesquelles elle s'est prononcée dans les conditions prévues aux articles 121 et 122 ont été mises en œuvre par le fournisseur et efficacement appliquées aux données concernées par cette violation.
  
  Article 120 En savoir plus sur cet article...
  
  Constitue une mesure de protection appropriée, au sens de l'article 83 de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.
  
  Article 121 En savoir plus sur cet article...
  
  Pour informer la Commission nationale de l'informatique et des libertés des mesures de protection qu'il met en œuvre et qu'il a appliquées au cas particulier, le fournisseur lui adresse, par tout moyen permettant d'apporter la preuve de leur notification, les informations suivantes :
  1° Les nom, prénom, adresse et coordonnées téléphoniques du responsable du traitement ;
  2° La description des mesures de protection ;
  3° Les dispositions prévues et appliquées pour conférer une pleine efficacité à ces mesures ;
  4° Le cas échéant, les références du dossier de formalités accomplies auprès de la commission préalablement à la mise en œuvre du traitement considéré ;
  5° L'accomplissement ou non de la formalité de notification prévue à la personne intéressée par l'article 119 et, dans la négative, les raisons justifiant l'absence de notification.
  
  Article 122 En savoir plus sur cet article...
  
  La Commission nationale de l'informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.
  Le silence gardé par la commission au terme de ce délai vaut constat de non-application au cas particulier des mesures de protection appropriées et emporte pour le fournisseur, s'il n'a pas déjà averti la personne intéressée, l'obligation de procéder à la notification prévue à l'article 119. Ce délai ne court qu'à compter de la réception complète des informations prévues à l'article 121.
  Si le fournisseur n'a pas déjà averti la personne intéressée de la violation de ces données en application de l'article 119, la commission peut en outre, lorsqu'elle estime la violation grave, mettre le fournisseur en demeure de l'informer en application du dernier alinéa du II de l'article 83 de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois.
- Chapitre V : Dispositions régissant les traitements de données à caractère personnel relatives aux personnes décédées
  
  Article 123 En savoir plus sur cet article...
  
  Le présent chapitre s'applique aux traitements relevant du chapitre V du titre II de la loi du 6 janvier 1978 susvisée.
  Pour la mise en œuvre des droits mentionnés au I et au II de l'article 85 de la loi du 6 janvier 1978 susvisée, les droits mentionnés au titre II du présent décret s'appliquent sous réserve des dispositions particulières du présent chapitre.
  
  Article 124 En savoir plus sur cet article...
  
  Outre la justification de son identité, l'héritier d'une personne décédée qui souhaite exercer les droits mentionnés au I et au II de l'article 85 de la loi du 6 janvier 1978 susvisée doit, lors de sa demande, apporter la preuve de sa qualité d'héritier par la production d'un acte de notoriété ou d'un livret de famille.
- Chapitre VI : Des transferts de données à caractère personnel vers les États n'appartenant pas à l'Union européenne
  
  Article 125 En savoir plus sur cet article...
  
  Pour le transfert de données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne ou à une organisation internationale, la Commission nationale de l'informatique et des libertés peut autoriser les clauses contractuelles et les arrangements administratifs mentionnés aux a et b du 3 de l'article 46 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. La commission se prononce dans un délai de deux mois à compter de la réception de la demande selon une procédure définie dans son règlement intérieur. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
  La mise en œuvre du mécanisme de contrôle de la cohérence prévu à la section 2 du chapitre VII du règlement (UE) 2016/679 du 27 avril 2016 susvisé suspend les délais susmentionnés.
  
  Article 126 En savoir plus sur cet article...
  
  Lorsqu'un transfert a lieu en application du b du 3 de l'article 46 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, l'arrangement administratif fondant ce transfert est publié sur le site internet de la Commission nationale de l'informatique et des libertés.
  
  Article 127 En savoir plus sur cet article...
  
  Lorsque pour effectuer un transfert vers un Etat n'appartenant pas à l'Union européenne, le responsable du traitement ou le sous-traitant se fonde sur un code de conduite ou un mécanisme de certification approuvés conformément aux articles 72 et 74 du présent décret, il transmet à la Commission nationale de l'informatique et des libertés un engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
  
  Article 128 En savoir plus sur cet article...
  
  Lorsqu'un transfert a lieu en application du dernier alinéa du 1 de l'article 49 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le responsable du traitement fournit à la personne concernée les informations spécifiques mentionnées à cet alinéa. La Commission nationale de l'informatique et des libertés définit des modèles relatifs à sa propre information et fixe la liste des annexes qui, le cas échéant, doivent être jointes.

Titre III : DISPOSITIONS APPLICABLES AUX TRAITEMENTS RELEVANT DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL
- Chapitre Ier : Dispositions générales
  
  Article 129 En savoir plus sur cet article...
  
  Le présent titre s'applique, sans préjudice du titre Ier, aux traitements relevant du titre III de la loi du 6 janvier 1978 susvisée.
  
  Article 130 En savoir plus sur cet article...
  
  I. − Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 90 de la loi du 6 janvier 1978 susvisée est déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
  Lorsqu'un type de traitement porte sur des données mentionnées au I de l'article 6 de la même loi, il est réputé susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques.
  II. − Les types de traitements qui portent sur un ensemble d'opérations de traitement similaires et présentent des risques élevés similaires peuvent faire l'objet d'une analyse d'impact commune. Cette analyse commune est, le cas échéant, complétée par chacun des responsables de traitement concernés, en fonction des spécificités de son traitement.
  III. − L'analyse d'impact contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions des titres Ier et III de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.
  IV. − Lorsque la Commission nationale de l'informatique et des libertés est consultée préalablement à la mise en œuvre du traitement dans les conditions prévues au troisième alinéa de l'article 90 de la même loi, le responsable du traitement ou le sous-traitant lui fournit l'analyse d'impact relative à la protection des données et, sur demande, toute autre information lui permettant d'apprécier la conformité du traitement aux dispositions des titres Ier et III de la même loi et, en particulier, les risques pour la protection des données à caractère personnel des personnes concernées et les garanties qui s'y rapportent.
  V. − Lorsque la commission est d'avis que le traitement constituerait une violation des dispositions des titres Ier et III de la même loi, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant dans un délai de huit semaines à compter de la réception de la consultation. Si la complexité du traitement prévu le nécessite, ce délai peut être prorogé de six semaines. Dans ce cas, la commission informe le responsable du traitement et, le cas échéant, le sous-traitant de la prorogation de ce délai, dans un délai de six semaines à compter de la réception de la consultation, ainsi que des motifs de cette prorogation.
  La Commission nationale de l'informatique et des libertés peut également conseiller le responsable du traitement et faire usage des pouvoirs visés au f du 2° du I de l'article 8 et aux I, 2° et 4° du II et 1° à 3° du III de l'article 20 de la même loi.
  A défaut de réponse de la commission à sa consultation dans le délai de huit semaines, le cas échéant prorogé de six semaines, le responsable du traitement ou le cas échéant, le sous-traitant, peut mettre en œuvre le traitement de données, sans préjudice de l'exercice par la commission des pouvoirs mentionnés au septième alinéa du présent article.
  
  Article 131 En savoir plus sur cet article...
  
  Le contrat ou l'autre acte juridique liant le sous-traitant à l'égard du responsable du traitement, mentionné à l'article 96 de la loi du 6 janvier 1978 susvisée, prévoit notamment que le sous-traitant :
  1° Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  2° Aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions du chapitre III du titre III de la même loi ;
  3° Selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;
  4° Met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 96 susmentionné et du présent article ;
  5° Respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, au dernier alinéa de l'article 96 susmentionné et au présent article.
  Cet acte juridique revêt la forme écrite, y compris la forme électronique.
  
  Article 132 En savoir plus sur cet article...
  
  Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des obligations dont ils sont débiteurs en application de la loi du 6 janvier 1978 susvisée et du décret, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l'article 104 de la même loi, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union européenne ou par le droit de l'Etat membre auquel les responsables du traitement sont soumis. Le point de contact pour les personnes concernées est mentionné dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.
  Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.
- Chapitre II : Obligations incombant aux autorités compétentes, aux responsables de traitement de données à caractère personnel et aux sous-traitants
  
  Article 133 En savoir plus sur cet article...
  
  Un délégué à la protection des données est désigné par le responsable du traitement dans les cas prévus à l'article 103 de la loi du 6 janvier 1978 susvisée.
  Le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à la Commission nationale de l'informatique et des libertés dans les conditions prévues à l'article 83.
  Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement ou sous-traitant.
- Chapitre III : Droits de la personne concernée
  
  Article 134 En savoir plus sur cet article...
  
  Le responsable du traitement prend des mesures appropriées pour fournir toute information visée à l'article 104 de la loi du 6 janvier 1978 susvisée. Il procède à toute communication à la personne concernée, prévue par les articles 102, 105 à 107 de la même loi, d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples.
  
  Article 135 En savoir plus sur cet article...
  
  Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus au II de l'article 104 et aux articles 105 et 106 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen et précise l'adresse à laquelle doit parvenir la réponse. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
  Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la copie d'un titre d'identité portant la signature du titulaire.
  Lorsque la demande présentée sur place ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
  Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant lors de la délivrance du pli.
  Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai prévu au huitième alinéa. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai prévu au huitième alinéa.
  Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande est transmise immédiatement au responsable du traitement.
  Ces demandes peuvent être présentées par une personne spécialement mandatée à cet effet par le demandeur, après justification de son identité et de l'identité du mandant, de son mandat ainsi que de la durée et de l'objet précis de celui-ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse du responsable du traitement ou du sous-traitant.
  Sans préjudice des dispositions spécifiques applicables à certains traitements, le responsable du traitement répond par écrit à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception et dans les conditions prévues à l'article 80.
  Le délai prévu au huitième alinéa est suspendu lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires pour identifier la personne concernée ou procéder aux opérations qui lui sont demandées.
  Lorsque le responsable du traitement ne s'est pas prononcé dans le délai fixé au huitième alinéa, la demande est réputée rejetée.
  
  Article 136 En savoir plus sur cet article...
  
  Sans préjudice des dispositions spécifiques applicables à certains traitements, les demandes formées en application de l'article 108 de la loi du 6 janvier 1978 susvisée sont régies par les dispositions des articles 141 à 143, sauf s'il s'agit d'informations relevant de l'article 111 de la même loi. Sous peine d'irrecevabilité de sa demande, la personne concernée doit justifier auprès de la Commission nationale de l'informatique et des libertés soit de la réponse écrite du responsable du traitement attestant de la restriction de ses droits intervenue en application des II ou III de l'article 107 de la même loi, soit de la demande qu'elle a adressée à ce dernier plus de deux mois auparavant en application de l'article 135.
  
  Article 137 En savoir plus sur cet article...
  
  Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.
- Chapitre IV : De la coopération
  
  Article 138 En savoir plus sur cet article...
  
  Pour la mise en œuvre de l'article 26 de la loi du 6 janvier 1978 susvisée, les dispositions des 2, 3, 6 et 7 de l'article 61 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont applicables.
- Chapitre V : Transferts de données à caractère personnel vers des États n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des États n'appartenant pas à l'Union européenne
  
  Article 139 En savoir plus sur cet article...
  
  Lorsqu'un transfert de données à caractère personnel a lieu en application des articles 112 et 114 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés peut éditer des formulaires indiquant les éléments d'informations devant être transmis en vertu de ces articles.

Titre IV : DISPOSITIONS APPLICABLES AUX TRAITEMENTS INTÉRESSANT LA SÛRETÉ DE L'ÉTAT ET LA DÉFENSE

Article 140 En savoir plus sur cet article...

Le présent titre s'applique, sans préjudice du titre Ier, aux traitements relevant du titre IV de la loi du 6 janvier 1978 susvisée.
- Sous-section 1 : Exercice des droits auprès de la Commission nationale de l'informatique et des libertés
  
  Article 141 En savoir plus sur cet article...
  
  En application de l'article 118 de la loi du 6 janvier 1978 susvisée, toute demande d'accès, de rectification ou d'effacement des informations figurant dans les traitements intéressant la sûreté de l'Etat ou la défense, autorisés en application du 1° du I de l'article 31 de la loi du 6 janvier 1978 susvisée, est adressée à la commission par écrit.
  La demande doit être signée et accompagnée de la photocopie d'un titre d'identité portant la signature du titulaire. Elle doit préciser l'adresse à laquelle doit parvenir la réponse. Lorsqu'il existe un doute sur l'adresse indiquée ou sur l'identité du demandeur, la réponse de la commission peut être expédiée par lettre postale remise contre signature, la vérification de l'adresse ou de l'identité du demandeur s'effectuant lors de la délivrance du pli.
  Toute demande manifestement abusive peut être rejetée.
  
  Article 142 En savoir plus sur cet article...
  
  Saisie dans les conditions fixées à l'article 141, la commission notifie au demandeur, dans un délai de quatre mois à compter de sa saisine, sans préjudice des dispositions spécifiques applicables à certains traitements, le résultat de ses investigations. Si la demande ne comporte pas tous les éléments permettant à la commission de procéder aux investigations qui lui ont été demandées, celle-ci invite le demandeur à les lui fournir. A défaut de réponse du demandeur dans un délai de deux mois, la demande peut être rejetée. Le délai de quatre mois court à compter de la date de réception par la commission de ces informations complémentaires.
  Si la réponse à la demande nécessite la centralisation préalable de pièces et d'éléments, le responsable du traitement y procède dans un délai de trois mois à compter de la date à laquelle il reçoit la demande de la commission. Ce délai peut être prorogé d'un mois lorsque le traitement de la demande nécessite des investigations complexes. La commission est informée de la prorogation de ce délai par le responsable du traitement. Le délai dans lequel la commission répond au demandeur est alors porté à cinq mois. Le délai dont bénéficie le responsable du traitement s'impute sur le délai prévu à l'alinéa précédent.
  Sans préjudice des dispositions spécifiques applicables à certains traitements, lorsque la commission sollicite l'avis d'une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l'Union européenne ou un Etat tiers, le délai de quatre mois mentionné au premier alinéa court à compter de la réception par la commission des informations qu'elle a demandées.
  
  Article 143 En savoir plus sur cet article...
  
  I. − Aux termes de ses investigations, la commission constate, en accord avec le responsable du traitement, celles des données dont la communication au demandeur ne met pas en cause les finalités du traitement, la sûreté de l'Etat, la défense ou la sécurité publique. Elle transmet ces données au demandeur. Le cas échéant, celles-ci sont communiquées selon des modalités définies d'un commun accord entre la commission et le responsable du traitement.
  Lorsque le responsable du traitement s'oppose à la communication au demandeur de tout ou partie des données le concernant, la commission informe ce dernier qu'il a été procédé aux vérifications nécessaires.
  Lorsque le traitement ne contient aucune donnée concernant le demandeur, la commission en informe celui-ci, avec l'accord du responsable du traitement. En cas d'opposition du responsable du traitement, la commission se borne à informer le demandeur qu'il a été procédé aux vérifications nécessaires.
  II. − La commission peut constater, en accord avec le responsable du traitement, que les données concernant le demandeur doivent être rectifiées ou supprimées et qu'il y a lieu de l'en informer. En cas d'opposition du responsable du traitement, la commission se borne à informer le demandeur qu'il a été procédé aux vérifications nécessaires.
  III. − La réponse de la commission mentionne les voies et délais de recours ouverts au demandeur. Pour les demandes relatives aux traitements ou parties de traitements intéressant la sûreté de l'Etat mentionnés à l'article R. 841-2 du code de la sécurité intérieure, la mention des voies de recours précise que le Conseil d'Etat peut être saisi dans les deux mois à compter de la notification de l'information selon laquelle il a été procédé aux vérifications nécessaires et rappelle les dispositions de l'article L. 841-2 du même code.
- Sous-section 2 : Exercice des droits auprès du responsable du traitement
  
  Article 144 En savoir plus sur cet article...
  
  Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 117 et 119 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
  Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l'identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la copie d'un titre d'identité portant la signature du titulaire.
  Les délais prévus à l'article 146 sont suspendus lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires à l'identification de la personne concernée. Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant lors de la délivrance du pli.
  Lorsque le responsable du traitement ou le sous-traitant n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande est transmise immédiatement au responsable du traitement.
  
  Article 145 En savoir plus sur cet article...
  
  Lorsqu'une demande est présentée sur place, la personne concernée justifie par tout moyen de son identité auprès du responsable du traitement ou du sous-traitant.
  Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
  
  Article 146 En savoir plus sur cet article...
  
  Le responsable de traitement ou le sous-traitant répond à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception.
  Si la demande transmise par la personne concernée est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d'y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires avant l'expiration du délai prévu à l'alinéa précédent.
  Lorsque le responsable de traitement ou le sous-traitant ne s'est pas prononcé dans le délai prévu au premier alinéa, la demande est réputée rejetée.
- Sous-section 3 : Information des personnes concernées
  
  Article 147 En savoir plus sur cet article...
  
  Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées à l'article 116 de la loi du 6 janvier 1978 susvisée sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I de l'article 116 susmentionné, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification.
  Les informations mentionnées à l'alinéa précédent peuvent être communiquées aux intéressés, avec leur accord, par voie électronique.
  Lorsque les informations sont portées à la connaissance de l'intéressé par voie d'affichage, il lui est indiqué qu'il peut, sur simple demande écrite, recevoir ces informations sur un support écrit.
  
  Article 148 En savoir plus sur cet article...
  
  Les informations figurant au 7° du I de l'article 116 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l'article 147, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :
  1° Le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;
  2° La nature des données transférées ;
  3° La finalité du transfert envisagé ;
  4° La ou les catégories de destinataires des données ;
  5° Le niveau de protection offert par le ou les pays tiers : si le ou les pays tiers ne satisfont pas aux conditions prévues à l'article 123 de la même loi, il est fait mention de l'exception prévue à l'article 124 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l'informatique et des libertés autorisant ce transfert.
  Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l'intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l'article 146.
- Sous-section 4 : Conditions d'exercice du droit d'opposition, du droit d'accès et du droit de rectification
  
  Article 149 En savoir plus sur cet article...
  
  Pour faciliter l'exercice du droit d'opposition prévu au premier alinéa de l'article 117 de la loi du 6 janvier 1978 susvisée, la personne concernée est mise en mesure d'exprimer son choix à tout moment.
  Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.
  
  Article 150 En savoir plus sur cet article...
  
  Lorsque le responsable du traitement permet, pour l'exercice du droit d'accès mentionné à l'article 119 de la loi du 6 janvier 1978 susvisée, la consultation des données sur place, celle-ci n'est possible que sous réserve de la protection des données à caractère personnel des tiers. Sauf disposition législative ou réglementaire contraire, une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
  Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l'intéressé toutes les données qui le concernent et pendant une durée suffisante.
  Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.
  
  Article 151 En savoir plus sur cet article...
  
  Lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers. Celui-ci procède également sans délai à la rectification.

Titre V : DISPOSITIONS RELATIVES À L'OUTRE-MER

Article 152 En savoir plus sur cet article...

Le présent décret est applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises sous réserve des adaptations prévues au présent titre.

Article 153 En savoir plus sur cet article...

Pour l'application du présent décret à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises, la référence au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est remplacée par la référence aux règles en vigueur en métropole en vertu du règlement (UE) 2016/679 du 27 avril 2016.

Article 154 En savoir plus sur cet article...

I. - Pour son application en Polynésie française, en Nouvelle-Calédonie, à Wallis-et-Futuna et dans les Terres australes antarctiques françaises :
1° A l'article 28, les mots : « du tribunal de grande instance » sont remplacés par les mots : « du tribunal de première instance » en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna ;
2° Au deuxième alinéa de l'article 34, les mots : « au moins huit jours avant la date de son audition » sont remplacés par les mots : « au moins un mois avant la date de son audition » ;
3° A l'article 36, les mots : « le préfet ou, selon le cas, le directeur général de l'agence régionale de santé dans le ressort territorial duquel doit avoir lieu le contrôle » sont remplacés par les mots :
a) « Le haut-commissaire de la République », en Polynésie française et en Nouvelle-Calédonie ;
b) « L'administrateur supérieur des îles Wallis et Futuna », dans les îles Wallis et Futuna ;
c) « L'administrateur supérieur des Terres australes et antarctiques françaises », dans les Terres australes et antarctiques françaises ;
4° A l'article 40, les mots : « dispose d'un délai d'un mois » sont remplacés par les mots : « dispose d'un délai de deux mois » ;
5° A l'article 41, les mots : « ramené à sept jours » sont remplacés par les mots : « ramené à quinze jours » ;
6° A l'article 46, les mots : « huit jours » sont remplacés par les mots : « quinze jours » ;
7° A l'article 47, les mots : « huit jours » sont remplacés par les mots : « quinze jours » ;
8° Au deuxième alinéa de l'article 58, les mots : « huit jours » sont remplacés par les mots : « quinze jours » ;
9° A l'article 124, les mots : « par la production d'un acte de notoriété ou d'un livret de famille » sont remplacés par les mots : « par tous moyens ».
II. - Pour son application à Mayotte, à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin et à La Réunion, à l'article 36, les mots : « le directeur général de l'agence régionale de santé » sont remplacés par les mots :
1° « Le directeur de l'administration territoriale de santé de Saint-Pierre-et-Miquelon » pour Saint-Pierre-et-Miquelon ;
2° « Le directeur de l'agence de santé de la Guadeloupe, de Saint-Barthélemy et de Saint-Martin » pour la Guadeloupe, Saint-Barthélemy et Saint-Martin ;
3° « Le directeur de l'agence de santé de l'océan Indien » pour La Réunion et Mayotte.

Article 155 En savoir plus sur cet article...

Dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, la compétence dévolue aux huissiers de justice pour la délivrance des actes prévus au présent décret peut être exercée par un représentant de l'autorité administrative ou militaire.

Titre VI : DISPOSITIONS DIVERSES ET FINALES
Article 156

A modifié les dispositions suivantes :
Article 157

A modifié les dispositions suivantes :
- Modifie Décret n°2018-232 du 30 mars 2018 - art. 2 (V)
- Modifie Décret n°2018-232 du 30 mars 2018 - art. 3 (V)
- Modifie Décret n°2018-232 du 30 mars 2018 - art. 4 (V)
Article 158

A modifié les dispositions suivantes :
- Modifie Code pénal - art. R625-10 (V)
- Modifie Code pénal - art. R625-11 (V)
- Modifie Code pénal - art. R625-12 (V)
- Modifie Code pénal - art. R711-1 (V)
- Modifie Code de justice administrative - art. R555-1 (V)
- Modifie Code de justice administrative - art. R555-2 (V)
- Modifie Code de l'organisation judiciaire - art. R213-5 (V)
- Crée Code de l'organisation judiciaire - art. R532-6-1 (V)
- Modifie Code de l'organisation judiciaire - art. R552-6 (V)
- Modifie Code de l'organisation judiciaire - art. R562-6 (V)
Article 159 En savoir plus sur cet article...

Le présent décret entre en vigueur le 1er juin 2019.

Article 160 En savoir plus sur cet article...

La garde des sceaux, ministre de la justice, et la ministre des outre-mer sont chargées, chacune en ce qui la concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait le 29 mai 2019.

Edouard Philippe

Par le Premier ministre :

La garde des sceaux, ministre de la justice,

Nicole Belloubet

La ministre des outre-mer,

Annick Girardin

R.G.P.D.

LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (1)

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertésNOR: JUSC1911425DVersion consolidée au 08 octobre 2019

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

NOR: JUSC1911425D
Version consolidée au 08 octobre 2019