J.O n° 182 du 7 août 2004 page 14063
texte n° 2
LOIS
LOI n° 2004-801 du 6 août 2004 relative à la
protection des personnes physiques à l'égard des traitements de
données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(1)
NOR: JUSX0100026L
L'Assemblée nationale et le Sénat ont
adopté,
Vu la décision du Conseil constitutionnel n° 2004-499
DC du 29 juillet 2004 ;
Le Président de la République
promulgue la loi dont la teneur suit :
TITRE Ier
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX
LIBERTÉS
Article 1
Les articles 2 à 5 de la loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés sont
ainsi rédigés :
« Art. 2. - La présente loi s'applique aux
traitements automatisés de données à caractère personnel, ainsi
qu'aux traitements non automatisés de données à caractère personnel
contenues ou appelées à figurer dans des fichiers, à l'exception des
traitements mis en oeuvre pour l'exercice d'activités exclusivement
personnelles, lorsque leur responsable remplit les conditions
prévues à l'article 5.
« Constitue une donnée à caractère
personnel toute information relative à une personne physique
identifiée ou qui peut être identifiée, directement ou
indirectement, par référence à un numéro d'identification ou à un ou
plusieurs éléments qui lui sont propres. Pour déterminer si une
personne est identifiable, il convient de considérer l'ensemble des
moyens en vue de permettre son identification dont dispose ou
auxquels peut avoir accès le responsable du traitement ou toute
autre personne.
« Constitue un traitement de données à
caractère personnel toute opération ou tout ensemble d'opérations
portant sur de telles données, quel que soit le procédé utilisé, et
notamment la collecte, l'enregistrement, l'organisation, la
conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction.
« Constitue un fichier de
données à caractère personnel tout ensemble structuré et stable de
données à caractère personnel accessibles selon des critères
déterminés.
« La personne concernée par un traitement de
données à caractère personnel est celle à laquelle se rapportent les
données qui font l'objet du traitement.
« Art. 3. - I. - Le
responsable d'un traitement de données à caractère personnel est,
sauf désignation expresse par les dispositions législatives ou
réglementaires relatives à ce traitement, la personne, l'autorité
publique, le service ou l'organisme qui détermine ses finalités et
ses moyens.
« II. - Le destinataire d'un traitement de
données à caractère personnel est toute personne habilitée à
recevoir communication de ces données autre que la personne
concernée, le responsable du traitement, le sous-traitant et les
personnes qui, en raison de leurs fonctions, sont chargées de
traiter les données. Toutefois, les autorités légalement habilitées,
dans le cadre d'une mission particulière ou de l'exercice d'un droit
de communication, à demander au responsable du traitement de leur
communiquer des données à caractère personnel ne constituent pas des
destinataires.
« Art. 4. - Les dispositions de la présente
loi ne sont pas applicables aux copies temporaires qui sont faites
dans le cadre des activités techniques de transmission et de
fourniture d'accès à un réseau numérique, en vue du stockage
automatique, intermédiaire et transitoire des données et à seule fin
de permettre à d'autres destinataires du service le meilleur accès
possible aux informations transmises.
« Art. 5. - I. - Sont
soumis à la présente loi les traitements de données à caractère
personnel :
« 1° Dont le responsable est établi sur le
territoire français. Le responsable d'un traitement qui exerce une
activité sur le territoire français dans le cadre d'une
installation, quelle que soit sa forme juridique, y est considéré
comme établi ;
« 2° Dont le responsable, sans être établi sur
le territoire français ou sur celui d'un autre Etat membre de la
Communauté européenne, recourt à des moyens de traitement situés sur
le territoire français, à l'exclusion des traitements qui ne sont
utilisés qu'à des fins de transit sur ce territoire ou sur celui
d'un autre Etat membre de la Communauté européenne.
« II. -
Pour les traitements mentionnés au 2° du I, le responsable désigne à
la Commission nationale de l'informatique et des libertés un
représentant établi sur le territoire français, qui se substitue à
lui dans l'accomplissement des obligations prévues par la présente
loi ; cette désignation ne fait pas obstacle aux actions qui
pourraient être introduites contre lui. »
Article 2
Le chapitre II de la loi n° 78-17 du 6 janvier
1978 précitée est ainsi rédigé :
« Chapitre II
« Conditions de licéité des traitements de
données
à caractère personnel
« Section 1
« Dispositions générales
« Art. 6. - Un traitement ne peut porter que sur
des données à caractère personnel qui satisfont aux conditions
suivantes :
« 1° Les données sont collectées et traitées de
manière loyale et licite ;
« 2° Elles sont collectées pour
des finalités déterminées, explicites et légitimes et ne sont pas
traitées ultérieurement de manière incompatible avec ces finalités.
Toutefois, un traitement ultérieur de données à des fins
statistiques ou à des fins de recherche scientifique ou historique
est considéré comme compatible avec les finalités initiales de la
collecte des données, s'il est réalisé dans le respect des principes
et des procédures prévus au présent chapitre, au chapitre IV et à la
section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est
pas utilisé pour prendre des décisions à l'égard des personnes
concernées ;
« 3° Elles sont adéquates, pertinentes et non
excessives au regard des finalités pour lesquelles elles sont
collectées et de leurs traitements ultérieurs ;
« 4° Elles
sont exactes, complètes et, si nécessaire, mises à jour ; les
mesures appropriées doivent être prises pour que les données
inexactes ou incomplètes au regard des finalités pour lesquelles
elles sont collectées ou traitées soient effacées ou rectifiées
;
« 5° Elles sont conservées sous une forme permettant
l'identification des personnes concernées pendant une durée qui
n'excède pas la durée nécessaire aux finalités pour lesquelles elles
sont collectées et traitées.
« Art. 7. - Un traitement de
données à caractère personnel doit avoir reçu le consentement de la
personne concernée ou satisfaire à l'une des conditions suivantes
:
« 1° Le respect d'une obligation légale incombant au
responsable du traitement ;
« 2° La sauvegarde de la vie de
la personne concernée ;
« 3° L'exécution d'une mission de
service public dont est investi le responsable ou le destinataire du
traitement ;
« 4° L'exécution, soit d'un contrat auquel la
personne concernée est partie, soit de mesures précontractuelles
prises à la demande de celle-ci ;
« 5° La réalisation de
l'intérêt légitime poursuivi par le responsable du traitement ou par
le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les
droits et libertés fondamentaux de la personne
concernée.
« Section 2
« Dispositions propres à certaines catégories de
données
« Art. 8. - I. - Il est interdit de collecter ou
de traiter des données à caractère personnel qui font apparaître,
directement ou indirectement, les origines raciales ou ethniques,
les opinions politiques, philosophiques ou religieuses ou
l'appartenance syndicale des personnes, ou qui sont relatives à la
santé ou à la vie sexuelle de celles-ci.
« II. - Dans la
mesure où la finalité du traitement l'exige pour certaines
catégories de données, ne sont pas soumis à l'interdiction prévue au
I :
« 1° Les traitements pour lesquels la personne concernée
a donné son consentement exprès, sauf dans le cas où la loi prévoit
que l'interdiction visée au I ne peut être levée par le consentement
de la personne concernée ;
« 2° Les traitements nécessaires à
la sauvegarde de la vie humaine, mais auxquels la personne concernée
ne peut donner son consentement par suite d'une incapacité juridique
ou d'une impossibilité matérielle ;
« 3° Les traitements mis
en oeuvre par une association ou tout autre organisme à but non
lucratif et à caractère religieux, philosophique, politique ou
syndical :
« - pour les seules données mentionnées au I
correspondant à l'objet de ladite association ou dudit organisme
;
« - sous réserve qu'ils ne concernent que les membres de
cette association ou de cet organisme et, le cas échéant, les
personnes qui entretiennent avec celui-ci des contacts réguliers
dans le cadre de son activité ;
« - et qu'ils ne portent que
sur des données non communiquées à des tiers, à moins que les
personnes concernées n'y consentent expressément ;
« 4° Les
traitements portant sur des données à caractère personnel rendues
publiques par la personne concernée ;
« 5° Les traitements
nécessaires à la constatation, à l'exercice ou à la défense d'un
droit en justice ;
« 6° Les traitements nécessaires aux fins
de la médecine préventive, des diagnostics médicaux, de
l'administration de soins ou de traitements, ou de la gestion de
services de santé et mis en oeuvre par un membre d'une profession de
santé, ou par une autre personne à laquelle s'impose en raison de
ses fonctions l'obligation de secret professionnel prévue par
l'article 226-13 du code pénal ;
« 7° Les traitements
statistiques réalisés par l'Institut national de la statistique et
des études économiques ou l'un des services statistiques
ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur
l'obligation, la coordination et le secret en matière de
statistiques, après avis du Conseil national de l'information
statistique et dans les conditions prévues à l'article 25 de la
présente loi ;
« 8° Les traitements nécessaires à la
recherche dans le domaine de la santé selon les modalités prévues au
chapitre IX.
« III. - Si les données à caractère personnel
visées au I sont appelées à faire l'objet à bref délai d'un procédé
d'anonymisation préalablement reconnu conforme aux dispositions de
la présente loi par la Commission nationale de l'informatique et des
libertés, celle-ci peut autoriser, compte tenu de leur finalité,
certaines catégories de traitements selon les modalités prévues à
l'article 25. Les dispositions des chapitres IX et X ne sont pas
applicables.
« IV. - De même, ne sont pas soumis à
l'interdiction prévue au I les traitements, automatisés ou non,
justifiés par l'intérêt public et autorisés dans les conditions
prévues au I de l'article 25 ou au II de l'article 26.
« Art.
9. - Les traitements de données à caractère personnel relatives aux
infractions, condamnations et mesures de sûreté ne peuvent être mis
en oeuvre que par :
« 1° Les juridictions, les autorités
publiques et les personnes morales gérant un service public,
agissant dans le cadre de leurs attributions légales ;
« 2°
Les auxiliaires de justice, pour les stricts besoins de l'exercice
des missions qui leur sont confiées par la loi ;
« 3°
[Dispositions déclarées non conformes à la Constitution par décision
du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004
;]
« 4° Les personnes morales mentionnées aux articles L.
321-1 et L. 331-1 du code de la propriété intellectuelle, agissant
au titre des droits dont elles assurent la gestion ou pour le compte
des victimes d'atteintes aux droits prévus aux livres Ier, II et III
du même code aux fins d'assurer la défense de ces droits.
«
Art. 10. - Aucune décision de justice impliquant une appréciation
sur le comportement d'une personne ne peut avoir pour fondement un
traitement automatisé de données à caractère personnel destiné à
évaluer certains aspects de sa personnalité.
« Aucune autre
décision produisant des effets juridiques à l'égard d'une personne
ne peut être prise sur le seul fondement d'un traitement automatisé
de données destiné à définir le profil de l'intéressé ou à évaluer
certains aspects de sa personnalité.
« Ne sont pas regardées
comme prises sur le seul fondement d'un traitement automatisé les
décisions prises dans le cadre de la conclusion ou de l'exécution
d'un contrat et pour lesquelles la personne concernée a été mise à
même de présenter ses observations, ni celles satisfaisant les
demandes de la personne concernée. »
Article 3
Le chapitre III de la loi n° 78-17 du 6 janvier
1978 précitée est ainsi rédigé :
« Chapitre III
« La Commission nationale
de
l'informatique et des libertés
« Art. 11. - La Commission nationale de
l'informatique et des libertés est une autorité administrative
indépendante. Elle exerce les missions suivantes :
« 1° Elle
informe toutes les personnes concernées et tous les responsables de
traitements de leurs droits et obligations ;
« 2° Elle veille
à ce que les traitements de données à caractère personnel soient mis
en oeuvre conformément aux dispositions de la présente loi.
«
A ce titre :
« a) Elle autorise les traitements mentionnés à
l'article 25, donne un avis sur les traitements mentionnés aux
articles 26 et 27 et reçoit les déclarations relatives aux autres
traitements ;
« b) Elle établit et publie les normes
mentionnées au I de l'article 24 et édicte, le cas échéant, des
règlements types en vue d'assurer la sécurité des systèmes
;
« c) Elle reçoit les réclamations, pétitions et plaintes
relatives à la mise en oeuvre des traitements de données à caractère
personnel et informe leurs auteurs des suites données à celles-ci
;
« d) Elle répond aux demandes d'avis des pouvoirs publics
et, le cas échéant, des juridictions, et conseille les personnes et
organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre
des traitements automatisés de données à caractère personnel
;
« e) Elle informe sans délai le procureur de la République,
conformément à l'article 40 du code de procédure pénale, des
infractions dont elle a connaissance, et peut présenter des
observations dans les procédures pénales, dans les conditions
prévues à l'article 52 ;
« f) Elle peut, par décision
particulière, charger un ou plusieurs de ses membres ou des agents
de ses services, dans les conditions prévues à l'article 44, de
procéder à des vérifications portant sur tous traitements et, le cas
échéant, d'obtenir des copies de tous documents ou supports
d'information utiles à ses missions ;
« g) Elle peut, dans
les conditions définies au chapitre VII, prononcer à l'égard d'un
responsable de traitement l'une des mesures prévues à l'article 45
;
« h) Elle répond aux demandes d'accès concernant les
traitements mentionnés aux articles 41 et 42 ;
« 3° A la
demande d'organisations professionnelles ou d'institutions
regroupant principalement des responsables de traitements :
«
a) Elle donne un avis sur la conformité aux dispositions de la
présente loi des projets de règles professionnelles et des produits
et procédures tendant à la protection des personnes à l'égard du
traitement de données à caractère personnel, ou à l'anonymisation de
ces données, qui lui sont soumis ;
« b) Elle porte une
appréciation sur les garanties offertes par des règles
professionnelles qu'elle a précédemment reconnues conformes aux
dispositions de la présente loi, au regard du respect des droits
fondamentaux des personnes ;
« c) Elle délivre un label à des
produits ou à des procédures tendant à la protection des personnes à
l'égard du traitement des données à caractère personnel, après
qu'elles les a reconnus conformes aux dispositions de la présente
loi ;
« 4° Elle se tient informée de l'évolution des
technologies de l'information et rend publique le cas échéant son
appréciation des conséquences qui en résultent pour l'exercice des
droits et libertés mentionnés à l'article 1er ;
« A ce titre
:
« a) Elle est consultée sur tout projet de loi ou de décret
relatif à la protection des personnes à l'égard des traitements
automatisés ;
« b) Elle propose au Gouvernement les mesures
législatives ou réglementaires d'adaptation de la protection des
libertés à l'évolution des procédés et techniques informatiques
;
« c) A la demande d'autres autorités administratives
indépendantes, elle peut apporter son concours en matière de
protection des données ;
« d) Elle peut être associée, à la
demande du Premier ministre, à la préparation et à la définition de
la position française dans les négociations internationales dans le
domaine de la protection des données à caractère personnel. Elle
peut participer, à la demande du Premier ministre, à la
représentation française dans les organisations interna- tionales et
communautaires compétentes en ce domaine.
« Pour
l'accomplissement de ses missions, la commission peut procéder par
voie de recommandation et prendre des décisions individuelles ou
réglementaires dans les cas prévus par la présente loi.
« La
commission présente chaque année au Président de la République, au
Premier ministre et au Parlement un rapport public rendant compte de
l'exécution de sa mission.
« Art. 12. - La Commission
nationale de l'informatique et des libertés dispose des crédits
nécessaires à l'accomplissement de ses missions. Les dispositions de
la loi du 10 août 1922 relative au contrôle financier ne sont pas
applicables à leur gestion. Les comptes de la commission sont
présentés au contrôle de la Cour des comptes.
« Art. 13. - I.
- La Commission nationale de l'informatique et des libertés est
composée de dix-sept membres :
« 1° Deux députés et deux
sénateurs, désignés respectivement par l'Assemblée nationale et par
le Sénat ;
« 2° Deux membres du Conseil économique et social,
élus par cette assemblée ;
« 3° Deux membres ou anciens
membres du Conseil d'Etat, d'un grade au moins égal à celui de
conseiller, élus par l'assemblée générale du Conseil d'Etat
;
« 4° Deux membres ou anciens membres de la Cour de
cassation, d'un grade au moins égal à celui de conseiller, élus par
l'assemblée générale de la Cour de cassation ;
« 5° Deux
membres ou anciens membres de la Cour des comptes, d'un grade au
moins égal à celui de conseiller maître, élus par l'assemblée
générale de la Cour des comptes ;
« 6° Trois personnalités
qualifiées pour leur connaissance de l'informatique ou des questions
touchant aux libertés individuelles, nommées par décret ;
«
7° Deux personnalités qualifiées pour leur connaissance de
l'informatique, désignées respectivement par le Président de
l'Assemblée nationale et par le Président du Sénat.
« La
commission élit en son sein un président et deux vice-présidents,
dont un vice-président délégué. Ils composent le bureau.
« La
formation restreinte de la commission est composée du président, des
vice-présidents et de trois membres élus par la commission en son
sein pour la durée de leur mandat.
« En cas de partage égal
des voix, celle du président est prépondérante.
« II. - Le
mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et
7° du I est de cinq ans ; il est renouvelable une fois. Les membres
mentionnés aux 1° et 2° siègent pour la durée du mandat à l'origine
de leur désignation ; leurs mandats de membre de la Commission
nationale de l'informatique et des libertés ne peuvent excéder une
durée de dix ans.
« Le membre de la commission qui cesse
d'exercer ses fonctions en cours de mandat est remplacé, dans les
mêmes conditions, pour la durée de son mandat restant à
courir.
« Sauf démission, il ne peut être mis fin aux
fonctions d'un membre qu'en cas d'empêchement constaté par la
commission dans les conditions qu'elle définit.
« La
commission établit un règlement intérieur. Ce règlement fixe les
règles relatives à l'organisation et au fonctionnement de la
commission. Il précise notamment les règles relatives aux
délibérations, à l'instruction des dossiers et à leur présentation
devant la commission.
« Art. 14. - I. - La qualité de membre
de la commission est incompatible avec celle de membre du
Gouvernement.
« II. - Aucun membre de la commission ne peut
:
« - participer à une délibération ou procéder à des
vérifications relatives à un organisme au sein duquel il détient un
intérêt, direct ou indirect, exerce des fonctions ou détient un
mandat ;
« - participer à une délibération ou procéder à des
vérifications relatives à un organisme au sein duquel il a, au cours
des trente-six mois précédant la délibération ou les vérifications,
détenu un intérêt direct ou indirect, exercé des fonctions ou détenu
un mandat.
« III. - Tout membre de la commission doit
informer le président des intérêts directs ou indirects qu'il
détient ou vient à détenir, des fonctions qu'il exerce ou vient à
exercer et de tout mandat qu'il détient ou vient à détenir au sein
d'une personne morale. Ces informations, ainsi que celles concernant
le président, sont tenues à la disposition des membres de la
commission.
« Le président de la commission prend les mesures
appropriées pour assurer le respect des obligations résultant du
présent article.
« Art. 15. - Sous réserve des compétences du
bureau et de la formation restreinte, la commission se réunit en
formation plénière.
« En cas de partage égal des voix, la
voix du président est prépondérante.
« La commission peut
charger le président ou le vice-président délégué d'exercer celles
de ses attributions mentionnées :
« - au troisième alinéa du
I de l'article 23 ;
« - aux e et f du 2° de l'article 11
;
« - au c du 2° de l'article 11 ;
« - au d du 4° de
l'article 11 ;
« - aux articles 41 et 42 ;
« - à
l'article 54 ;
« - aux articles 63, 64 et 65 ;
« - au
dernier alinéa de l'article 69 ;
« - au premier alinéa de
l'article 70.
« Art. 16. - Le bureau peut être chargé par la
commission d'exercer les attributions de celle-ci mentionnées
:
« - au dernier alinéa de l'article 19 ;
« - à
l'article 25, en cas d'urgence ;
« - au second alinéa de
l'article 70.
« Le bureau peut aussi être chargé de prendre,
en cas d'urgence, les décisions mentionnées au premier alinéa du I
de l'article 45.
« Art. 17. - La formation restreinte de la
commission prononce les mesures prévues au I et au 1° du II de
l'article 45.
« Art. 18. - Un commissaire du Gouvernement,
désigné par le Premier ministre, siège auprès de la commission. Des
commissaires adjoints peuvent être désignés dans les mêmes
conditions.
« Le commissaire du Gouvernement assiste à toutes
les délibérations de la commission réunie en formation plénière ou
en formation restreinte, ainsi qu'à celles des réunions de son
bureau qui ont pour objet l'exercice des attributions déléguées en
vertu de l'article 16 ; il est rendu destinataire de tous ses avis
et décisions.
« Il peut, sauf en matière de sanctions,
provoquer une seconde délibération, qui doit intervenir dans les dix
jours de la délibération initiale.
« Art. 19. - La commission
dispose de services dirigés par le président et placés sous son
autorité.
« Les agents de la commission sont nommés par le
président.
« En cas de besoin, le vice-président délégué
exerce les attributions du président.
« Le secrétaire général
est chargé du fonctionnement et de la coordination des services sous
l'autorité du président.
« Ceux des agents qui peuvent être
appelés à participer à la mise en oeuvre des missions de
vérification mentionnées à l'article 44 doivent y être habilités par
la commission ; cette habilitation ne dispense pas de l'application
des dispositions définissant les procédures autorisant l'accès aux
secrets protégés par la loi.
« Art. 20. - Les membres et les
agents de la commission sont astreints au secret professionnel pour
les faits, actes ou renseignements dont ils ont pu avoir
connaissance en raison de leurs fonctions, dans les conditions
prévues à l'article 413-10 du code pénal et, sous réserve de ce qui
est nécessaire à l'établissement du rapport annuel, à l'article
226-13 du même code.
« Art. 21. - Dans l'exercice de leurs
attributions, les membres de la commission ne reçoivent
d'instruction d'aucune autorité.
« Les ministres, autorités
publiques, dirigeants d'entreprises publiques ou privées,
responsables de groupements divers et plus généralement les
détenteurs ou utilisateurs de traitements ou de fichiers de données
à caractère personnel ne peuvent s'opposer à l'action de la
commission ou de ses membres et doivent au contraire prendre toutes
mesures utiles afin de faciliter sa tâche.
« Sauf dans les
cas où elles sont astreintes au secret professionnel, les personnes
interrogées dans le cadre des vérifications faites par la commission
en application du f du 2° de l'article 11 sont tenues de fournir les
renseignements demandés par celle-ci pour l'exercice de ses
missions. ».
Article 4
Le chapitre IV de la loi n° 78-17 du 6 janvier
1978 précitée est ainsi rédigé :
« Chapitre IV
« Formalités préalables
à la mise en
oeuvre des traitements
« Art. 22. - I. - A l'exception de ceux qui
relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui
sont visés au deuxième alinéa de l'article 36, les traitements
automatisés de données à caractère personnel font l'objet d'une
déclaration auprès de la Commission nationale de l'informatique et
des libertés.
« II. - Toutefois, ne sont soumis à aucune des
formalités préalables prévues au présent chapitre :
« 1° Les
traitements ayant pour seul objet la tenue d'un registre qui, en
vertu de dispositions législatives ou réglementaires, est destiné
exclusivement à l'information du public et est ouvert à la
consultation de celui-ci ou de toute personne justifiant d'un
intérêt légitime ;
« 2° Les traitements mentionnés au 3° du
II de l'article 8.
« III. - Les traitements pour lesquels le
responsable a désigné un correspondant à la protection des données à
caractère personnel chargé d'assurer, d'une manière indépendante, le
respect des obligations prévues dans la présente loi sont dispensés
des formalités prévues aux articles 23 et 24, sauf lorsqu'un
transfert de données à caractère personnel à destination d'un Etat
non membre de la Communauté européenne est envisagé.
« La
désignation du correspondant est notifiée à la Commission nationale
de l'informatique et des libertés. Elle est portée à la connaissance
des instances représentatives du personnel.
« Le
correspondant est une personne bénéficiant des qualifications
requises pour exercer ses missions. Il tient une liste des
traitements effectués immédiatement accessible à toute personne en
faisant la demande et ne peut faire l'objet d'aucune sanction de la
part de l'employeur du fait de l'accomplissement de ses missions. Il
peut saisir la Commission nationale de l'informatique et des
libertés des difficultés qu'il rencontre dans l'exercice de ses
missions.
« En cas de non-respect des dispositions de la loi,
le responsable du traitement est enjoint par la Commission nationale
de l'informatique et des libertés de procéder aux formalités prévues
aux articles 23 et 24. En cas de manquement constaté à ses devoirs,
le correspondant est déchargé de ses fonctions sur demande, ou après
consultation, de la Commission nationale de l'informatique et des
libertés.
« IV. - Le responsable d'un traitement de données à
caractère personnel qui n'est soumis à aucune des formalités prévues
au présent chapitre communique à toute personne qui en fait la
demande les informations relatives à ce traitement mentionnées aux
2° à 6° du I de l'article 31.
« Section 1
« Déclaration
« Art. 23. - I. - La déclaration comporte
l'engagement que le traitement satisfait aux exigences de la
loi.
« Elle peut être adressée à la Commission nationale de
l'informatique et des libertés par voie électronique.
« La
commission délivre sans délai un récépissé, le cas échéant par voie
électronique. Le demandeur peut mettre en oeuvre le traitement dès
réception de ce récépissé ; il n'est exonéré d'aucune de ses
responsabilités.
« II. - Les traitements relevant d'un même
organisme et ayant des finalités identiques ou liées entre elles
peuvent faire l'objet d'une déclaration unique. Dans ce cas, les
informations requises en application de l'article 30 ne sont
fournies pour chacun des traitements que dans la mesure où elles lui
sont propres.
« Art. 24. - I. - Pour les catégories les plus
courantes de traitements de données à caractère personnel, dont la
mise en oeuvre n'est pas susceptible de porter atteinte à la vie
privée ou aux libertés, la Commission nationale de l'informatique et
des libertés établit et publie, après avoir reçu le cas échéant les
propositions formulées par les représentants des organismes publics
et privés représentatifs, des normes destinées à simplifier
l'obligation de déclaration.
« Ces normes précisent
:
« 1° Les finalités des traitements faisant l'objet d'une
déclaration simplifiée ;
« 2° Les données à caractère
personnel ou catégories de données à caractère personnel traitées
;
« 3° La ou les catégories de personnes concernées
;
« 4° Les destinataires ou catégories de destinataires
auxquels les données à caractère personnel sont communiquées
;
« 5° La durée de conservation des données à caractère
personnel.
« Les traitements qui correspondent à l'une de ces
normes font l'objet d'une déclaration simplifiée de conformité
envoyée à la commission, le cas échéant par voie
électronique.
« II. - La commission peut définir, parmi les
catégories de traitements mentionnés au I, celles qui, compte tenu
de leurs finalités, de leurs destinataires ou catégories de
destinataires, des données à caractère personnel traitées, de la
durée de conservation de celles-ci et des catégories de personnes
concernées, sont dispensées de déclaration.
« Dans les mêmes
conditions, la commission peut autoriser les responsables de
certaines catégories de traitements à procéder à une déclaration
unique selon les dispositions du II de l'article 23.
« Section 2
« Autorisation
« Art. 25. - I. - Sont mis en oeuvre après
autorisation de la Commission nationale de l'informatique et des
libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26
et 27 :
« 1° Les traitements, automatisés ou non, mentionnés
au 7° du II, au III et au IV de l'article 8 ;
« 2° Les
traitements automatisés portant sur des données génétiques, à
l'exception de ceux d'entre eux qui sont mis en oeuvre par des
médecins ou des biologistes et qui sont nécessaires aux fins de la
médecine préventive, des diagnostics médicaux ou de l'administration
de soins ou de traitements ;
« 3° Les traitements,
automatisés ou non, portant sur des données relatives aux
infractions, condamnations ou mesures de sûreté, sauf ceux qui sont
mis en oeuvre par des auxiliaires de justice pour les besoins de
leurs missions de défense des personnes concernées ;
« 4° Les
traitements automatisés susceptibles, du fait de leur nature, de
leur portée ou de leurs finalités, d'exclure des personnes du
bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence
de toute disposition législative ou réglementaire ;
« 5° Les
traitements automatisés ayant pour objet :
« -
l'interconnexion de fichiers relevant d'une ou de plusieurs
personnes morales gérant un service public et dont les finalités
correspondent à des intérêts publics différents ;
« -
l'interconnexion de fichiers relevant d'autres personnes et dont les
finalités principales sont différentes ;
« 6° Les traitements
portant sur des données parmi lesquelles figure le numéro
d'inscription des personnes au répertoire national d'identification
des personnes physiques et ceux qui requièrent une consultation de
ce répertoire sans inclure le numéro d'inscription à celui-ci des
personnes ;
« 7° Les traitements automatisés de données
comportant des appréciations sur les difficultés sociales des
personnes ;
« 8° Les traitements automatisés comportant des
données biométriques nécessaires au contrôle de l'identité des
personnes.
« II. - Pour l'application du présent article, les
traitements qui répondent à une même finalité, portent sur des
catégories de données identiques et ont les mêmes destinataires ou
catégories de destinataires peuvent être autorisés par une décision
unique de la commission. Dans ce cas, le responsable de chaque
traitement adresse à la commission un engagement de conformité de
celui-ci à la description figurant dans l'autorisation.
«
III. - La Commission nationale de l'informatique et des libertés se
prononce dans un délai de deux mois à compter de la réception de la
demande. Toutefois, ce délai peut être renouvelé une fois sur
décision motivée de son président. Lorsque la commission ne s'est
pas prononcée dans ces délais, la demande d'autorisation est réputée
rejetée.
« Art. 26. - I. - Sont autorisés par arrêté du ou
des ministres compétents, pris après avis motivé et publié de la
Commission nationale de l'informatique et des libertés, les
traitements de données à caractère personnel mis en oeuvre pour le
compte de l'Etat et :
« 1° Qui intéressent la sûreté de
l'Etat, la défense ou la sécurité publique ;
« 2° Ou qui ont
pour objet la prévention, la recherche, la constatation ou la
poursuite des infractions pénales ou l'exécution des condamnations
pénales ou des mesures de sûreté.
« L'avis de la commission
est publié avec l'arrêté autorisant le traitement.
« II. -
Ceux de ces traitements qui portent sur des données mentionnées au I
de l'article 8 sont autorisés par décret en Conseil d'Etat pris
après avis motivé et publié de la commission ; cet avis est publié
avec le décret autorisant le traitement.
« III. - Certains
traitements mentionnés au I et au II peuvent être dispensés, par
décret en Conseil d'Etat, de la publication de l'acte réglementaire
qui les autorise ; pour ces traitements, est publié, en même temps
que le décret autorisant la dispense de publication de l'acte, le
sens de l'avis émis par la commission.
« IV. - Pour
l'application du présent article, les traitements qui répondent à
une même finalité, portent sur des catégories de données identiques
et ont les mêmes destinataires ou catégories de destinataires
peuvent être autorisés par un acte réglementaire unique. Dans ce
cas, le responsable de chaque traitement adresse à la commission un
engagement de conformité de celui-ci à la description figurant dans
l'autorisation.
« Art. 27. - I. - Sont autorisés par décret
en Conseil d'Etat, pris après avis motivé et publié de la Commission
nationale de l'informatique et des libertés :
« 1° Les
traitements de données à caractère personnel mis en oeuvre pour le
compte de l'Etat, d'une personne morale de droit public ou d'une
personne morale de droit privé gérant un service public, qui portent
sur des données parmi lesquelles figure le numéro d'inscription des
personnes au répertoire national d'identification des personnes
physiques ;
« 2° Les traitements de données à caractère
personnel mis en oeuvre pour le compte de l'Etat qui portent sur des
données biométriques nécessaires à l'authentification ou au contrôle
de l'identité des personnes.
« II. - Sont autorisés par
arrêté ou, en cas de traitement opéré pour le compte d'un
établissement public ou d'une personne morale de droit privé gérant
un service public, par décision de l'organe délibérant chargé de
leur organisation, pris après avis motivé et publié de la Commission
nationale de l'informatique et des libertés :
« 1° Les
traitements mis en oeuvre par l'Etat ou les personnes morales
mentionnées au I qui requièrent une consultation du répertoire
national d'identification des personnes physiques sans inclure le
numéro d'inscription à ce répertoire ;
« 2° Ceux des
traitements mentionnés au I :
« - qui ne comportent aucune
des données mentionnées au I de l'article 8 ou à l'article 9
;
« - qui ne donnent pas lieu à une interconnexion entre des
traitements ou fichiers correspondant à des intérêts publics
différents ;
« - et qui sont mis en oeuvre par des services
ayant pour mission, soit de déterminer les conditions d'ouverture ou
l'étendue d'un droit des administrés, soit d'établir l'assiette, de
contrôler ou de recouvrer des impositions ou taxes de toute nature,
soit d'établir des statistiques ;
« 3° Les traitements
relatifs au recensement de la population, en métropole et dans les
collectivités situées outre-mer ;
« 4° Les traitements mis en
oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins
de mettre à la disposition des usagers de l'administration un ou
plusieurs téléservices de l'administration électronique, si ces
traitements portent sur des données parmi lesquelles figurent le
numéro d'inscription des personnes au répertoire national
d'identification ou tout autre identifiant des personnes
physiques.
« III. - Les dispositions du IV de l'article 26
sont applicables aux traitements relevant du présent
article.
« Art. 28. - I. - La Commission nationale de
l'informatique et des libertés, saisie dans le cadre des articles 26
ou 27, se prononce dans un délai de deux mois à compter de la
réception de la demande. Toutefois, ce délai peut être renouvelé une
fois sur décision motivée du président.
« II. - L'avis
demandé à la commission sur un traitement, qui n'est pas rendu à
l'expiration du délai prévu au I, est réputé favorable.
«
Art. 29. - Les actes autorisant la création d'un traitement en
application des articles 25, 26 et 27 précisent :
« 1° La
dénomination et la finalité du traitement ;
« 2° Le service
auprès duquel s'exerce le droit d'accès défini au chapitre VII
;
« 3° Les catégories de données à caractère personnel
enregistrées ;
« 4° Les destinataires ou catégories de
destinataires habilités à recevoir communication de ces données
;
« 5° Le cas échéant, les dérogations à l'obligation
d'information prévues au V de l'article 32.
« Section 3
« Dispositions communes
« Art. 30. - I. - Les déclarations, demandes
d'autorisation et demandes d'avis adressées à la Commission
nationale de l'informatique et des libertés en vertu des
dispositions des sections 1 et 2 précisent :
« 1° L'identité
et l'adresse du responsable du traitement ou, si celui-ci n'est
établi ni sur le territoire national ni sur celui d'un autre Etat
membre de la Communauté européenne, celle de son représentant et, le
cas échéant, celle de la personne qui présente la demande ;
«
2° La ou les finalités du traitement, ainsi que, pour les
traitements relevant des articles 25, 26 et 27, la description
générale de ses fonctions ;
« 3° Le cas échéant, les
interconnexions, les rapprochements ou toutes autres formes de mise
en relation avec d'autres traitements ;
« 4° Les données à
caractère personnel traitées, leur origine et les catégories de
personnes concernées par le traitement ;
« 5° La durée de
conservation des informations traitées ;
« 6° Le ou les
services chargés de mettre en oeuvre le traitement ainsi que, pour
les traitements relevant des articles 25, 26 et 27, les catégories
de personnes qui, en raison de leurs fonctions ou pour les besoins
du service, ont directement accès aux données enregistrées
;
« 7° Les destinataires ou catégories de destinataires
habilités à recevoir communication des données ;
« 8° La
fonction de la personne ou le service auprès duquel s'exerce le
droit d'accès prévu à l'article 39, ainsi que les mesures relatives
à l'exercice de ce droit ;
« 9° Les dispositions prises pour
assurer la sécurité des traitements et des données et la garantie
des secrets protégés par la loi et, le cas échéant, l'indication du
recours à un sous-traitant ;
« 10° Le cas échéant, les
transferts de données à caractère personnel envisagés à destination
d'un Etat non membre de la Communauté européenne, sous quelque forme
que ce soit, à l'exclusion des traitements qui ne sont utilisés qu'à
des fins de transit sur le territoire français ou sur celui d'un
autre Etat membre de la Communauté européenne au sens des
dispositions du 2° du I de l'article 5.
« II. - Le
responsable d'un traitement déjà déclaré ou autorisé informe sans
délai la commission :
« - de tout changement affectant les
informations mentionnées au I ;
« - de toute suppression du
traitement.
« Art. 31. - I. - La commission met à la
disposition du public la liste des traitements automatisés ayant
fait l'objet d'une des formalités prévues par les articles 23 à 27,
à l'exception de ceux mentionnés au III de l'article 26.
«
Cette liste précise pour chacun de ces traitements :
« 1°
L'acte décidant la création du traitement ou la date de la
déclaration de ce traitement ;
« 2° La dénomination et la
finalité du traitement ;
« 3° L'identité et l'adresse du
responsable du traitement ou, si celui-ci n'est établi ni sur le
territoire national ni sur celui d'un autre Etat membre de la
Communauté européenne, celles de son représentant ;
« 4° La
fonction de la personne ou le service auprès duquel s'exerce le
droit d'accès prévu à l'article 39 ;
« 5° Les catégories de
données à caractère personnel faisant l'objet du traitement, ainsi
que les destinataires et catégories de destinataires habilités à en
recevoir communication ;
« 6° Le cas échéant, les transferts
de données à caractère personnel envisagés à destination d'un Etat
non membre de la Communauté européenne.
« II. - La commission
tient à la disposition du public ses avis, décisions ou
recommandations.
« III. - La Commission nationale de
l'informatique et des libertés publie la liste des Etats dont la
Commission des Communautés européennes a établi qu'ils assurent un
niveau de protection suffisant à l'égard d'un transfert ou d'une
catégorie de transferts de données à caractère personnel. »
Article 5
Le chapitre V de la loi n° 78-17 du 6 janvier 1978
précitée est intitulé : « Obligations incombant aux responsables de
traitements et droits des personnes ». Ce chapitre comprend les
articles 32 à 42 ainsi que l'article 40, qui devient l'article 43.
Il comprend deux sections ainsi rédigées :
« Section 1
« Obligations incombant aux responsables de
traitements
« Art. 32. - I. - La personne auprès de laquelle
sont recueillies des données à caractère personnel la concernant est
informée, sauf si elle l'a été au préalable, par le responsable du
traitement ou son représentant :
« 1° De l'identité du
responsable du traitement et, le cas échéant, de celle de son
représentant ;
« 2° De la finalité poursuivie par le
traitement auquel les données sont destinées ;
« 3° Du
caractère obligatoire ou facultatif des réponses ;
« 4° Des
conséquences éventuelles, à son égard, d'un défaut de réponse
;
« 5° Des destinataires ou catégories de destinataires des
données ;
« 6° Des droits qu'elle tient des dispositions de
la section 2 du présent chapitre ;
« 7° Le cas échéant, des
transferts de données à caractère personnel envisagés à destination
d'un Etat non membre de la Communauté européenne.
« Lorsque
de telles données sont recueillies par voie de questionnaires,
ceux-ci doivent porter mention des prescriptions figurant aux 1°,
2°, 3° et 6°.
« II. - Toute personne utilisatrice des réseaux
de communications électroniques doit être informée de manière claire
et complète par le responsable du traitement ou son représentant
:
« - de la finalité de toute action tendant à accéder, par
voie de transmission électronique, à des informations stockées dans
son équipement terminal de connexion, ou à inscrire, par la même
voie, des informations dans son équipement terminal de connexion
;
« - des moyens dont elle dispose pour s'y opposer.
«
Ces dispositions ne sont pas applicables si l'accès aux informations
stockées dans l'équipement terminal de l'utilisateur ou
l'inscription d'informations dans l'équipement terminal de
l'utilisateur :
« - soit a pour finalité exclusive de
permettre ou faciliter la communication par voie électronique
;
« - soit est strictement nécessaire à la fourniture d'un
service de communication en ligne à la demande expresse de
l'utilisateur.
« III. - Lorsque les données à caractère
personnel n'ont pas été recueillies auprès de la personne concernée,
le responsable du traitement ou son représentant doit fournir à
cette dernière les informations énumérées au I dès l'enregistrement
des données ou, si une communication des données à des tiers est
envisagée, au plus tard lors de la première communication des
données.
« Lorsque les données à caractère personnel ont été
initialement recueillies pour un autre objet, les dispositions de
l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à
la conservation de ces données à des fins historiques, statistiques
ou scientifiques, dans les conditions prévues au livre II du code du
patrimoine ou à la réutilisation de ces données à des fins
statistiques dans les conditions de l'article 7 bis de la loi n°
51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret
en matière de statistiques. Ces dispositions ne s'appliquent pas non
plus lorsque la personne concernée est déjà informée ou quand son
information se révèle impossible ou exige des efforts
disproportionnés par rapport à l'intérêt de la démarche.
«
IV. - Si les données à caractère personnel recueillies sont appelées
à faire l'objet à bref délai d'un procédé d'anonymisation
préalablement reconnu conforme aux dispositions de la présente loi
par la Commission nationale de l'informatique et des libertés, les
informations délivrées par le responsable du traitement à la
personne concernée peuvent se limiter à celles mentionnées au 1° et
au 2° du I.
« V. - Les dispositions du I ne s'appliquent pas
aux données recueillies dans les conditions prévues au III et
utilisées lors d'un traitement mis en oeuvre pour le compte de
l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité
publique ou ayant pour objet l'exécution de condamnations pénales ou
de mesures de sûreté, dans la mesure où une telle limitation est
nécessaire au respect des fins poursuivies par le
traitement.
« VI. - Les dispositions du présent article ne
s'appliquent pas aux traitements de données ayant pour objet la
prévention, la recherche, la constatation ou la poursuite
d'infractions pénales.
« Art. 33. - Sauf consentement exprès
de la personne concernée, les données à caractère personnel
recueillies par les prestataires de services de certification
électronique pour les besoins de la délivrance et de la conservation
des certificats liés aux signatures électroniques doivent l'être
directement auprès de la personne concernée et ne peuvent être
traitées que pour les fins en vue desquelles elles ont été
recueillies.
« Art. 34. - Le responsable du traitement est
tenu de prendre toutes précautions utiles, au regard de la nature
des données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher qu'elles
soient déformées, endommagées, ou que des tiers non autorisés y
aient accès.
« Des décrets, pris après avis de la Commission
nationale de l'informatique et des libertés, peuvent fixer les
prescriptions techniques auxquelles doivent se conformer les
traitements mentionnés au 2° et au 6° du II de l'article 8.
«
Art. 35. - Les données à caractère personnel ne peuvent faire
l'objet d'une opération de traitement de la part d'un sous-traitant,
d'une personne agissant sous l'autorité du responsable du traitement
ou de celle du sous-traitant, que sur instruction du responsable du
traitement.
« Toute personne traitant des données à caractère
personnel pour le compte du responsable du traitement est considérée
comme un sous-traitant au sens de la présente loi.
« Le
sous-traitant doit présenter des garanties suffisantes pour assurer
la mise en oeuvre des mesures de sécurité et de confidentialité
mentionnées à l'article 34. Cette exigence ne décharge pas le
responsable du traitement de son obligation de veiller au respect de
ces mesures.
« Le contrat liant le sous-traitant au
responsable du traitement comporte l'indication des obligations
incombant au sous-traitant en matière de protection de la sécurité
et de la confidentialité des données et prévoit que le sous-traitant
ne peut agir que sur instruction du responsable du
traitement.
« Art. 36. - Les données à caractère personnel ne
peuvent être conservées au-delà de la durée prévue au 5° de
l'article 6 qu'en vue d'être traitées à des fins historiques,
statistiques ou scientifiques ; le choix des données ainsi
conservées est opéré dans les conditions prévues à l'article L.
212-4 du code du patrimoine.
« Les traitements dont la
finalité se limite à assurer la conservation à long terme de
documents d'archives dans le cadre du livre II du même code sont
dispensés des formalités préalables à la mise en oeuvre des
traitements prévues au chapitre IV de la présente loi.
« Il
peut être procédé à un traitement ayant des finalités autres que
celles mentionnées au premier alinéa :
« - soit avec l'accord
exprès de la personne concernée ;
« - soit avec
l'autorisation de la Commission nationale de l'informatique et des
libertés ;
« - soit dans les conditions prévues au 8° du II
et au IV de l'article 8 s'agissant de données mentionnées au I de ce
même article.
« Art. 37. - Les dispositions de la présente
loi ne font pas obstacle à l'application, au bénéfice de tiers, des
dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978
portant diverses mesures d'amélioration des relations entre
l'administration et le public et diverses dispositions d'ordre
administratif, social et fiscal et des dispositions du livre II du
code du patrimoine.
« En conséquence, ne peut être regardé
comme un tiers non autorisé au sens de l'article 34 le titulaire
d'un droit d'accès aux documents administratifs ou aux archives
publiques exercé conformément à la loi n° 78-753 du 17 juillet 1978
précitée et au livre II du même code.
« Section 2
« Droits des personnes à l'égard des
traitements
de données à caractère personnel
« Art. 38. - Toute personne physique a le droit de
s'opposer, pour des motifs légitimes, à ce que des données à
caractère personnel la concernant fassent l'objet d'un
traitement.
« Elle a le droit de s'opposer, sans frais, à ce
que les données la concernant soient utilisées à des fins de
prospection, notamment commerciale, par le responsable actuel du
traitement ou celui d'un traitement ultérieur.
« Les
dispositions du premier alinéa ne s'appliquent pas lorsque le
traitement répond à une obligation légale ou lorsque l'application
de ces dispositions a été écartée par une disposition expresse de
l'acte autorisant le traitement.
« Art. 39. - I. - Toute
personne physique justifiant de son identité a le droit d'interroger
le responsable d'un traitement de données à caractère personnel en
vue d'obtenir :
« 1° La confirmation que des données à
caractère personnel la concernant font ou ne font pas l'objet de ce
traitement ;
« 2° Des informations relatives aux finalités du
traitement, aux catégories de données à caractère personnel traitées
et aux destinataires ou aux catégories de destinataires auxquels les
données sont communiquées ;
« 3° Le cas échéant, des
informations relatives aux transferts de données à caractère
personnel envisagés à destination d'un Etat non membre de la
Communauté européenne ;
« 4° La communication, sous une forme
accessible, des données à caractère personnel qui la concernent
ainsi que de toute information disponible quant à l'origine de
celles-ci ;
« 5° Les informations permettant de connaître et
de contester la logique qui sous-tend le traitement automatisé en
cas de décision prise sur le fondement de celui-ci et produisant des
effets juridiques à l'égard de l'intéressé. Toutefois, les
informations communiquées à la personne concernée ne doivent pas
porter atteinte au droit d'auteur au sens des dispositions du livre
Ier et du titre IV du livre III du code de la propriété
intellectuelle.
« Une copie des données à caractère personnel
est délivrée à l'intéressé à sa demande. Le responsable du
traitement peut subordonner la délivrance de cette copie au paiement
d'une somme qui ne peut excéder le coût de la reproduction.
«
En cas de risque de dissimulation ou de disparition des données à
caractère personnel, le juge compétent peut ordonner, y compris en
référé, toutes mesures de nature à éviter cette dissimulation ou
cette disparition.
« II. - Le responsable du traitement peut
s'opposer aux demandes manifestement abusives, notamment par leur
nombre, leur caractère répétitif ou systématique. En cas de
contestation, la charge de la preuve du caractère manifestement
abusif des demandes incombe au responsable auprès duquel elles sont
adressées.
« Les dispositions du présent article ne
s'appliquent pas lorsque les données à caractère personnel sont
conservées sous une forme excluant manifestement tout risque
d'atteinte à la vie privée des personnes concernées et pendant une
durée n'excédant pas celle nécessaire aux seules finalités
d'établissement de statistiques ou de recherche scientifique ou
historique. Hormis les cas mentionnés au deuxième alinéa de
l'article 36, les dérogations envisagées par le responsable du
traitement sont mentionnées dans la demande d'autorisation ou dans
la déclaration adressée à la Commission nationale de l'informatique
et des libertés.
« Art. 40. - Toute personne physique
justifiant de son identité peut exiger du responsable d'un
traitement que soient, selon les cas, rectifiées, complétées, mises
à jour, verrouillées ou effacées les données à caractère personnel
la concernant, qui sont inexactes, incomplètes, équivoques,
périmées, ou dont la collecte, l'utilisation, la communication ou la
conservation est interdite.
« Lorsque l'intéressé en fait la
demande, le responsable du traitement doit justifier, sans frais
pour le demandeur, qu'il a procédé aux opérations exigées en vertu
de l'alinéa précédent.
« En cas de contestation, la charge de
la preuve incombe au responsable auprès duquel est exercé le droit
d'accès sauf lorsqu'il est établi que les données contestées ont été
communiquées par l'intéressé ou avec son accord.
« Lorsqu'il
obtient une modification de l'enregistrement, l'intéressé est en
droit d'obtenir le remboursement des frais correspondant au coût de
la copie mentionnée au I de l'article 39.
« Si une donnée a
été transmise à un tiers, le responsable du traitement doit
accomplir les diligences utiles afin de lui notifier les opérations
qu'il a effectuées conformément au premier alinéa.
« Les
héritiers d'une personne décédée justifiant de leur identité
peuvent, si des éléments portés à leur connaissance leur laissent
présumer que les données à caractère personnel la concernant faisant
l'objet d'un traitement n'ont pas été actualisées, exiger du
responsable de ce traitement qu'il prenne en considération le décès
et procède aux mises à jour qui doivent en être la
conséquence.
« Lorsque les héritiers en font la demande, le
responsable du traitement doit justifier, sans frais pour le
demandeur, qu'il a procédé aux opérations exigées en vertu de
l'alinéa précédent.
« Art. 41. - Par dérogation aux articles
39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la
défense ou la sécurité publique, le droit d'accès s'exerce dans les
conditions prévues par le présent article pour l'ensemble des
informations qu'il contient.
« La demande est adressée à la
commission qui désigne l'un de ses membres appartenant ou ayant
appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des
comptes pour mener les investigations utiles et faire procéder aux
modifications nécessaires. Celui-ci peut se faire assister d'un
agent de la commission. Il est notifié au requérant qu'il a été
procédé aux vérifications.
« Lorsque la commission constate,
en accord avec le responsable du traitement, que la communication
des données qui y sont contenues ne met pas en cause ses finalités,
la sûreté de l'Etat, la défense ou la sécurité publique, ces données
peuvent être communiquées au requérant.
« Lorsque le
traitement est susceptible de comprendre des informations dont la
communication ne mettrait pas en cause les fins qui lui sont
assignées, l'acte réglementaire portant création du fichier peut
prévoir que ces informations peuvent être communiquées au requérant
par le gestionnaire du fichier directement saisi.
« Art. 42.
- Les dispositions de l'article 41 sont applicables aux traitements
mis en oeuvre par les administrations publiques et les personnes
privées chargées d'une mission de service public qui ont pour
mission de prévenir, rechercher ou constater des infractions, ou de
contrôler ou recouvrer des impositions, si un tel droit a été prévu
par l'autorisation mentionnée aux articles 25, 26 ou 27. »
Article 6
Le chapitre VI de la loi n° 78-17 du 6 janvier
1978 précitée est ainsi rédigé :
« Chapitre VI
« Le contrôle de la mise en oeuvre des
traitements
« Art. 44. - I. - Les membres de la Commission
nationale de l'informatique et des libertés ainsi que les agents de
ses services habilités dans les conditions définies au dernier
alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour
l'exercice de leurs missions, aux lieux, locaux, enceintes,
installations ou établissements servant à la mise en oeuvre d'un
traitement de données à caractère personnel et qui sont à usage
professionnel, à l'exclusion des parties de ceux-ci affectées au
domicile privé.
« Le procureur de la République
territorialement compétent en est préalablement informé.
«
II. - En cas d'opposition du responsable des lieux, la visite ne
peut se dérouler qu'avec l'autorisation du président du tribunal de
grande instance dans le ressort duquel sont situés les locaux à
visiter ou du juge délégué par lui.
« Ce magistrat est saisi
à la requête du président de la commission. Il statue par une
ordonnance motivée, conformément aux dispositions prévues aux
articles 493 à 498 du nouveau code de procédure civile. La procédure
est sans représentation obligatoire.
« La visite s'effectue
sous l'autorité et le contrôle du juge qui l'a autorisée. Celui-ci
peut se rendre dans les locaux durant l'intervention. A tout moment,
il peut décider l'arrêt ou la suspension de la visite.
« III.
- Les membres de la commission et les agents mentionnés au premier
alinéa du I peuvent demander communication de tous documents
nécessaires à l'accomplissement de leur mission, quel qu'en soit le
support, et en prendre copie ; ils peuvent recueillir, sur place ou
sur convocation, tout renseignement et toute justification utiles ;
ils peuvent accéder aux programmes informatiques et aux données,
ainsi qu'en demander la transcription par tout traitement approprié
dans des documents directement utilisables pour les besoins du
contrôle.
« Ils peuvent, à la demande du président de la
commission, être assistés par des experts désignés par l'autorité
dont ceux-ci dépendent.
« Seul un médecin peut requérir la
communication de données médicales individuelles incluses dans un
traitement nécessaire aux fins de la médecine préventive, de la
recherche médicale, des diagnostics médicaux, de l'administration de
soins ou de traitements, ou à la gestion de service de santé, et qui
est mis en oeuvre par un membre d'une profession de santé.
«
Il est dressé contradictoirement procès-verbal des vérifications et
visites menées en application du présent article.
« IV. -
Pour les traitements intéressant la sûreté de l'Etat et qui sont
dispensés de la publication de l'acte réglementaire qui les autorise
en application du III de l'article 26, le décret en Conseil d'Etat
qui prévoit cette dispense peut également prévoir que le traitement
n'est pas soumis aux dispositions du présent article. »
Article 7
Le chapitre VII de la loi n° 78-17 du 6 janvier
1978 précitée est ainsi rédigé :
« Chapitre VII
« Sanctions prononcées par la Commission
nationale
de l'informatique et des libertés
« Art. 45. - I. - La Commission nationale de
l'informatique et des libertés peut prononcer un avertissement à
l'égard du responsable d'un traitement qui ne respecte pas les
obligations découlant de la présente loi. Elle peut également mettre
en demeure ce responsable de faire cesser le manquement constaté
dans un délai qu'elle fixe.
« Si le responsable d'un
traitement ne se conforme pas à la mise en demeure qui lui est
adressée, la commission peut prononcer à son encontre, après une
procédure contradictoire, les sanctions suivantes :
« 1° Une
sanction pécuniaire, dans les conditions prévues par l'article 47, à
l'exception des cas où le traitement est mis en oeuvre par l'Etat
;
« 2° Une injonction de cesser le traitement, lorsque
celui-ci relève des dispositions de l'article 22, ou un retrait de
l'autorisation accordée en application de l'article 25.
« II.
- En cas d'urgence, lorsque la mise en oeuvre d'un traitement ou
l'exploitation des données traitées entraîne une violation des
droits et libertés mentionnés à l'article 1er, la commission peut,
après une procédure contradictoire :
« 1° Décider
l'interruption de la mise en oeuvre du traitement, pour une durée
maximale de trois mois, si le traitement n'est pas au nombre de ceux
qui sont mentionnés au I et au II de l'article 26, ou de ceux
mentionnés à l'article 27 mis en oeuvre par l'Etat ;
« 2°
Décider le verrouillage de certaines des données à caractère
personnel traitées, pour une durée maximale de trois mois, si le
traitement n'est pas au nombre de ceux qui sont mentionnés au I et
au II de l'article 26 ;
« 3° Informer le Premier ministre
pour qu'il prenne, le cas échéant, les mesures permettant de faire
cesser la violation constatée, si le traitement en cause est au
nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;
le Premier ministre fait alors connaître à la commission les suites
qu'il a données à cette information au plus tard quinze jours après
l'avoir reçue.
« III. - En cas d'atteinte grave et immédiate
aux droits et libertés mentionnés à l'article 1er, le président de
la commission peut demander, par la voie du référé, à la juridiction
compétente d'ordonner, le cas échéant sous astreinte, toute mesure
de sécurité nécessaire à la sauvegarde de ces droits et
libertés.
« Art. 46. - Les sanctions prévues au I et au 1° du
II de l'article 45 sont prononcées sur la base d'un rapport établi
par l'un des membres de la Commission nationale de l'informatique et
des libertés, désigné par le président de celle-ci parmi les membres
n'appartenant pas à la formation restreinte. Ce rapport est notifié
au responsable du traitement, qui peut déposer des observations et
se faire représenter ou assister. Le rapporteur peut présenter des
observations orales à la commission mais ne prend pas part à ses
délibérations. La commission peut entendre toute personne dont
l'audition lui paraît susceptible de contribuer utilement à son
information.
« La commission peut rendre publics les
avertissements qu'elle prononce. Elle peut également, en cas de
mauvaise foi du responsable du traitement, ordonner l'insertion des
autres sanctions qu'elle prononce dans des publications, journaux et
supports qu'elle désigne. Les frais sont supportés par les personnes
sanctionnées.
« Les décisions prises par la commission au
titre de l'article 45 sont motivées et notifiées au responsable du
traitement. Les décisions prononçant une sanction peuvent faire
l'objet d'un recours de pleine juridiction devant le Conseil
d'Etat.
« Art. 47. - Le montant de la sanction pécuniaire
prévue au I de l'article 45 est proportionné à la gravité des
manquements commis et aux avantages tirés de ce manquement.
«
Lors du premier manquement, il ne peut excéder 150 000 EUR. En cas
de manquement réitéré dans les cinq années à compter de la date à
laquelle la sanction pécuniaire précédemment prononcée est devenue
définitive, il ne peut excéder 300 000 EUR ou, s'agissant d'une
entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice
clos dans la limite de 300 000 EUR.
« Lorsque la Commission
nationale de l'informatique et des libertés a prononcé une sanction
pécuniaire devenue définitive avant que le juge pénal ait statué
définitivement sur les mêmes faits ou des faits connexes, celui-ci
peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il
prononce.
« Les sanctions pécuniaires sont recouvrées comme
les créances de l'Etat étrangères à l'impôt et au domaine.
«
Art. 48. - La commission peut exercer les pouvoirs prévus à
l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 à
l'égard des traitements dont les opérations sont mises en oeuvre, en
tout ou partie, sur le territoire national, y compris lorsque le
responsable du traitement est établi sur le territoire d'un autre
Etat membre de la Communauté européenne.
« Art. 49. - La
commission peut, à la demande d'une autorité exerçant des
compétences analogues aux siennes dans un autre Etat membre de la
Communauté européenne, procéder à des vérifications dans les mêmes
conditions, selon les mêmes procédures et sous les mêmes sanctions
que celles prévues à l'article 45, sauf s'il s'agit d'un traitement
mentionné au I ou au II de l'article 26.
« La commission est
habilitée à communiquer les informations qu'elle recueille ou
qu'elle détient, à leur demande, aux autorités exerçant des
compétences analogues aux siennes dans d'autres Etats membres de la
Communauté européenne. »
Article 8
La loi n° 78-17 du 6 janvier 1978 précitée est
complétée par un chapitre VIII ainsi rédigé :
« Chapitre VIII
« Dispositions pénales
« Art. 50. - Les infractions aux dispositions de
la présente loi sont prévues et réprimées par les articles 226-16 à
226-24 du code pénal.
« Art. 51. - Est puni d'un an
d'emprisonnement et de 15 000 EUR d'amende le fait d'entraver
l'action de la Commission nationale de l'informatique et des
libertés :
« 1° Soit en s'opposant à l'exercice des missions
confiées à ses membres ou aux agents habilités en application du
dernier alinéa de l'article 19 ;
« 2° Soit en refusant de
communiquer à ses membres ou aux agents habilités en application du
dernier alinéa de l'article 19 les renseignements et documents
utiles à leur mission, ou en dissimulant lesdits documents ou
renseignements, ou en les faisant disparaître ;
« 3° Soit en
communiquant des informations qui ne sont pas conformes au contenu
des enregistrements tel qu'il était au moment où la demande a été
formulée ou qui ne présentent pas ce contenu sous une forme
directement accessible.
« Art. 52. - Le procureur de la
République avise le président de la Commission nationale de
l'informatique et des libertés de toutes les poursuites relatives
aux infractions aux dispositions de la section 5 du chapitre VI du
titre II du livre II du code pénal et, le cas échéant, des suites
qui leur sont données. Il l'informe de la date et de l'objet de
l'audience de jugement par lettre recommandée adressée au moins dix
jours avant cette date.
« La juridiction d'instruction ou de
jugement peut appeler le président de la Commission nationale de
l'informatique et des libertés ou son représentant à déposer ses
observations ou à les développer oralement à l'audience. »
Article 9
I. - Le chapitre V bis de la loi n° 78-17 du 6
janvier 1978 précitée devient le chapitre IX et est intitulé : «
Traitements de données à caractère personnel ayant pour fin la
recherche dans le domaine de la santé ».
II. - Les articles
40-1 à 40-8 de la même loi deviennent les articles 53 à 60 et sont
ainsi modifiés :
1° Au premier alinéa des articles 40-1, 40-3
et 40-8, le mot : « automatisés » est supprimé ;
2° Au
premier alinéa des articles 40-1, 40-2, 40-3 et 40-5, ainsi qu'à
l'article 40-7, les mots : « données nominatives » sont remplacés
par les mots : « données à caractère personnel » ;
3° Au
premier alinéa de l'article 40-1, les mots : « à l'exception des
articles 15, 16, 17, 26 et 27 » sont remplacés par les mots : « à
l'exception des articles 23 à 26, 32 et 38 » ;
4° Le
quatrième alinéa de l'article 40-2 est remplacé par cinq alinéas
ainsi rédigés :
« La mise en oeuvre du traitement de données
est ensuite soumise à l'autorisation de la Commission nationale de
l'informatique et des libertés, qui se prononce dans les conditions
prévues à l'article 25.
« Pour les catégories les plus
usuelles de traitements automatisés ayant pour finalité la recherche
dans le domaine de la santé et portant sur des données ne permettant
pas une identification directe des personnes concernées, la
commission peut homologuer et publier des méthodologies de
référence, établies en concertation avec le comité consultatif ainsi
qu'avec les organismes publics et privés représentatifs, et
destinées à simplifier la procédure prévue aux quatre premiers
alinéas du présent article.
« Ces méthodologies précisent, eu
égard aux caractéristiques mentionnées à l'article 30, les normes
auxquelles doivent correspondre les traitements pouvant faire
l'objet d'une demande d'avis et d'une demande d'autorisation
simplifiées.
« Pour les traitements répondant à ces normes,
seul un engagement de conformité à l'une d'entre elles est envoyé à
la commission. Le président de la commission peut autoriser ces
traitements à l'issue d'une procédure simplifiée d'examen.
«
Pour les autres catégories de traitements, le comité consultatif
fixe, en concertation avec la Commission nationale de l'informatique
et des libertés, les conditions dans lesquelles son avis n'est pas
requis. » ;
5° La dernière phrase du deuxième alinéa de
l'article 40-3 est remplacée par deux phrases ainsi rédigées
:
« La demande d'autorisation comporte la justification
scientifique et technique de la dérogation et l'indication de la
période nécessaire à la recherche. A l'issue de cette période, les
données sont conservées et traitées dans les conditions fixées à
l'article 36. » ;
6° Le premier alinéa de l'article 40-4 est
ainsi rédigé :
« Toute personne a le droit de s'opposer à ce
que les données à caractère personnel la concernant fassent l'objet
de la levée du secret professionnel rendue nécessaire par un
traitement de la nature de ceux qui sont visés à l'article 53. »
;
7° Au cinquième alinéa de l'article 40-5, les mots : «
institué au chapitre V » sont remplacés par les mots : « institué
aux articles 39 et 40 » ;
8° A l'article 40-6, le mot : «
tuteur » est remplacé par les mots : « représentant légal » et les
mots : « protection légale » par le mot : « tutelle » ;
9° Au
second alinéa de l'article 40-8, les mots : « au contrôle prévu par
le 2° de l'article 21 » sont remplacés par les mots : « aux
vérifications prévues par le f du 2° de l'article 11 ».
III.
- Les articles 40-9 et 40-10 de la même loi sont abrogés.
IV.
- Le chapitre IX de la même loi est complété par un article 61 ainsi
rédigé :
« Art. 61. - La transmission vers un Etat
n'appartenant pas à la Communauté européenne de données à caractère
personnel non codées faisant l'objet d'un traitement ayant pour fin
la recherche dans le domaine de la santé n'est autorisée, dans les
conditions prévues à l'article 54, que sous réserve du respect des
règles énoncées au chapitre XII. »
Article 10
I. - Le chapitre V ter de la loi n° 78-17 du 6
janvier 1978 précitée devient le chapitre X et est intitulé : «
Traitements de données de santé à caractère personnel à des fins
d'évaluation ou d'analyse des pratiques ou des activités de soins et
de prévention ».
II. - Les articles 40-11 à 40-15 de la même
loi deviennent les articles 62 à 66 et sont ainsi modifiés
:
1° Au premier alinéa de l'article 40-11, les mots : «
traitements de données personnelles de santé » sont remplacés par
les mots : « traitements de données de santé à caractère personnel »
et, au deuxième alinéa de ce même article, les mots : « données
personnelles » sont remplacés par les mots : « données à caractère
personnel ». La référence à l'article L. 710-6 du code de la santé
publique est remplacée par une référence à l'article L. 6113-7
;
2° Au premier alinéa de l'article 40-13, les mots : «
données personnelles » sont remplacés par les mots : « données à
caractère personnel » ;
3° La dernière phrase du premier
alinéa de l'article 40-14 est supprimée ;
4° Au premier
alinéa de l'article 40-15, les mots : « lorsqu'ils demeurent
indirectement nominatifs » sont remplacés par les mots : «
lorsqu'ils permettent indirectement d'identifier les personnes
concernées ».
Article 11
La loi n° 78-17 du 6 janvier 1978 précitée est
complétée par un chapitre XI ainsi rédigé :
« Chapitre XI
« Traitements de données à caractère personnel
aux fins de journalisme et d'expression littéraire et
artistique
« Art. 67. - Le 5° de l'article 6, les articles 8,
9, 22, les 1° et 3° du I de l'article 25, les articles 32, 39, 40 et
68 à 70 ne s'appliquent pas aux traitements de données à caractère
personnel mis en oeuvre aux seules fins :
« 1° D'expression
littéraire et artistique ;
« 2° D'exercice, à titre
professionnel, de l'activité de journaliste, dans le respect des
règles déontologiques de cette profession.
« Toutefois, pour
les traitements mentionnés au 2°, la dispense de l'obligation de
déclaration prévue par l'article 22 est subordonnée à la désignation
par le responsable du traitement d'un correspondant à la protection
des données appartenant à un organisme de la presse écrite ou
audiovisuelle, chargé de tenir un registre des traitements mis en
oeuvre par ce responsable et d'assurer, d'une manière indépendante,
l'application des dispositions de la présente loi. Cette désignation
est portée à la connaissance de la Commission nationale de
l'informatique et des libertés.
« En cas de non-respect des
dispositions de la loi applicables aux traitements prévus par le
présent article, le responsable du traitement est enjoint par la
Commission nationale de l'informatique et des libertés de se mettre
en conformité avec la loi. En cas de manquement constaté à ses
devoirs, le correspondant est déchargé de ses fonctions sur demande,
ou après consultation, de la Commission nationale de l'informatique
et des libertés.
« Les dispositions des alinéas précédents ne
font pas obstacle à l'application des dispositions du code civil,
des lois relatives à la presse écrite ou audiovisuelle et du code
pénal, qui prévoient les conditions d'exercice du droit de réponse
et qui préviennent, limitent, réparent et, le cas échéant, répriment
les atteintes à la vie privée et à la réputation des personnes.
»
Article 12
La loi n° 78-17 du 6 janvier 1978 précitée est
complétée par un chapitre XIl ainsi rédigé :
« Chapitre XII
« Transferts de données à caractère personnel
vers des Etats n'appartenant pas à la Communauté européenne
«
Art. 68. - Le responsable d'un traitement ne peut transférer des
données à caractère personnel vers un Etat n'appartenant pas à la
Communauté européenne que si cet Etat assure un niveau de protection
suffisant de la vie privée et des libertés et droits fondamentaux
des personnes à l'égard du traitement dont ces données font l'objet
ou peuvent faire l'objet.
« Le caractère suffisant du niveau
de protection assuré par un Etat s'apprécie en fonction notamment
des dispositions en vigueur dans cet Etat, des mesures de sécurité
qui y sont appliquées, des caractéristiques propres du traitement,
telles que ses fins et sa durée, ainsi que de la nature, de
l'origine et de la destination des données traitées.
« Art.
69. - Toutefois, le responsable d'un traitement peut transférer des
données à caractère personnel vers un Etat ne répondant pas aux
conditions prévues à l'article 68 si la personne à laquelle se
rapportent les données a consenti expressément à leur transfert ou
si le transfert est nécessaire à l'une des conditions suivantes
:
« 1° A la sauvegarde de la vie de cette personne ;
«
2° A la sauvegarde de l'intérêt public ;
« 3° Au respect
d'obligations permettant d'assurer la constatation, l'exercice ou la
défense d'un droit en justice ;
« 4° A la consultation, dans
des conditions régulières, d'un registre public qui, en vertu de
dispositions législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation de celui-ci
ou de toute personne justifiant d'un intérêt légitime ;
« 5°
A l'exécution d'un contrat entre le responsable du traitement et
l'intéressé, ou de mesures précontractuelles prises à la demande de
celui-ci ;
« 6° A la conclusion ou à l'exécution d'un contrat
conclu ou à conclure, dans l'intérêt de la personne concernée, entre
le responsable du traitement et un tiers.
« Il peut également
être fait exception à l'interdiction prévue à l'article 68, par
décision de la Commission nationale de l'informatique et des
libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de
l'article 26, par décret en Conseil d'Etat pris après avis motivé et
publié de la commission, lorsque le traitement garantit un niveau de
protection suffisant de la vie privée ainsi que des libertés et
droits fondamentaux des personnes, notamment en raison des clauses
contractuelles ou règles internes dont il fait l'objet.
« La
Commission nationale de l'informatique et des libertés porte à la
connaissance de la Commission des Communautés européennes et des
autorités de contrôle des autres Etats membres de la Communauté
européenne les décisions d'autorisation de transfert de données à
caractère personnel qu'elle prend au titre de l'alinéa
précédent.
« Art. 70. - Si la Commission des Communautés
européennes a constaté qu'un Etat n'appartenant pas à la Communauté
européenne n'assure pas un niveau de protection suffisant à l'égard
d'un transfert ou d'une catégorie de transferts de données à
caractère personnel, la Commission nationale de l'informatique et
des libertés, saisie d'une déclaration déposée en application des
articles 23 ou 24 et faisant apparaître que des données à caractère
personnel seront transférées vers cet Etat, délivre le récépissé
avec mention de l'interdiction de procéder au transfert des
données.
« Lorsqu'elle estime qu'un Etat n'appartenant pas à
la Communauté européenne n'assure pas un niveau de protection
suffisant à l'égard d'un transfert ou d'une catégorie de transferts
de données, la Commission nationale de l'informatique et des
libertés en informe sans délai la Commission des Communautés
européennes. Lorsqu'elle est saisie d'une déclaration déposée en
application des articles 23 ou 24 et faisant apparaître que des
données à caractère personnel seront transférées vers cet Etat, la
Commission nationale de l'informatique et des libertés délivre le
récépissé et peut enjoindre au responsable du traitement de
suspendre le transfert des données. Si la Commission des Communautés
européennes constate que l'Etat vers lequel le transfert est
envisagé assure un niveau de protection suffisant, la Commission
nationale de l'informatique et des libertés notifie au responsable
du traitement la cessation de la suspension du transfert. Si la
Commission des Communautés européennes constate que l'Etat vers
lequel le transfert est envisagé n'assure pas un niveau de
protection suffisant, la Commission nationale de l'informatique et
des libertés notifie au responsable du traitement l'interdiction de
procéder au transfert de données à caractère personnel à destination
de cet Etat. »
Article 13
La loi n° 78-17 du 6 janvier 1978 précitée est
complétée par un chapitre XIII ainsi rédigé :
« Chapitre XIII
« Dispositions diverses
« Art. 71. - Des décrets en Conseil d'Etat, pris
après avis de la Commission nationale de l'informatique et des
libertés, fixent les modalités d'application de la présente
loi.
« Art. 72. - La présente loi est applicable en Polynésie
française, dans les îles Wallis et Futuna, dans les Terres australes
et antarctiques françaises, en Nouvelle-Calédonie et à
Mayotte.
« Par dérogation aux dispositions du deuxième alinéa
de l'article 54, le comité consultatif dispose d'un délai de deux
mois pour transmettre son avis au demandeur lorsque celui-ci réside
dans l'une de ces collectivités. En cas d'urgence, ce délai peut
être ramené à un mois. »
TITRE II
DISPOSITIONS
MODIFIANT
D'AUTRES TEXTES LÉGISLATIFS
Article 14
I. - Les articles 226-16 à 226-23 du code pénal
sont remplacés par quatorze articles ainsi rédigés :
« Art.
226-16. - Le fait, y compris par négligence, de procéder ou de faire
procéder à des traitements de données à caractère personnel sans
qu'aient été respectées les formalités préalables à leur mise en
oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et
de 300 000 EUR d'amende.
« Est puni des mêmes peines le fait,
y compris par négligence, de procéder ou de faire procéder à un
traitement qui a fait l'objet de l'une des mesures prévues au 2° du
I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés.
« Art. 226-16-1
A. - Lorsqu'il a été procédé ou fait procéder à un traitement de
données à caractère personnel dans les conditions prévues par le I
ou le II de l'article 24 de la loi n° 78-17 du 6 janvier 1978
précitée, le fait de ne pas respecter, y compris par négligence, les
normes simplifiées ou d'exonération établies à cet effet par la
Commission nationale de l'informatique et des libertés est puni de
cinq ans d'emprisonnement et de 300 000 EUR d'amende.
« Art.
226-16-1. - Le fait, hors les cas où le traitement a été autorisé
dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978
précitée, de procéder ou faire procéder à un traitement de données à
caractère personnel incluant parmi les données sur lesquelles il
porte le numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-17. -
Le fait de procéder ou de faire procéder à un traitement de données
à caractère personnel sans mettre en oeuvre les mesures prescrites à
l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni
de cinq ans d'emprisonnement et de 300 000 EUR d'amende.
«
Art. 226-18. - Le fait de collecter des données à caractère
personnel par un moyen frauduleux, déloyal ou illicite est puni de
cinq ans d'emprisonnement et de 300 000 EUR d'amende.
« Art.
226-18-1. - Le fait de procéder à un traitement de données à
caractère personnel concernant une personne physique malgré
l'opposition de cette personne, lorsque ce traitement répond à des
fins de prospection, notamment commerciale, ou lorsque cette
opposition est fondée sur des motifs légitimes, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-19. -
Le fait, hors les cas prévus par la loi, de mettre ou de conserver
en mémoire informatisée, sans le consentement exprès de l'intéressé,
des données à caractère personnel qui, directement ou indirectement,
font apparaître les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses, ou les appartenances
syndicales des personnes, ou qui sont relatives à la santé ou à
l'orientation sexuelle de celles-ci, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« Est puni des
mêmes peines le fait, hors les cas prévus par la loi, de mettre ou
de conserver en mémoire informatisée des données à caractère
personnel concernant des infractions, des condamnations ou des
mesures de sûreté.
« Art. 226-19-1. - En cas de traitement de
données à caractère personnel ayant pour fin la recherche dans le
domaine de la santé, est puni de cinq ans d'emprisonnement et de 300
000 EUR d'amende le fait de procéder à un traitement :
« 1°
Sans avoir préalablement informé individuellement les personnes sur
le compte desquelles des données à caractère personnel sont
recueillies ou transmises de leur droit d'accès, de rectification et
d'opposition, de la nature des données transmises et des
destinataires de celles-ci ;
« 2° Malgré l'opposition de la
personne concernée ou, lorsqu'il est prévu par la loi, en l'absence
du consentement éclairé et exprès de la personne, ou s'il s'agit
d'une personne décédée, malgré le refus exprimé par celle-ci de son
vivant.
« Art. 226-20. - Le fait de conserver des données à
caractère personnel au-delà de la durée prévue par la loi ou le
règlement, par la demande d'autorisation ou d'avis, ou par la
déclaration préalable adressée à la Commission nationale de
l'informatique et des libertés, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende, sauf si cette
conservation est effectuée à des fins historiques, statistiques ou
scientifiques dans les conditions prévues par la loi.
« Est
puni des mêmes peines le fait, hors les cas prévus par la loi, de
traiter à des fins autres qu'historiques, statistiques ou
scientifiques des données à caractère personnel conservées au-delà
de la durée mentionnée au premier alinéa.
« Art. 226-21. - Le
fait, par toute personne détentrice de données à caractère personnel
à l'occasion de leur enregistrement, de leur classement, de leur
transmission ou de toute autre forme de traitement, de détourner ces
informations de leur finalité telle que définie par la disposition
législative, l'acte réglementaire ou la décision de la Commission
nationale de l'informatique et des libertés autorisant le traitement
automatisé, ou par les déclarations préalables à la mise en oeuvre
de ce traitement, est puni de cinq ans d'emprisonnement et de 300
000 EUR d'amende.
« Art. 226-22. - Le fait, par toute
personne qui a recueilli, à l'occasion de leur enregistrement, de
leur classement, de leur transmission ou d'une autre forme de
traitement, des données à caractère personnel dont la divulgation
aurait pour effet de porter atteinte à la considération de
l'intéressé ou à l'intimité de sa vie privée, de porter, sans
autorisation de l'intéressé, ces données à la connaissance d'un
tiers qui n'a pas qualité pour les recevoir est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« La divulgation
prévue à l'alinéa précédent est punie de trois ans d'emprisonnement
et de 100 000 EUR d'amende lorsqu'elle a été commise par imprudence
ou négligence.
« Dans les cas prévus aux deux alinéas
précédents, la poursuite ne peut être exercée que sur plainte de la
victime, de son représentant légal ou de ses ayants droit.
«
Art. 226-22-1. - Le fait, hors les cas prévus par la loi, de
procéder ou de faire procéder à un transfert de données à caractère
personnel faisant l'objet ou destinées à faire l'objet d'un
traitement vers un Etat n'appartenant pas à la Communauté européenne
en violation des mesures prises par la Commission des Communautés
européennes ou par la Commission nationale de l'informatique et des
libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier
1978 précitée est puni de cinq ans d'emprisonnement et de 300 000
EUR d'amende.
« Art. 226-22-2. - Dans les cas prévus aux
articles 226-16 à 226-22-1, l'effacement de tout ou partie des
données à caractère personnel faisant l'objet du traitement ayant
donné lieu à l'infraction peut être ordonné. Les membres et les
agents de la Commission nationale de l'informatique et des libertés
sont habilités à constater l'effacement de ces données.
«
Art. 226-23. - Les dispositions de l'article 226-19 sont applicables
aux traitements non automatisés de données à caractère personnel
dont la mise en oeuvre ne se limite pas à l'exercice d'activités
exclusivement personnelles. »
II. - Au premier alinéa de
l'article 226-24 du même code, les mots : « aux articles 226-16 à
226-21 et 226-23 ainsi qu'au premier alinéa de l'article 226-22 »
sont remplacés par les mots : « à la présente section ».
Article 15
I. - Le I de l'article 10 de la loi n° 95-73 du 21
janvier 1995 d'orientation et de programmation relative à la
sécurité est ainsi rédigé :
« I. - Les enregistrements
visuels de vidéosurveillance répondant aux conditions fixées au II
sont soumis aux dispositions ci-après, à l'exclusion de ceux qui
sont utilisés dans des traitements automatisés ou contenus dans des
fichiers structurés selon des critères permettant d'identifier,
directement ou indirectement, des personnes physiques, qui sont
soumis à la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés. »
II. - Il est
inséré, après le VI du même article, un VI bis ainsi rédigé
:
« VI bis. - Le Gouvernement transmet chaque année à la
Commission nationale de l'informatique et des libertés un rapport
faisant état de l'activité des commissions départementales visées au
III et des conditions d'application du présent article. »
Article 16
Après l'article 14 de la loi n° 99-944 du 15
novembre 1999 relative au pacte civil de solidarité, il est inséré
un article 14-1 ainsi rédigé :
« Art. 14-1. - Les tribunaux
d'instance établissent des statistiques semestrielles relatives au
nombre de pactes civils de solidarité conclus dans leur ressort. Ces
statistiques recensent également le nombre des pactes ayant pris fin
en distinguant les cas mentionnés à l'article 515-7 du code civil,
la durée moyenne des pactes ainsi que l'âge moyen des personnes
concernées. Par dérogation aux dispositions du I de l'article 8 de
la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés, elles distinguent les données relatives
aux pactes conclus :
« - entre des personnes de sexe
différent ;
« - entre des personnes de sexe féminin
;
« - entre des personnes de sexe masculin. »
Article 17
I. - Dans le deuxième alinéa de l'article L. 33-4
du code des postes et des télécommunications, les références : « 35
et 36 » sont remplacées par les références : « 39 et 40
».
II. - Dans la première phrase du premier alinéa de
l'article L. 1131-4 du code de la santé publique, la référence : «
chapitre V bis » est remplacée par la référence : « chapitre IX
».
III. - Dans la première phrase du dernier alinéa de
l'article L. 262-33 du code de l'action sociale et des familles, la
référence : « à l'article 15 » est remplacée par la référence : « au
chapitre IV ».
IV. - Dans le dernier alinéa de l'article L.
522-8 du même code, la référence : « à l'article 15 » est remplacée
par la référence : « au chapitre IV ».
V. - 1. Le premier
alinéa de l'article 777-3 du code de procédure pénale est ainsi
rédigé :
« Aucune interconnexion au sens du 3° du I de
l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés ne peut être effectuée
entre le casier judiciaire national automatisé et tout autre fichier
ou traitement de données à caractère personnel détenus par une
personne quelconque ou par un service de l'Etat ne dépendant pas du
ministère de la justice. »
2. Dans le deuxième alinéa du même
article, les mots : « recueil de données nominatives » sont
remplacés par les mots : « traitement de données à caractère
personnel ».
VI. - Le dernier alinéa de l'article L. 723-43
du code rural est ainsi rédigé :
« Le contenu, l'emploi et
les conditions de cette communication sont déterminés selon les
modalités de l'article 27 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés.
»
VII. - Dans le deuxième alinéa de l'article L. 311-5-1 du
code du travail, la référence : « à l'article 15 » est remplacée par
la référence : « au chapitre IV ».
VIII. - Dans le dernier
alinéa de l'article L. 115-2 du code de la sécurité sociale, la
référence : « l'article 15 » est remplacée par la référence : «
l'article 27 ».
IX. - Dans le dernier alinéa de l'article 1er
de la loi n° 84-575 du 9 juillet 1984 portant diverses dispositions
d'ordre social, la référence : « l'article 15 » est remplacée par la
référence : « l'article 27 ».
X. - Dans le III de l'article
78 de la loi n° 85-10 du 3 janvier 1985 portant diverses
dispositions d'ordre social, la référence : « l'article 15 » est
remplacée par la référence : « l'article 27 ».
XI. - Dans
l'avant-dernier alinéa du I de l'article 64 de la loi n° 95-116 du 4
février 1995 portant diverses dispositions d'ordre social, la
référence : « l'article 15 » est remplacée par la référence : «
l'article 27 ».
Article 18
I. - Dans l'article L. 262-51 du code de l'action
sociale et des familles, les mots : « de l'article 15 » sont
remplacés par les mots : « du chapitre IV ».
II. - Dans le
premier alinéa de l'article 60-2 du code de procédure pénale, les
mots : « de l'article 31 et à l'article 33 » sont remplacés par les
mots : « du 3° du II de l'article 8 et au 2° de l'article 67
».
III. - Dans le premier alinéa de l'article 706-53-11 du
code de procédure pénale, la référence : « 19 » est remplacée par la
référence : « 30 ».
IV. - Dans la deuxième phrase du
troisième alinéa de l'article L. 1111-8 du code de la santé
publique, la référence : « 29 » est remplacée par la référence : «
34 ».
V. - Dans le dernier alinéa de l'article L. 115-7 du
code de la sécurité sociale, les mots : « autorisée dans les
conditions prévues à l'article 15 » sont remplacés par les mots : «
selon les modalités prévues au chapitre IV ».
VI. -
L'avant-dernier alinéa de l'article L. 161-28-1 du code de la
sécurité sociale est ainsi rédigé :
« Cet arrêté est pris
après avis motivé de la Commission nationale de l'informatique et
des libertés. »
VII. - Le début du septième alinéa de
l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation,
la coordination et le secret en matière de statistiques est ainsi
rédigé : « Les cessions portant sur des données à caractère
personnel, telles qu'elles sont définies à l'article 2 de la loi...
(le reste sans changement). »
VIII. - L'article L. 212-4 du
code du patrimoine est ainsi modifié :
1° Le premier alinéa
est ainsi rédigé :
« Lorsque les documents visés à l'article
L. 211-4 comportent des données à caractère personnel collectées
dans le cadre de traitements automatisés régis par la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, ces données font l'objet, à l'expiration de la durée
prévue au 5° de l'article 6 de ladite loi, d'un tri pour déterminer
les données destinées à être conservées et celles, dépourvues
d'intérêt scientifique, statistique ou historique, destinées à être
détruites. » ;
2° Dans le dernier alinéa, les mots : «
d'informations » sont remplacés par les mots : « de données
».
IX. - Dans le dernier alinéa de l'article L. 333-4 du code
de la consommation, la référence : « 35 » est remplacée par la
référence : « 39 ».
Article 19
La première phrase de l'article 24 de la loi n°
2003-239 du 18 mars 2003 pour la sécurité intérieure est remplacée
par deux phrases ainsi rédigées :
« Les données contenues
dans les traitements automatisés de données à caractère personnel
gérés par les services de police et de gendarmerie nationales
peuvent être transmises, dans le cadre des engagements
internationaux régulièrement introduits dans l'ordre juridique
interne, à des organismes de coopération internationale en matière
de police judiciaire ou à des services de police étrangers, qui
représentent un niveau de protection suffisant de la vie privée, des
libertés et des droits fondamentaux des personnes à l'égard du
traitement dont ces données font l'objet ou peuvent faire l'objet.
Le caractère suffisant du niveau de protection assuré par un Etat
s'apprécie en fonction notamment des dispositions en vigueur dans
cet Etat, des mesures de sécurité qui y sont appliquées, des
caractéristiques propres du traitement, telles que ses fins et sa
durée, ainsi que de la nature, de l'origine et de la destination des
données traitées. »
TITRE III
DISPOSITIONS
TRANSITOIRES
Article 20
I. - Les responsables de traitements de données à
caractère personnel dont la mise en oeuvre est régulièrement
intervenue avant la publication de la présente loi disposent, à
compter de cette date, d'un délai de trois ans pour mettre leurs
traitements en conformité avec les dispositions de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, dans leur rédaction issue de la présente loi. Lorsque
cette mise en conformité n'a pas pour effet de modifier les
caractéristiques des traitements mentionnées à l'article 30 de la
loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction issue de
la présente loi, les traitements sont réputés avoir satisfait aux
dispositions prévues au chapitre IV.
Les dispositions de la
loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction
antérieure à la présente loi, demeurent applicables aux traitements
qui y étaient soumis jusqu'à ce qu'ils aient été mis en conformité
avec les dispositions de la loi n° 78-17 du 6 janvier 1978 précitée,
dans leur rédaction issue de la présente loi, et, au plus tard,
jusqu'à l'expiration du délai de trois ans prévu à l'alinéa
précédent. Toutefois, les dispositions des articles 38, 44 à 49 et
68 à 70 de la loi n° 78-17 du 6 janvier 1978 précitée, dans leur
rédaction issue de la présente loi, leur sont immédiatement
applicables.
II. - Par dérogation aux dispositions du I, les
responsables de traitements non automatisés de données à caractère
personnel dont la mise en oeuvre est régulièrement intervenue avant
la date de publication de la présente loi disposent, pour mettre
leurs traitements en conformité avec les articles 6 à 9 de la loi n°
78-17 du 6 janvier 1978 précitée, dans leur rédaction issue de la
présente loi, d'un délai allant jusqu'au 24 octobre 2007.
Les
dispositions de l'article 25, du I de l'article 28 ainsi que des
articles 30, 31 et 37 de la loi n° 78-17 du 6 janvier 1978 précitée,
dans leur rédaction antérieure à la présente loi, demeurent
applicables aux traitements non automatisés qui y étaient soumis
jusqu'à ce qu'ils aient été mis en conformité avec les dispositions
des articles 6 à 9 de la loi n° 78-17 du 6 janvier 1978 précitée,
dans leur rédaction issue de la présente loi et, au plus tard,
jusqu'au 24 octobre 2007.
Article 21
Les responsables de traitements non automatisés de
données à caractère personnel intéressant la sûreté de l'Etat, la
défense et la sécurité publique, dont la mise en oeuvre est
régulièrement intervenue avant la date de publication de la présente
loi disposent, pour mettre leurs traitements en conformité avec les
articles 6 à 9 de la loi n° 78-17 du 6 janvier 1978 précitée, dans
leur rédaction issue de la présente loi, d'un délai allant jusqu'au
24 octobre 2010.
Article 22
I. - Les membres de la Commission nationale de
l'informatique et des libertés en exercice au moment de la
publication de la présente loi demeurent en fonction jusqu'au terme
normal de leur mandat.
II. - Les nominations et
renouvellements de membres de la Commission nationale de
l'informatique et des libertés intervenus avant la publication de la
présente loi ne sont pas pris en compte pour l'application des
règles mentionnées au premier alinéa du II de l'article 13 de la loi
n° 78-17 du 6 janvier 1978 précitée dans sa rédaction issue de la
présente loi.
La présente loi sera exécutée comme loi de
l'Etat.
Fait à Saint-Paul, le 6 août 2004.
Jacques Chirac
Par le Président de la République :
Le Premier ministre,
Jean-Pierre
Raffarin
Le garde des sceaux, ministre de la
justice,
Dominique Perben
La ministre de
l'outre-mer,
Brigitte Girardin
(1) Loi n° 2004-801.
- Directives
communautaires :
Directive 95/46 du Parlement et du Conseil
du 24 octobre 1995 relative à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel et à la
libre circulation de ces données.
- Travaux préparatoires
:
Assemblée nationale :
Projet de loi n° 3250
;
Rapport de M. Gérard Gouzes, au nom de la commission des
lois, n° 3526 ;
Discussion et adoption le 30 janvier
2002.
Sénat :
Projet de loi, adopté par l'Assemblée
nationale, n° 203 (2001-2002) ;
Rapport de M. Alex Türk, au
nom de la commission des lois, n° 218 (2002-2003)
;
Discussion et adoption le 1er avril 2003.
Assemblée
nationale :
Projet de loi, modifié par le Sénat, n° 762
;
Rapport de M. Francis Delattre, au nom de la commission des
lois, n° 1537 ;
Discussion et adoption le 29 avril
2004.
Sénat :
Projet de loi, adopté avec modifications
par l'Assemblée nationale, n° 285 (2003-2004) ;
Rapport de M.
Alex Türk, au nom de la commission des lois, n° 367 (2003-2004)
;
Discussion et adoption le 15 juillet 2004.
- Conseil
constitutionnel :
Décision n° 2004-499 DC du 29 juillet 2004
publiée au Journal officiel de ce
jour.
|
