J.O n° 182 du 7 août 2004
page 14063
texte n° 2
LOIS
LOI n° 2004-801 du 6 août 2004 relative à la
protection des personnes physiques à l'égard des traitements de données
à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés (1)
NOR: JUSX0100026L
L'Assemblée nationale et le Sénat ont adopté,
Vu la décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;
Le Président de la République promulgue la loi dont la teneur suit :
TITRE Ier
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS
Article 1
Les articles 2 à 5 de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés sont ainsi rédigés :
« Art. 2. - La présente loi s'applique aux traitements automatisés
de données à caractère personnel, ainsi qu'aux traitements non
automatisés de données à caractère personnel contenues ou appelées à
figurer dans des fichiers, à l'exception des traitements mis en oeuvre
pour l'exercice d'activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l'article 5.
« Constitue une donnée à caractère personnel toute information
relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de
considérer l'ensemble des moyens en vue de permettre son identification
dont dispose ou auxquels peut avoir accès le responsable du traitement
ou toute autre personne.
« Constitue un traitement de données à caractère personnel toute
opération ou tout ensemble d'opérations portant sur de telles données,
quel que soit le procédé utilisé, et notamment la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la
communication par transmission, diffusion ou toute autre forme de mise
à disposition, le rapprochement ou l'interconnexion, ainsi que le
verrouillage, l'effacement ou la destruction.
« Constitue un fichier de données à caractère personnel tout
ensemble structuré et stable de données à caractère personnel
accessibles selon des critères déterminés.
« La personne concernée par un traitement de données à caractère
personnel est celle à laquelle se rapportent les données qui font
l'objet du traitement.
« Art. 3. - I. - Le responsable d'un traitement de données à
caractère personnel est, sauf désignation expresse par les dispositions
législatives ou réglementaires relatives à ce traitement, la personne,
l'autorité publique, le service ou l'organisme qui détermine ses
finalités et ses moyens.
« II. - Le destinataire d'un traitement de données à caractère
personnel est toute personne habilitée à recevoir communication de ces
données autre que la personne concernée, le responsable du traitement,
le sous-traitant et les personnes qui, en raison de leurs fonctions,
sont chargées de traiter les données. Toutefois, les autorités
légalement habilitées, dans le cadre d'une mission particulière ou de
l'exercice d'un droit de communication, à demander au responsable du
traitement de leur communiquer des données à caractère personnel ne
constituent pas des destinataires.
« Art. 4. - Les dispositions de la présente loi ne sont pas
applicables aux copies temporaires qui sont faites dans le cadre des
activités techniques de transmission et de fourniture d'accès à un
réseau numérique, en vue du stockage automatique, intermédiaire et
transitoire des données et à seule fin de permettre à d'autres
destinataires du service le meilleur accès possible aux informations
transmises.
« Art. 5. - I. - Sont soumis à la présente loi les traitements de données à caractère personnel :
« 1° Dont le responsable est établi sur le territoire français. Le
responsable d'un traitement qui exerce une activité sur le territoire
français dans le cadre d'une installation, quelle que soit sa forme
juridique, y est considéré comme établi ;
« 2° Dont le responsable, sans être établi sur le territoire
français ou sur celui d'un autre Etat membre de la Communauté
européenne, recourt à des moyens de traitement situés sur le territoire
français, à l'exclusion des traitements qui ne sont utilisés qu'à des
fins de transit sur ce territoire ou sur celui d'un autre Etat membre
de la Communauté européenne.
« II. - Pour les traitements mentionnés au 2° du I, le responsable
désigne à la Commission nationale de l'informatique et des libertés un
représentant établi sur le territoire français, qui se substitue à lui
dans l'accomplissement des obligations prévues par la présente loi ;
cette désignation ne fait pas obstacle aux actions qui pourraient être
introduites contre lui. »
Article 2
Le chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre II
« Conditions de licéité des traitements de données
à caractère personnel
« Section 1
« Dispositions générales
« Art. 6. - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
« 1° Les données sont collectées et traitées de manière loyale et licite ;
« 2° Elles sont collectées pour des finalités déterminées,
explicites et légitimes et ne sont pas traitées ultérieurement de
manière incompatible avec ces finalités. Toutefois, un traitement
ultérieur de données à des fins statistiques ou à des fins de recherche
scientifique ou historique est considéré comme compatible avec les
finalités initiales de la collecte des données, s'il est réalisé dans
le respect des principes et des procédures prévus au présent chapitre,
au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres
IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard
des personnes concernées ;
« 3° Elles sont adéquates, pertinentes et non excessives au regard
des finalités pour lesquelles elles sont collectées et de leurs
traitements ultérieurs ;
« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour
; les mesures appropriées doivent être prises pour que les données
inexactes ou incomplètes au regard des finalités pour lesquelles elles
sont collectées ou traitées soient effacées ou rectifiées ;
« 5° Elles sont conservées sous une forme permettant
l'identification des personnes concernées pendant une durée qui
n'excède pas la durée nécessaire aux finalités pour lesquelles elles
sont collectées et traitées.
« Art. 7. - Un traitement de données à caractère personnel doit
avoir reçu le consentement de la personne concernée ou satisfaire à
l'une des conditions suivantes :
« 1° Le respect d'une obligation légale incombant au responsable du traitement ;
« 2° La sauvegarde de la vie de la personne concernée ;
« 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
« 4° L'exécution, soit d'un contrat auquel la personne concernée
est partie, soit de mesures précontractuelles prises à la demande de
celle-ci ;
« 5° La réalisation de l'intérêt légitime poursuivi par le
responsable du traitement ou par le destinataire, sous réserve de ne
pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la
personne concernée.
« Section 2
« Dispositions propres à certaines catégories de données
« Art. 8. - I. - Il est interdit de collecter ou de traiter des
données à caractère personnel qui font apparaître, directement ou
indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l'appartenance syndicale
des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de
celles-ci.
« II. - Dans la mesure où la finalité du traitement l'exige pour
certaines catégories de données, ne sont pas soumis à l'interdiction
prévue au I :
« 1° Les traitements pour lesquels la personne concernée a donné
son consentement exprès, sauf dans le cas où la loi prévoit que
l'interdiction visée au I ne peut être levée par le consentement de la
personne concernée ;
« 2° Les traitements nécessaires à la sauvegarde de la vie
humaine, mais auxquels la personne concernée ne peut donner son
consentement par suite d'une incapacité juridique ou d'une
impossibilité matérielle ;
« 3° Les traitements mis en oeuvre par une association ou tout
autre organisme à but non lucratif et à caractère religieux,
philosophique, politique ou syndical :
« - pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;
« - sous réserve qu'ils ne concernent que les membres de cette
association ou de cet organisme et, le cas échéant, les personnes qui
entretiennent avec celui-ci des contacts réguliers dans le cadre de son
activité ;
« - et qu'ils ne portent que sur des données non communiquées à
des tiers, à moins que les personnes concernées n'y consentent
expressément ;
« 4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
« 5° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;
« 6° Les traitements nécessaires aux fins de la médecine
préventive, des diagnostics médicaux, de l'administration de soins ou
de traitements, ou de la gestion de services de santé et mis en oeuvre
par un membre d'une profession de santé, ou par une autre personne à
laquelle s'impose en raison de ses fonctions l'obligation de secret
professionnel prévue par l'article 226-13 du code pénal ;
« 7° Les traitements statistiques réalisés par l'Institut national
de la statistique et des études économiques ou l'un des services
statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin
1951 sur l'obligation, la coordination et le secret en matière de
statistiques, après avis du Conseil national de l'information
statistique et dans les conditions prévues à l'article 25 de la
présente loi ;
« 8° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.
« III. - Si les données à caractère personnel visées au I sont
appelées à faire l'objet à bref délai d'un procédé d'anonymisation
préalablement reconnu conforme aux dispositions de la présente loi par
la Commission nationale de l'informatique et des libertés, celle-ci
peut autoriser, compte tenu de leur finalité, certaines catégories de
traitements selon les modalités prévues à l'article 25. Les
dispositions des chapitres IX et X ne sont pas applicables.
« IV. - De même, ne sont pas soumis à l'interdiction prévue au I
les traitements, automatisés ou non, justifiés par l'intérêt public et
autorisés dans les conditions prévues au I de l'article 25 ou au II de
l'article 26.
« Art. 9. - Les traitements de données à caractère personnel
relatives aux infractions, condamnations et mesures de sûreté ne
peuvent être mis en oeuvre que par :
« 1° Les juridictions, les autorités publiques et les personnes
morales gérant un service public, agissant dans le cadre de leurs
attributions légales ;
« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
« 3° [Dispositions déclarées non conformes à la Constitution par
décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
« 4° Les personnes morales mentionnées aux articles L. 321-1 et L.
331-1 du code de la propriété intellectuelle, agissant au titre des
droits dont elles assurent la gestion ou pour le compte des victimes
d'atteintes aux droits prévus aux livres Ier, II et III du même code
aux fins d'assurer la défense de ces droits.
« Art. 10. - Aucune décision de justice impliquant une
appréciation sur le comportement d'une personne ne peut avoir pour
fondement un traitement automatisé de données à caractère personnel
destiné à évaluer certains aspects de sa personnalité.
« Aucune autre décision produisant des effets juridiques à l'égard
d'une personne ne peut être prise sur le seul fondement d'un traitement
automatisé de données destiné à définir le profil de l'intéressé ou à
évaluer certains aspects de sa personnalité.
« Ne sont pas regardées comme prises sur le seul fondement d'un
traitement automatisé les décisions prises dans le cadre de la
conclusion ou de l'exécution d'un contrat et pour lesquelles la
personne concernée a été mise à même de présenter ses observations, ni
celles satisfaisant les demandes de la personne concernée. »
Article 3
Le chapitre III de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre III
« La Commission nationale
de l'informatique et des libertés
« Art. 11. - La Commission nationale de l'informatique et des
libertés est une autorité administrative indépendante. Elle exerce les
missions suivantes :
« 1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;
« 2° Elle veille à ce que les traitements de données à caractère
personnel soient mis en oeuvre conformément aux dispositions de la
présente loi.
« A ce titre :
« a) Elle autorise les traitements mentionnés à l'article 25,
donne un avis sur les traitements mentionnés aux articles 26 et 27 et
reçoit les déclarations relatives aux autres traitements ;
« b) Elle établit et publie les normes mentionnées au I de
l'article 24 et édicte, le cas échéant, des règlements types en vue
d'assurer la sécurité des systèmes ;
« c) Elle reçoit les réclamations, pétitions et plaintes relatives
à la mise en oeuvre des traitements de données à caractère personnel et
informe leurs auteurs des suites données à celles-ci ;
« d) Elle répond aux demandes d'avis des pouvoirs publics et, le
cas échéant, des juridictions, et conseille les personnes et organismes
qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements
automatisés de données à caractère personnel ;
« e) Elle informe sans délai le procureur de la République,
conformément à l'article 40 du code de procédure pénale, des
infractions dont elle a connaissance, et peut présenter des
observations dans les procédures pénales, dans les conditions prévues à
l'article 52 ;
« f) Elle peut, par décision particulière, charger un ou plusieurs
de ses membres ou des agents de ses services, dans les conditions
prévues à l'article 44, de procéder à des vérifications portant sur
tous traitements et, le cas échéant, d'obtenir des copies de tous
documents ou supports d'information utiles à ses missions ;
« g) Elle peut, dans les conditions définies au chapitre VII,
prononcer à l'égard d'un responsable de traitement l'une des mesures
prévues à l'article 45 ;
« h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;
« 3° A la demande d'organisations professionnelles ou
d'institutions regroupant principalement des responsables de
traitements :
« a) Elle donne un avis sur la conformité aux dispositions de la
présente loi des projets de règles professionnelles et des produits et
procédures tendant à la protection des personnes à l'égard du
traitement de données à caractère personnel, ou à l'anonymisation de
ces données, qui lui sont soumis ;
« b) Elle porte une appréciation sur les garanties offertes par
des règles professionnelles qu'elle a précédemment reconnues conformes
aux dispositions de la présente loi, au regard du respect des droits
fondamentaux des personnes ;
« c) Elle délivre un label à des produits ou à des procédures
tendant à la protection des personnes à l'égard du traitement des
données à caractère personnel, après qu'elles les a reconnus conformes
aux dispositions de la présente loi ;
« 4° Elle se tient informée de l'évolution des technologies de
l'information et rend publique le cas échéant son appréciation des
conséquences qui en résultent pour l'exercice des droits et libertés
mentionnés à l'article 1er ;
« A ce titre :
« a) Elle est consultée sur tout projet de loi ou de décret
relatif à la protection des personnes à l'égard des traitements
automatisés ;
« b) Elle propose au Gouvernement les mesures législatives ou
réglementaires d'adaptation de la protection des libertés à l'évolution
des procédés et techniques informatiques ;
« c) A la demande d'autres autorités administratives
indépendantes, elle peut apporter son concours en matière de protection
des données ;
« d) Elle peut être associée, à la demande du Premier ministre, à
la préparation et à la définition de la position française dans les
négociations internationales dans le domaine de la protection des
données à caractère personnel. Elle peut participer, à la demande du
Premier ministre, à la représentation française dans les organisations
interna- tionales et communautaires compétentes en ce domaine.
« Pour l'accomplissement de ses missions, la commission peut
procéder par voie de recommandation et prendre des décisions
individuelles ou réglementaires dans les cas prévus par la présente loi.
« La commission présente chaque année au Président de la
République, au Premier ministre et au Parlement un rapport public
rendant compte de l'exécution de sa mission.
« Art. 12. - La Commission nationale de l'informatique et des
libertés dispose des crédits nécessaires à l'accomplissement de ses
missions. Les dispositions de la loi du 10 août 1922 relative au
contrôle financier ne sont pas applicables à leur gestion. Les comptes
de la commission sont présentés au contrôle de la Cour des comptes.
« Art. 13. - I. - La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :
« 1° Deux députés et deux sénateurs, désignés respectivement par l'Assemblée nationale et par le Sénat ;
« 2° Deux membres du Conseil économique et social, élus par cette assemblée ;
« 3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade
au moins égal à celui de conseiller, élus par l'assemblée générale du
Conseil d'Etat ;
« 4° Deux membres ou anciens membres de la Cour de cassation, d'un
grade au moins égal à celui de conseiller, élus par l'assemblée
générale de la Cour de cassation ;
« 5° Deux membres ou anciens membres de la Cour des comptes, d'un
grade au moins égal à celui de conseiller maître, élus par l'assemblée
générale de la Cour des comptes ;
« 6° Trois personnalités qualifiées pour leur connaissance de
l'informatique ou des questions touchant aux libertés individuelles,
nommées par décret ;
« 7° Deux personnalités qualifiées pour leur connaissance de
l'informatique, désignées respectivement par le Président de
l'Assemblée nationale et par le Président du Sénat.
« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué. Ils composent le bureau.
« La formation restreinte de la commission est composée du
président, des vice-présidents et de trois membres élus par la
commission en son sein pour la durée de leur mandat.
« En cas de partage égal des voix, celle du président est prépondérante.
« II. - Le mandat des membres de la commission mentionnés aux 3°,
4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois.
Les membres mentionnés aux 1° et 2° siègent pour la durée du mandat à
l'origine de leur désignation ; leurs mandats de membre de la
Commission nationale de l'informatique et des libertés ne peuvent
excéder une durée de dix ans.
« Le membre de la commission qui cesse d'exercer ses fonctions en
cours de mandat est remplacé, dans les mêmes conditions, pour la durée
de son mandat restant à courir.
« Sauf démission, il ne peut être mis fin aux fonctions d'un
membre qu'en cas d'empêchement constaté par la commission dans les
conditions qu'elle définit.
« La commission établit un règlement intérieur. Ce règlement fixe
les règles relatives à l'organisation et au fonctionnement de la
commission. Il précise notamment les règles relatives aux
délibérations, à l'instruction des dossiers et à leur présentation
devant la commission.
« Art. 14. - I. - La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.
« II. - Aucun membre de la commission ne peut :
« - participer à une délibération ou procéder à des vérifications
relatives à un organisme au sein duquel il détient un intérêt, direct
ou indirect, exerce des fonctions ou détient un mandat ;
« - participer à une délibération ou procéder à des vérifications
relatives à un organisme au sein duquel il a, au cours des trente-six
mois précédant la délibération ou les vérifications, détenu un intérêt
direct ou indirect, exercé des fonctions ou détenu un mandat.
« III. - Tout membre de la commission doit informer le président
des intérêts directs ou indirects qu'il détient ou vient à détenir, des
fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il
détient ou vient à détenir au sein d'une personne morale. Ces
informations, ainsi que celles concernant le président, sont tenues à
la disposition des membres de la commission.
« Le président de la commission prend les mesures appropriées pour
assurer le respect des obligations résultant du présent article.
« Art. 15. - Sous réserve des compétences du bureau et de la
formation restreinte, la commission se réunit en formation plénière.
« En cas de partage égal des voix, la voix du président est prépondérante.
« La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :
« - au troisième alinéa du I de l'article 23 ;
« - aux e et f du 2° de l'article 11 ;
« - au c du 2° de l'article 11 ;
« - au d du 4° de l'article 11 ;
« - aux articles 41 et 42 ;
« - à l'article 54 ;
« - aux articles 63, 64 et 65 ;
« - au dernier alinéa de l'article 69 ;
« - au premier alinéa de l'article 70.
« Art. 16. - Le bureau peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :
« - au dernier alinéa de l'article 19 ;
« - à l'article 25, en cas d'urgence ;
« - au second alinéa de l'article 70.
« Le bureau peut aussi être chargé de prendre, en cas d'urgence,
les décisions mentionnées au premier alinéa du I de l'article 45.
« Art. 17. - La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l'article 45.
« Art. 18. - Un commissaire du Gouvernement, désigné par le
Premier ministre, siège auprès de la commission. Des commissaires
adjoints peuvent être désignés dans les mêmes conditions.
« Le commissaire du Gouvernement assiste à toutes les
délibérations de la commission réunie en formation plénière ou en
formation restreinte, ainsi qu'à celles des réunions de son bureau qui
ont pour objet l'exercice des attributions déléguées en vertu de
l'article 16 ; il est rendu destinataire de tous ses avis et décisions.
« Il peut, sauf en matière de sanctions, provoquer une seconde
délibération, qui doit intervenir dans les dix jours de la délibération
initiale.
« Art. 19. - La commission dispose de services dirigés par le président et placés sous son autorité.
« Les agents de la commission sont nommés par le président.
« En cas de besoin, le vice-président délégué exerce les attributions du président.
« Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l'autorité du président.
« Ceux des agents qui peuvent être appelés à participer à la mise
en oeuvre des missions de vérification mentionnées à l'article 44
doivent y être habilités par la commission ; cette habilitation ne
dispense pas de l'application des dispositions définissant les
procédures autorisant l'accès aux secrets protégés par la loi.
« Art. 20. - Les membres et les agents de la commission sont
astreints au secret professionnel pour les faits, actes ou
renseignements dont ils ont pu avoir connaissance en raison de leurs
fonctions, dans les conditions prévues à l'article 413-10 du code pénal
et, sous réserve de ce qui est nécessaire à l'établissement du rapport
annuel, à l'article 226-13 du même code.
« Art. 21. - Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.
« Les ministres, autorités publiques, dirigeants d'entreprises
publiques ou privées, responsables de groupements divers et plus
généralement les détenteurs ou utilisateurs de traitements ou de
fichiers de données à caractère personnel ne peuvent s'opposer à
l'action de la commission ou de ses membres et doivent au contraire
prendre toutes mesures utiles afin de faciliter sa tâche.
« Sauf dans les cas où elles sont astreintes au secret
professionnel, les personnes interrogées dans le cadre des
vérifications faites par la commission en application du f du 2° de
l'article 11 sont tenues de fournir les renseignements demandés par
celle-ci pour l'exercice de ses missions. ».
Article 4
Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre IV
« Formalités préalables
à la mise en oeuvre des traitements
« Art. 22. - I. - A l'exception de ceux qui relèvent des
dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au
deuxième alinéa de l'article 36, les traitements automatisés de données
à caractère personnel font l'objet d'une déclaration auprès de la
Commission nationale de l'informatique et des libertés.
« II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :
« 1° Les traitements ayant pour seul objet la tenue d'un registre
qui, en vertu de dispositions législatives ou réglementaires, est
destiné exclusivement à l'information du public et est ouvert à la
consultation de celui-ci ou de toute personne justifiant d'un intérêt
légitime ;
« 2° Les traitements mentionnés au 3° du II de l'article 8.
« III. - Les traitements pour lesquels le responsable a désigné un
correspondant à la protection des données à caractère personnel chargé
d'assurer, d'une manière indépendante, le respect des obligations
prévues dans la présente loi sont dispensés des formalités prévues aux
articles 23 et 24, sauf lorsqu'un transfert de données à caractère
personnel à destination d'un Etat non membre de la Communauté
européenne est envisagé.
« La désignation du correspondant est notifiée à la Commission
nationale de l'informatique et des libertés. Elle est portée à la
connaissance des instances représentatives du personnel.
« Le correspondant est une personne bénéficiant des qualifications
requises pour exercer ses missions. Il tient une liste des traitements
effectués immédiatement accessible à toute personne en faisant la
demande et ne peut faire l'objet d'aucune sanction de la part de
l'employeur du fait de l'accomplissement de ses missions. Il peut
saisir la Commission nationale de l'informatique et des libertés des
difficultés qu'il rencontre dans l'exercice de ses missions.
« En cas de non-respect des dispositions de la loi, le responsable
du traitement est enjoint par la Commission nationale de l'informatique
et des libertés de procéder aux formalités prévues aux articles 23 et
24. En cas de manquement constaté à ses devoirs, le correspondant est
déchargé de ses fonctions sur demande, ou après consultation, de la
Commission nationale de l'informatique et des libertés.
« IV. - Le responsable d'un traitement de données à caractère
personnel qui n'est soumis à aucune des formalités prévues au présent
chapitre communique à toute personne qui en fait la demande les
informations relatives à ce traitement mentionnées aux 2° à 6° du I de
l'article 31.
« Section 1
« Déclaration
« Art. 23. - I. - La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.
« Elle peut être adressée à la Commission nationale de l'informatique et des libertés par voie électronique.
« La commission délivre sans délai un récépissé, le cas échéant
par voie électronique. Le demandeur peut mettre en oeuvre le traitement
dès réception de ce récépissé ; il n'est exonéré d'aucune de ses
responsabilités.
« II. - Les traitements relevant d'un même organisme et ayant des
finalités identiques ou liées entre elles peuvent faire l'objet d'une
déclaration unique. Dans ce cas, les informations requises en
application de l'article 30 ne sont fournies pour chacun des
traitements que dans la mesure où elles lui sont propres.
« Art. 24. - I. - Pour les catégories les plus courantes de
traitements de données à caractère personnel, dont la mise en oeuvre
n'est pas susceptible de porter atteinte à la vie privée ou aux
libertés, la Commission nationale de l'informatique et des libertés
établit et publie, après avoir reçu le cas échéant les propositions
formulées par les représentants des organismes publics et privés
représentatifs, des normes destinées à simplifier l'obligation de
déclaration.
« Ces normes précisent :
« 1° Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;
« 2° Les données à caractère personnel ou catégories de données à caractère personnel traitées ;
« 3° La ou les catégories de personnes concernées ;
« 4° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
« 5° La durée de conservation des données à caractère personnel.
« Les traitements qui correspondent à l'une de ces normes font
l'objet d'une déclaration simplifiée de conformité envoyée à la
commission, le cas échéant par voie électronique.
« II. - La commission peut définir, parmi les catégories de
traitements mentionnés au I, celles qui, compte tenu de leurs
finalités, de leurs destinataires ou catégories de destinataires, des
données à caractère personnel traitées, de la durée de conservation de
celles-ci et des catégories de personnes concernées, sont dispensées de
déclaration.
« Dans les mêmes conditions, la commission peut autoriser les
responsables de certaines catégories de traitements à procéder à une
déclaration unique selon les dispositions du II de l'article 23.
« Section 2
« Autorisation
« Art. 25. - I. - Sont mis en oeuvre après autorisation de la
Commission nationale de l'informatique et des libertés, à l'exclusion
de ceux qui sont mentionnés aux articles 26 et 27 :
« 1° Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l'article 8 ;
« 2° Les traitements automatisés portant sur des données
génétiques, à l'exception de ceux d'entre eux qui sont mis en oeuvre
par des médecins ou des biologistes et qui sont nécessaires aux fins de
la médecine préventive, des diagnostics médicaux ou de l'administration
de soins ou de traitements ;
« 3° Les traitements, automatisés ou non, portant sur des données
relatives aux infractions, condamnations ou mesures de sûreté, sauf
ceux qui sont mis en oeuvre par des auxiliaires de justice pour les
besoins de leurs missions de défense des personnes concernées ;
« 4° Les traitements automatisés susceptibles, du fait de leur
nature, de leur portée ou de leurs finalités, d'exclure des personnes
du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence
de toute disposition législative ou réglementaire ;
« 5° Les traitements automatisés ayant pour objet :
« - l'interconnexion de fichiers relevant d'une ou de plusieurs
personnes morales gérant un service public et dont les finalités
correspondent à des intérêts publics différents ;
« - l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;
« 6° Les traitements portant sur des données parmi lesquelles
figure le numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques et ceux qui requièrent une
consultation de ce répertoire sans inclure le numéro d'inscription à
celui-ci des personnes ;
« 7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
« 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
« II. - Pour l'application du présent article, les traitements qui
répondent à une même finalité, portent sur des catégories de données
identiques et ont les mêmes destinataires ou catégories de
destinataires peuvent être autorisés par une décision unique de la
commission. Dans ce cas, le responsable de chaque traitement adresse à
la commission un engagement de conformité de celui-ci à la description
figurant dans l'autorisation.
« III. - La Commission nationale de l'informatique et des libertés
se prononce dans un délai de deux mois à compter de la réception de la
demande. Toutefois, ce délai peut être renouvelé une fois sur décision
motivée de son président. Lorsque la commission ne s'est pas prononcée
dans ces délais, la demande d'autorisation est réputée rejetée.
« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres
compétents, pris après avis motivé et publié de la Commission nationale
de l'informatique et des libertés, les traitements de données à
caractère personnel mis en oeuvre pour le compte de l'Etat et :
« 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;
« 2° Ou qui ont pour objet la prévention, la recherche, la
constatation ou la poursuite des infractions pénales ou l'exécution des
condamnations pénales ou des mesures de sûreté.
« L'avis de la commission est publié avec l'arrêté autorisant le traitement.
« II. - Ceux de ces traitements qui portent sur des données
mentionnées au I de l'article 8 sont autorisés par décret en Conseil
d'Etat pris après avis motivé et publié de la commission ; cet avis est
publié avec le décret autorisant le traitement.
« III. - Certains traitements mentionnés au I et au II peuvent
être dispensés, par décret en Conseil d'Etat, de la publication de
l'acte réglementaire qui les autorise ; pour ces traitements, est
publié, en même temps que le décret autorisant la dispense de
publication de l'acte, le sens de l'avis émis par la commission.
« IV. - Pour l'application du présent article, les traitements qui
répondent à une même finalité, portent sur des catégories de données
identiques et ont les mêmes destinataires ou catégories de
destinataires peuvent être autorisés par un acte réglementaire unique.
Dans ce cas, le responsable de chaque traitement adresse à la
commission un engagement de conformité de celui-ci à la description
figurant dans l'autorisation.
« Art. 27. - I. - Sont autorisés par décret en Conseil d'Etat,
pris après avis motivé et publié de la Commission nationale de
l'informatique et des libertés :
« 1° Les traitements de données à caractère personnel mis en
oeuvre pour le compte de l'Etat, d'une personne morale de droit public
ou d'une personne morale de droit privé gérant un service public, qui
portent sur des données parmi lesquelles figure le numéro d'inscription
des personnes au répertoire national d'identification des personnes
physiques ;
« 2° Les traitements de données à caractère personnel mis en
oeuvre pour le compte de l'Etat qui portent sur des données
biométriques nécessaires à l'authentification ou au contrôle de
l'identité des personnes.
« II. - Sont autorisés par arrêté ou, en cas de traitement opéré
pour le compte d'un établissement public ou d'une personne morale de
droit privé gérant un service public, par décision de l'organe
délibérant chargé de leur organisation, pris après avis motivé et
publié de la Commission nationale de l'informatique et des libertés :
« 1° Les traitements mis en oeuvre par l'Etat ou les personnes
morales mentionnées au I qui requièrent une consultation du répertoire
national d'identification des personnes physiques sans inclure le
numéro d'inscription à ce répertoire ;
« 2° Ceux des traitements mentionnés au I :
« - qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;
« - qui ne donnent pas lieu à une interconnexion entre des
traitements ou fichiers correspondant à des intérêts publics différents
;
« - et qui sont mis en oeuvre par des services ayant pour mission,
soit de déterminer les conditions d'ouverture ou l'étendue d'un droit
des administrés, soit d'établir l'assiette, de contrôler ou de
recouvrer des impositions ou taxes de toute nature, soit d'établir des
statistiques ;
« 3° Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;
« 4° Les traitements mis en oeuvre par l'Etat ou les personnes
morales mentionnées au I aux fins de mettre à la disposition des
usagers de l'administration un ou plusieurs téléservices de
l'administration électronique, si ces traitements portent sur des
données parmi lesquelles figurent le numéro d'inscription des personnes
au répertoire national d'identification ou tout autre identifiant des
personnes physiques.
« III. - Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.
« Art. 28. - I. - La Commission nationale de l'informatique et des
libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans
un délai de deux mois à compter de la réception de la demande.
Toutefois, ce délai peut être renouvelé une fois sur décision motivée
du président.
« II. - L'avis demandé à la commission sur un traitement, qui
n'est pas rendu à l'expiration du délai prévu au I, est réputé
favorable.
« Art. 29. - Les actes autorisant la création d'un traitement en application des articles 25, 26 et 27 précisent :
« 1° La dénomination et la finalité du traitement ;
« 2° Le service auprès duquel s'exerce le droit d'accès défini au chapitre VII ;
« 3° Les catégories de données à caractère personnel enregistrées ;
« 4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
« 5° Le cas échéant, les dérogations à l'obligation d'information prévues au V de l'article 32.
« Section 3
« Dispositions communes
« Art. 30. - I. - Les déclarations, demandes d'autorisation et
demandes d'avis adressées à la Commission nationale de l'informatique
et des libertés en vertu des dispositions des sections 1 et 2 précisent
:
« 1° L'identité et l'adresse du responsable du traitement ou, si
celui-ci n'est établi ni sur le territoire national ni sur celui d'un
autre Etat membre de la Communauté européenne, celle de son
représentant et, le cas échéant, celle de la personne qui présente la
demande ;
« 2° La ou les finalités du traitement, ainsi que, pour les
traitements relevant des articles 25, 26 et 27, la description générale
de ses fonctions ;
« 3° Le cas échéant, les interconnexions, les rapprochements ou
toutes autres formes de mise en relation avec d'autres traitements ;
« 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
« 5° La durée de conservation des informations traitées ;
« 6° Le ou les services chargés de mettre en oeuvre le traitement
ainsi que, pour les traitements relevant des articles 25, 26 et 27, les
catégories de personnes qui, en raison de leurs fonctions ou pour les
besoins du service, ont directement accès aux données enregistrées ;
« 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
« 8° La fonction de la personne ou le service auprès duquel
s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures
relatives à l'exercice de ce droit ;
« 9° Les dispositions prises pour assurer la sécurité des
traitements et des données et la garantie des secrets protégés par la
loi et, le cas échéant, l'indication du recours à un sous-traitant ;
« 10° Le cas échéant, les transferts de données à caractère
personnel envisagés à destination d'un Etat non membre de la Communauté
européenne, sous quelque forme que ce soit, à l'exclusion des
traitements qui ne sont utilisés qu'à des fins de transit sur le
territoire français ou sur celui d'un autre Etat membre de la
Communauté européenne au sens des dispositions du 2° du I de l'article
5.
« II. - Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la commission :
« - de tout changement affectant les informations mentionnées au I ;
« - de toute suppression du traitement.
« Art. 31. - I. - La commission met à la disposition du public la
liste des traitements automatisés ayant fait l'objet d'une des
formalités prévues par les articles 23 à 27, à l'exception de ceux
mentionnés au III de l'article 26.
« Cette liste précise pour chacun de ces traitements :
« 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
« 2° La dénomination et la finalité du traitement ;
« 3° L'identité et l'adresse du responsable du traitement ou, si
celui-ci n'est établi ni sur le territoire national ni sur celui d'un
autre Etat membre de la Communauté européenne, celles de son
représentant ;
« 4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;
« 5° Les catégories de données à caractère personnel faisant
l'objet du traitement, ainsi que les destinataires et catégories de
destinataires habilités à en recevoir communication ;
« 6° Le cas échéant, les transferts de données à caractère
personnel envisagés à destination d'un Etat non membre de la Communauté
européenne.
« II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.
« III. - La Commission nationale de l'informatique et des libertés
publie la liste des Etats dont la Commission des Communautés
européennes a établi qu'ils assurent un niveau de protection suffisant
à l'égard d'un transfert ou d'une catégorie de transferts de données à
caractère personnel. »
Article 5
Le chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est
intitulé : « Obligations incombant aux responsables de traitements et
droits des personnes ». Ce chapitre comprend les articles 32 à 42 ainsi
que l'article 40, qui devient l'article 43. Il comprend deux sections
ainsi rédigées :
« Section 1
« Obligations incombant aux responsables de traitements
« Art. 32. - I. - La personne auprès de laquelle sont recueillies
des données à caractère personnel la concernant est informée, sauf si
elle l'a été au préalable, par le responsable du traitement ou son
représentant :
« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Du caractère obligatoire ou facultatif des réponses ;
« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
« 5° Des destinataires ou catégories de destinataires des données ;
« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;
« 7° Le cas échéant, des transferts de données à caractère
personnel envisagés à destination d'un Etat non membre de la Communauté
européenne.
« Lorsque de telles données sont recueillies par voie de
questionnaires, ceux-ci doivent porter mention des prescriptions
figurant aux 1°, 2°, 3° et 6°.
« II. - Toute personne utilisatrice des réseaux de communications
électroniques doit être informée de manière claire et complète par le
responsable du traitement ou son représentant :
« - de la finalité de toute action tendant à accéder, par voie de
transmission électronique, à des informations stockées dans son
équipement terminal de connexion, ou à inscrire, par la même voie, des
informations dans son équipement terminal de connexion ;
« - des moyens dont elle dispose pour s'y opposer.
« Ces dispositions ne sont pas applicables si l'accès aux
informations stockées dans l'équipement terminal de l'utilisateur ou
l'inscription d'informations dans l'équipement terminal de
l'utilisateur :
« - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
« - soit est strictement nécessaire à la fourniture d'un service
de communication en ligne à la demande expresse de l'utilisateur.
« III. - Lorsque les données à caractère personnel n'ont pas été
recueillies auprès de la personne concernée, le responsable du
traitement ou son représentant doit fournir à cette dernière les
informations énumérées au I dès l'enregistrement des données ou, si une
communication des données à des tiers est envisagée, au plus tard lors
de la première communication des données.
« Lorsque les données à caractère personnel ont été initialement
recueillies pour un autre objet, les dispositions de l'alinéa précédent
ne s'appliquent pas aux traitements nécessaires à la conservation de
ces données à des fins historiques, statistiques ou scientifiques, dans
les conditions prévues au livre II du code du patrimoine ou à la
réutilisation de ces données à des fins statistiques dans les
conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur
l'obligation, la coordination et le secret en matière de statistiques.
Ces dispositions ne s'appliquent pas non plus lorsque la personne
concernée est déjà informée ou quand son information se révèle
impossible ou exige des efforts disproportionnés par rapport à
l'intérêt de la démarche.
« IV. - Si les données à caractère personnel recueillies sont
appelées à faire l'objet à bref délai d'un procédé d'anonymisation
préalablement reconnu conforme aux dispositions de la présente loi par
la Commission nationale de l'informatique et des libertés, les
informations délivrées par le responsable du traitement à la personne
concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.
« V. - Les dispositions du I ne s'appliquent pas aux données
recueillies dans les conditions prévues au III et utilisées lors d'un
traitement mis en oeuvre pour le compte de l'Etat et intéressant la
sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet
l'exécution de condamnations pénales ou de mesures de sûreté, dans la
mesure où une telle limitation est nécessaire au respect des fins
poursuivies par le traitement.
« VI. - Les dispositions du présent article ne s'appliquent pas
aux traitements de données ayant pour objet la prévention, la
recherche, la constatation ou la poursuite d'infractions pénales.
« Art. 33. - Sauf consentement exprès de la personne concernée,
les données à caractère personnel recueillies par les prestataires de
services de certification électronique pour les besoins de la
délivrance et de la conservation des certificats liés aux signatures
électroniques doivent l'être directement auprès de la personne
concernée et ne peuvent être traitées que pour les fins en vue
desquelles elles ont été recueillies.
« Art. 34. - Le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des
données et, notamment, empêcher qu'elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès.
« Des décrets, pris après avis de la Commission nationale de
l'informatique et des libertés, peuvent fixer les prescriptions
techniques auxquelles doivent se conformer les traitements mentionnés
au 2° et au 6° du II de l'article 8.
« Art. 35. - Les données à caractère personnel ne peuvent faire
l'objet d'une opération de traitement de la part d'un sous-traitant,
d'une personne agissant sous l'autorité du responsable du traitement ou
de celle du sous-traitant, que sur instruction du responsable du
traitement.
« Toute personne traitant des données à caractère personnel pour
le compte du responsable du traitement est considérée comme un
sous-traitant au sens de la présente loi.
« Le sous-traitant doit présenter des garanties suffisantes pour
assurer la mise en oeuvre des mesures de sécurité et de confidentialité
mentionnées à l'article 34. Cette exigence ne décharge pas le
responsable du traitement de son obligation de veiller au respect de
ces mesures.
« Le contrat liant le sous-traitant au responsable du traitement
comporte l'indication des obligations incombant au sous-traitant en
matière de protection de la sécurité et de la confidentialité des
données et prévoit que le sous-traitant ne peut agir que sur
instruction du responsable du traitement.
« Art. 36. - Les données à caractère personnel ne peuvent être
conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue
d'être traitées à des fins historiques, statistiques ou scientifiques ;
le choix des données ainsi conservées est opéré dans les conditions
prévues à l'article L. 212-4 du code du patrimoine.
« Les traitements dont la finalité se limite à assurer la
conservation à long terme de documents d'archives dans le cadre du
livre II du même code sont dispensés des formalités préalables à la
mise en oeuvre des traitements prévues au chapitre IV de la présente
loi.
« Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :
« - soit avec l'accord exprès de la personne concernée ;
« - soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ;
« - soit dans les conditions prévues au 8° du II et au IV de
l'article 8 s'agissant de données mentionnées au I de ce même article.
« Art. 37. - Les dispositions de la présente loi ne font pas
obstacle à l'application, au bénéfice de tiers, des dispositions du
titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses
mesures d'amélioration des relations entre l'administration et le
public et diverses dispositions d'ordre administratif, social et fiscal
et des dispositions du livre II du code du patrimoine.
« En conséquence, ne peut être regardé comme un tiers non autorisé
au sens de l'article 34 le titulaire d'un droit d'accès aux documents
administratifs ou aux archives publiques exercé conformément à la loi
n° 78-753 du 17 juillet 1978 précitée et au livre II du même code.
« Section 2
« Droits des personnes à l'égard des traitements
de données à caractère personnel
« Art. 38. - Toute personne physique a le droit de s'opposer, pour
des motifs légitimes, à ce que des données à caractère personnel la
concernant fassent l'objet d'un traitement.
« Elle a le droit de s'opposer, sans frais, à ce que les données
la concernant soient utilisées à des fins de prospection, notamment
commerciale, par le responsable actuel du traitement ou celui d'un
traitement ultérieur.
« Les dispositions du premier alinéa ne s'appliquent pas lorsque
le traitement répond à une obligation légale ou lorsque l'application
de ces dispositions a été écartée par une disposition expresse de
l'acte autorisant le traitement.
« Art. 39. - I. - Toute personne physique justifiant de son
identité a le droit d'interroger le responsable d'un traitement de
données à caractère personnel en vue d'obtenir :
« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
« 2° Des informations relatives aux finalités du traitement, aux
catégories de données à caractère personnel traitées et aux
destinataires ou aux catégories de destinataires auxquels les données
sont communiquées ;
« 3° Le cas échéant, des informations relatives aux transferts de
données à caractère personnel envisagés à destination d'un Etat non
membre de la Communauté européenne ;
« 4° La communication, sous une forme accessible, des données à
caractère personnel qui la concernent ainsi que de toute information
disponible quant à l'origine de celles-ci ;
« 5° Les informations permettant de connaître et de contester la
logique qui sous-tend le traitement automatisé en cas de décision prise
sur le fondement de celui-ci et produisant des effets juridiques à
l'égard de l'intéressé. Toutefois, les informations communiquées à la
personne concernée ne doivent pas porter atteinte au droit d'auteur au
sens des dispositions du livre Ier et du titre IV du livre III du code
de la propriété intellectuelle.
« Une copie des données à caractère personnel est délivrée à
l'intéressé à sa demande. Le responsable du traitement peut subordonner
la délivrance de cette copie au paiement d'une somme qui ne peut
excéder le coût de la reproduction.
« En cas de risque de dissimulation ou de disparition des données
à caractère personnel, le juge compétent peut ordonner, y compris en
référé, toutes mesures de nature à éviter cette dissimulation ou cette
disparition.
« II. - Le responsable du traitement peut s'opposer aux demandes
manifestement abusives, notamment par leur nombre, leur caractère
répétitif ou systématique. En cas de contestation, la charge de la
preuve du caractère manifestement abusif des demandes incombe au
responsable auprès duquel elles sont adressées.
« Les dispositions du présent article ne s'appliquent pas lorsque
les données à caractère personnel sont conservées sous une forme
excluant manifestement tout risque d'atteinte à la vie privée des
personnes concernées et pendant une durée n'excédant pas celle
nécessaire aux seules finalités d'établissement de statistiques ou de
recherche scientifique ou historique. Hormis les cas mentionnés au
deuxième alinéa de l'article 36, les dérogations envisagées par le
responsable du traitement sont mentionnées dans la demande
d'autorisation ou dans la déclaration adressée à la Commission
nationale de l'informatique et des libertés.
« Art. 40. - Toute personne physique justifiant de son identité
peut exiger du responsable d'un traitement que soient, selon les cas,
rectifiées, complétées, mises à jour, verrouillées ou effacées les
données à caractère personnel la concernant, qui sont inexactes,
incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation,
la communication ou la conservation est interdite.
« Lorsque l'intéressé en fait la demande, le responsable du
traitement doit justifier, sans frais pour le demandeur, qu'il a
procédé aux opérations exigées en vertu de l'alinéa précédent.
« En cas de contestation, la charge de la preuve incombe au
responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il
est établi que les données contestées ont été communiquées par
l'intéressé ou avec son accord.
« Lorsqu'il obtient une modification de l'enregistrement,
l'intéressé est en droit d'obtenir le remboursement des frais
correspondant au coût de la copie mentionnée au I de l'article 39.
« Si une donnée a été transmise à un tiers, le responsable du
traitement doit accomplir les diligences utiles afin de lui notifier
les opérations qu'il a effectuées conformément au premier alinéa.
« Les héritiers d'une personne décédée justifiant de leur identité
peuvent, si des éléments portés à leur connaissance leur laissent
présumer que les données à caractère personnel la concernant faisant
l'objet d'un traitement n'ont pas été actualisées, exiger du
responsable de ce traitement qu'il prenne en considération le décès et
procède aux mises à jour qui doivent en être la conséquence.
« Lorsque les héritiers en font la demande, le responsable du
traitement doit justifier, sans frais pour le demandeur, qu'il a
procédé aux opérations exigées en vertu de l'alinéa précédent.
« Art. 41. - Par dérogation aux articles 39 et 40, lorsqu'un
traitement intéresse la sûreté de l'Etat, la défense ou la sécurité
publique, le droit d'accès s'exerce dans les conditions prévues par le
présent article pour l'ensemble des informations qu'il contient.
« La demande est adressée à la commission qui désigne l'un de ses
membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de
cassation ou à la Cour des comptes pour mener les investigations utiles
et faire procéder aux modifications nécessaires. Celui-ci peut se faire
assister d'un agent de la commission. Il est notifié au requérant qu'il
a été procédé aux vérifications.
« Lorsque la commission constate, en accord avec le responsable du
traitement, que la communication des données qui y sont contenues ne
met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la
sécurité publique, ces données peuvent être communiquées au requérant.
« Lorsque le traitement est susceptible de comprendre des
informations dont la communication ne mettrait pas en cause les fins
qui lui sont assignées, l'acte réglementaire portant création du
fichier peut prévoir que ces informations peuvent être communiquées au
requérant par le gestionnaire du fichier directement saisi.
« Art. 42. - Les dispositions de l'article 41 sont applicables aux
traitements mis en oeuvre par les administrations publiques et les
personnes privées chargées d'une mission de service public qui ont pour
mission de prévenir, rechercher ou constater des infractions, ou de
contrôler ou recouvrer des impositions, si un tel droit a été prévu par
l'autorisation mentionnée aux articles 25, 26 ou 27. »
Article 6
Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre VI
« Le contrôle de la mise en oeuvre des traitements
« Art. 44. - I. - Les membres de la Commission nationale de
l'informatique et des libertés ainsi que les agents de ses services
habilités dans les conditions définies au dernier alinéa de l'article
19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs
missions, aux lieux, locaux, enceintes, installations ou établissements
servant à la mise en oeuvre d'un traitement de données à caractère
personnel et qui sont à usage professionnel, à l'exclusion des parties
de ceux-ci affectées au domicile privé.
« Le procureur de la République territorialement compétent en est préalablement informé.
« II. - En cas d'opposition du responsable des lieux, la visite ne
peut se dérouler qu'avec l'autorisation du président du tribunal de
grande instance dans le ressort duquel sont situés les locaux à visiter
ou du juge délégué par lui.
« Ce magistrat est saisi à la requête du président de la
commission. Il statue par une ordonnance motivée, conformément aux
dispositions prévues aux articles 493 à 498 du nouveau code de
procédure civile. La procédure est sans représentation obligatoire.
« La visite s'effectue sous l'autorité et le contrôle du juge qui
l'a autorisée. Celui-ci peut se rendre dans les locaux durant
l'intervention. A tout moment, il peut décider l'arrêt ou la suspension
de la visite.
« III. - Les membres de la commission et les agents mentionnés au
premier alinéa du I peuvent demander communication de tous documents
nécessaires à l'accomplissement de leur mission, quel qu'en soit le
support, et en prendre copie ; ils peuvent recueillir, sur place ou sur
convocation, tout renseignement et toute justification utiles ; ils
peuvent accéder aux programmes informatiques et aux données, ainsi
qu'en demander la transcription par tout traitement approprié dans des
documents directement utilisables pour les besoins du contrôle.
« Ils peuvent, à la demande du président de la commission, être
assistés par des experts désignés par l'autorité dont ceux-ci dépendent.
« Seul un médecin peut requérir la communication de données
médicales individuelles incluses dans un traitement nécessaire aux fins
de la médecine préventive, de la recherche médicale, des diagnostics
médicaux, de l'administration de soins ou de traitements, ou à la
gestion de service de santé, et qui est mis en oeuvre par un membre
d'une profession de santé.
« Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article.
« IV. - Pour les traitements intéressant la sûreté de l'Etat et
qui sont dispensés de la publication de l'acte réglementaire qui les
autorise en application du III de l'article 26, le décret en Conseil
d'Etat qui prévoit cette dispense peut également prévoir que le
traitement n'est pas soumis aux dispositions du présent article. »
Article 7
Le chapitre VII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre VII
« Sanctions prononcées par la Commission nationale
de l'informatique et des libertés
« Art. 45. - I. - La Commission nationale de l'informatique et des
libertés peut prononcer un avertissement à l'égard du responsable d'un
traitement qui ne respecte pas les obligations découlant de la présente
loi. Elle peut également mettre en demeure ce responsable de faire
cesser le manquement constaté dans un délai qu'elle fixe.
« Si le responsable d'un traitement ne se conforme pas à la mise
en demeure qui lui est adressée, la commission peut prononcer à son
encontre, après une procédure contradictoire, les sanctions suivantes :
« 1° Une sanction pécuniaire, dans les conditions prévues par
l'article 47, à l'exception des cas où le traitement est mis en oeuvre
par l'Etat ;
« 2° Une injonction de cesser le traitement, lorsque celui-ci
relève des dispositions de l'article 22, ou un retrait de
l'autorisation accordée en application de l'article 25.
« II. - En cas d'urgence, lorsque la mise en oeuvre d'un
traitement ou l'exploitation des données traitées entraîne une
violation des droits et libertés mentionnés à l'article 1er, la
commission peut, après une procédure contradictoire :
« 1° Décider l'interruption de la mise en oeuvre du traitement,
pour une durée maximale de trois mois, si le traitement n'est pas au
nombre de ceux qui sont mentionnés au I et au II de l'article 26, ou de
ceux mentionnés à l'article 27 mis en oeuvre par l'Etat ;
« 2° Décider le verrouillage de certaines des données à caractère
personnel traitées, pour une durée maximale de trois mois, si le
traitement n'est pas au nombre de ceux qui sont mentionnés au I et au
II de l'article 26 ;
« 3° Informer le Premier ministre pour qu'il prenne, le cas
échéant, les mesures permettant de faire cesser la violation constatée,
si le traitement en cause est au nombre de ceux qui sont mentionnés au
I et au II de l'article 26 ; le Premier ministre fait alors connaître à
la commission les suites qu'il a données à cette information au plus
tard quinze jours après l'avoir reçue.
« III. - En cas d'atteinte grave et immédiate aux droits et
libertés mentionnés à l'article 1er, le président de la commission peut
demander, par la voie du référé, à la juridiction compétente
d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité
nécessaire à la sauvegarde de ces droits et libertés.
« Art. 46. - Les sanctions prévues au I et au 1° du II de
l'article 45 sont prononcées sur la base d'un rapport établi par l'un
des membres de la Commission nationale de l'informatique et des
libertés, désigné par le président de celle-ci parmi les membres
n'appartenant pas à la formation restreinte. Ce rapport est notifié au
responsable du traitement, qui peut déposer des observations et se
faire représenter ou assister. Le rapporteur peut présenter des
observations orales à la commission mais ne prend pas part à ses
délibérations. La commission peut entendre toute personne dont
l'audition lui paraît susceptible de contribuer utilement à son
information.
« La commission peut rendre publics les avertissements qu'elle
prononce. Elle peut également, en cas de mauvaise foi du responsable du
traitement, ordonner l'insertion des autres sanctions qu'elle prononce
dans des publications, journaux et supports qu'elle désigne. Les frais
sont supportés par les personnes sanctionnées.
« Les décisions prises par la commission au titre de l'article 45
sont motivées et notifiées au responsable du traitement. Les décisions
prononçant une sanction peuvent faire l'objet d'un recours de pleine
juridiction devant le Conseil d'Etat.
« Art. 47. - Le montant de la sanction pécuniaire prévue au I de
l'article 45 est proportionné à la gravité des manquements commis et
aux avantages tirés de ce manquement.
« Lors du premier manquement, il ne peut excéder 150 000 EUR. En
cas de manquement réitéré dans les cinq années à compter de la date à
laquelle la sanction pécuniaire précédemment prononcée est devenue
définitive, il ne peut excéder 300 000 EUR ou, s'agissant d'une
entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice
clos dans la limite de 300 000 EUR.
« Lorsque la Commission nationale de l'informatique et des
libertés a prononcé une sanction pécuniaire devenue définitive avant
que le juge pénal ait statué définitivement sur les mêmes faits ou des
faits connexes, celui-ci peut ordonner que la sanction pécuniaire
s'impute sur l'amende qu'il prononce.
« Les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
« Art. 48. - La commission peut exercer les pouvoirs prévus à
l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 à
l'égard des traitements dont les opérations sont mises en oeuvre, en
tout ou partie, sur le territoire national, y compris lorsque le
responsable du traitement est établi sur le territoire d'un autre Etat
membre de la Communauté européenne.
« Art. 49. - La commission peut, à la demande d'une autorité
exerçant des compétences analogues aux siennes dans un autre Etat
membre de la Communauté européenne, procéder à des vérifications dans
les mêmes conditions, selon les mêmes procédures et sous les mêmes
sanctions que celles prévues à l'article 45, sauf s'il s'agit d'un
traitement mentionné au I ou au II de l'article 26.
« La commission est habilitée à communiquer les informations
qu'elle recueille ou qu'elle détient, à leur demande, aux autorités
exerçant des compétences analogues aux siennes dans d'autres Etats
membres de la Communauté européenne. »
Article 8
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre VIII ainsi rédigé :
« Chapitre VIII
« Dispositions pénales
« Art. 50. - Les infractions aux dispositions de la présente loi
sont prévues et réprimées par les articles 226-16 à 226-24 du code
pénal.
« Art. 51. - Est puni d'un an d'emprisonnement et de 15 000 EUR
d'amende le fait d'entraver l'action de la Commission nationale de
l'informatique et des libertés :
« 1° Soit en s'opposant à l'exercice des missions confiées à ses
membres ou aux agents habilités en application du dernier alinéa de
l'article 19 ;
« 2° Soit en refusant de communiquer à ses membres ou aux agents
habilités en application du dernier alinéa de l'article 19 les
renseignements et documents utiles à leur mission, ou en dissimulant
lesdits documents ou renseignements, ou en les faisant disparaître ;
« 3° Soit en communiquant des informations qui ne sont pas
conformes au contenu des enregistrements tel qu'il était au moment où
la demande a été formulée ou qui ne présentent pas ce contenu sous une
forme directement accessible.
« Art. 52. - Le procureur de la République avise le président de
la Commission nationale de l'informatique et des libertés de toutes les
poursuites relatives aux infractions aux dispositions de la section 5
du chapitre VI du titre II du livre II du code pénal et, le cas
échéant, des suites qui leur sont données. Il l'informe de la date et
de l'objet de l'audience de jugement par lettre recommandée adressée au
moins dix jours avant cette date.
« La juridiction d'instruction ou de jugement peut appeler le
président de la Commission nationale de l'informatique et des libertés
ou son représentant à déposer ses observations ou à les développer
oralement à l'audience. »
Article 9
I. - Le chapitre V bis de la loi n° 78-17 du 6 janvier 1978
précitée devient le chapitre IX et est intitulé : « Traitements de
données à caractère personnel ayant pour fin la recherche dans le
domaine de la santé ».
II. - Les articles 40-1 à 40-8 de la même loi deviennent les articles 53 à 60 et sont ainsi modifiés :
1° Au premier alinéa des articles 40-1, 40-3 et 40-8, le mot : « automatisés » est supprimé ;
2° Au premier alinéa des articles 40-1, 40-2, 40-3 et 40-5, ainsi
qu'à l'article 40-7, les mots : « données nominatives » sont remplacés
par les mots : « données à caractère personnel » ;
3° Au premier alinéa de l'article 40-1, les mots : « à l'exception
des articles 15, 16, 17, 26 et 27 » sont remplacés par les mots : « à
l'exception des articles 23 à 26, 32 et 38 » ;
4° Le quatrième alinéa de l'article 40-2 est remplacé par cinq alinéas ainsi rédigés :
« La mise en oeuvre du traitement de données est ensuite soumise à
l'autorisation de la Commission nationale de l'informatique et des
libertés, qui se prononce dans les conditions prévues à l'article 25.
« Pour les catégories les plus usuelles de traitements automatisés
ayant pour finalité la recherche dans le domaine de la santé et portant
sur des données ne permettant pas une identification directe des
personnes concernées, la commission peut homologuer et publier des
méthodologies de référence, établies en concertation avec le comité
consultatif ainsi qu'avec les organismes publics et privés
représentatifs, et destinées à simplifier la procédure prévue aux
quatre premiers alinéas du présent article.
« Ces méthodologies précisent, eu égard aux caractéristiques
mentionnées à l'article 30, les normes auxquelles doivent correspondre
les traitements pouvant faire l'objet d'une demande d'avis et d'une
demande d'autorisation simplifiées.
« Pour les traitements répondant à ces normes, seul un engagement
de conformité à l'une d'entre elles est envoyé à la commission. Le
président de la commission peut autoriser ces traitements à l'issue
d'une procédure simplifiée d'examen.
« Pour les autres catégories de traitements, le comité consultatif
fixe, en concertation avec la Commission nationale de l'informatique et
des libertés, les conditions dans lesquelles son avis n'est pas requis.
» ;
5° La dernière phrase du deuxième alinéa de l'article 40-3 est remplacée par deux phrases ainsi rédigées :
« La demande d'autorisation comporte la justification scientifique
et technique de la dérogation et l'indication de la période nécessaire
à la recherche. A l'issue de cette période, les données sont conservées
et traitées dans les conditions fixées à l'article 36. » ;
6° Le premier alinéa de l'article 40-4 est ainsi rédigé :
« Toute personne a le droit de s'opposer à ce que les données à
caractère personnel la concernant fassent l'objet de la levée du secret
professionnel rendue nécessaire par un traitement de la nature de ceux
qui sont visés à l'article 53. » ;
7° Au cinquième alinéa de l'article 40-5, les mots : « institué au
chapitre V » sont remplacés par les mots : « institué aux articles 39
et 40 » ;
8° A l'article 40-6, le mot : « tuteur » est remplacé par les mots
: « représentant légal » et les mots : « protection légale » par le mot
: « tutelle » ;
9° Au second alinéa de l'article 40-8, les mots : « au contrôle
prévu par le 2° de l'article 21 » sont remplacés par les mots : « aux
vérifications prévues par le f du 2° de l'article 11 ».
III. - Les articles 40-9 et 40-10 de la même loi sont abrogés.
IV. - Le chapitre IX de la même loi est complété par un article 61 ainsi rédigé :
« Art. 61. - La transmission vers un Etat n'appartenant pas à la
Communauté européenne de données à caractère personnel non codées
faisant l'objet d'un traitement ayant pour fin la recherche dans le
domaine de la santé n'est autorisée, dans les conditions prévues à
l'article 54, que sous réserve du respect des règles énoncées au
chapitre XII. »
Article 10
I. - Le chapitre V ter de la loi n° 78-17 du 6 janvier 1978
précitée devient le chapitre X et est intitulé : « Traitements de
données de santé à caractère personnel à des fins d'évaluation ou
d'analyse des pratiques ou des activités de soins et de prévention ».
II. - Les articles 40-11 à 40-15 de la même loi deviennent les articles 62 à 66 et sont ainsi modifiés :
1° Au premier alinéa de l'article 40-11, les mots : « traitements
de données personnelles de santé » sont remplacés par les mots : «
traitements de données de santé à caractère personnel » et, au deuxième
alinéa de ce même article, les mots : « données personnelles » sont
remplacés par les mots : « données à caractère personnel ». La
référence à l'article L. 710-6 du code de la santé publique est
remplacée par une référence à l'article L. 6113-7 ;
2° Au premier alinéa de l'article 40-13, les mots : « données
personnelles » sont remplacés par les mots : « données à caractère
personnel » ;
3° La dernière phrase du premier alinéa de l'article 40-14 est supprimée ;
4° Au premier alinéa de l'article 40-15, les mots : « lorsqu'ils
demeurent indirectement nominatifs » sont remplacés par les mots : «
lorsqu'ils permettent indirectement d'identifier les personnes
concernées ».
Article 11
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XI ainsi rédigé :
« Chapitre XI
« Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique
« Art. 67. - Le 5° de l'article 6, les articles 8, 9, 22, les 1°
et 3° du I de l'article 25, les articles 32, 39, 40 et 68 à 70 ne
s'appliquent pas aux traitements de données à caractère personnel mis
en oeuvre aux seules fins :
« 1° D'expression littéraire et artistique ;
« 2° D'exercice, à titre professionnel, de l'activité de
journaliste, dans le respect des règles déontologiques de cette
profession.
« Toutefois, pour les traitements mentionnés au 2°, la dispense de
l'obligation de déclaration prévue par l'article 22 est subordonnée à
la désignation par le responsable du traitement d'un correspondant à la
protection des données appartenant à un organisme de la presse écrite
ou audiovisuelle, chargé de tenir un registre des traitements mis en
oeuvre par ce responsable et d'assurer, d'une manière indépendante,
l'application des dispositions de la présente loi. Cette désignation
est portée à la connaissance de la Commission nationale de
l'informatique et des libertés.
« En cas de non-respect des dispositions de la loi applicables aux
traitements prévus par le présent article, le responsable du traitement
est enjoint par la Commission nationale de l'informatique et des
libertés de se mettre en conformité avec la loi. En cas de manquement
constaté à ses devoirs, le correspondant est déchargé de ses fonctions
sur demande, ou après consultation, de la Commission nationale de
l'informatique et des libertés.
« Les dispositions des alinéas précédents ne font pas obstacle à
l'application des dispositions du code civil, des lois relatives à la
presse écrite ou audiovisuelle et du code pénal, qui prévoient les
conditions d'exercice du droit de réponse et qui préviennent, limitent,
réparent et, le cas échéant, répriment les atteintes à la vie privée et
à la réputation des personnes. »
Article 12
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XIl ainsi rédigé :
« Chapitre XII
« Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne
« Art. 68. - Le responsable d'un traitement ne peut transférer des
données à caractère personnel vers un Etat n'appartenant pas à la
Communauté européenne que si cet Etat assure un niveau de protection
suffisant de la vie privée et des libertés et droits fondamentaux des
personnes à l'égard du traitement dont ces données font l'objet ou
peuvent faire l'objet.
« Le caractère suffisant du niveau de protection assuré par un
Etat s'apprécie en fonction notamment des dispositions en vigueur dans
cet Etat, des mesures de sécurité qui y sont appliquées, des
caractéristiques propres du traitement, telles que ses fins et sa
durée, ainsi que de la nature, de l'origine et de la destination des
données traitées.
« Art. 69. - Toutefois, le responsable d'un traitement peut
transférer des données à caractère personnel vers un Etat ne répondant
pas aux conditions prévues à l'article 68 si la personne à laquelle se
rapportent les données a consenti expressément à leur transfert ou si
le transfert est nécessaire à l'une des conditions suivantes :
« 1° A la sauvegarde de la vie de cette personne ;
« 2° A la sauvegarde de l'intérêt public ;
« 3° Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;
« 4° A la consultation, dans des conditions régulières, d'un
registre public qui, en vertu de dispositions législatives ou
réglementaires, est destiné à l'information du public et est ouvert à
la consultation de celui-ci ou de toute personne justifiant d'un
intérêt légitime ;
« 5° A l'exécution d'un contrat entre le responsable du traitement
et l'intéressé, ou de mesures précontractuelles prises à la demande de
celui-ci ;
« 6° A la conclusion ou à l'exécution d'un contrat conclu ou à
conclure, dans l'intérêt de la personne concernée, entre le responsable
du traitement et un tiers.
« Il peut également être fait exception à l'interdiction prévue à
l'article 68, par décision de la Commission nationale de l'informatique
et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II
de l'article 26, par décret en Conseil d'Etat pris après avis motivé et
publié de la commission, lorsque le traitement garantit un niveau de
protection suffisant de la vie privée ainsi que des libertés et droits
fondamentaux des personnes, notamment en raison des clauses
contractuelles ou règles internes dont il fait l'objet.
« La Commission nationale de l'informatique et des libertés porte
à la connaissance de la Commission des Communautés européennes et des
autorités de contrôle des autres Etats membres de la Communauté
européenne les décisions d'autorisation de transfert de données à
caractère personnel qu'elle prend au titre de l'alinéa précédent.
« Art. 70. - Si la Commission des Communautés européennes a
constaté qu'un Etat n'appartenant pas à la Communauté européenne
n'assure pas un niveau de protection suffisant à l'égard d'un transfert
ou d'une catégorie de transferts de données à caractère personnel, la
Commission nationale de l'informatique et des libertés, saisie d'une
déclaration déposée en application des articles 23 ou 24 et faisant
apparaître que des données à caractère personnel seront transférées
vers cet Etat, délivre le récépissé avec mention de l'interdiction de
procéder au transfert des données.
« Lorsqu'elle estime qu'un Etat n'appartenant pas à la Communauté
européenne n'assure pas un niveau de protection suffisant à l'égard
d'un transfert ou d'une catégorie de transferts de données, la
Commission nationale de l'informatique et des libertés en informe sans
délai la Commission des Communautés européennes. Lorsqu'elle est saisie
d'une déclaration déposée en application des articles 23 ou 24 et
faisant apparaître que des données à caractère personnel seront
transférées vers cet Etat, la Commission nationale de l'informatique et
des libertés délivre le récépissé et peut enjoindre au responsable du
traitement de suspendre le transfert des données. Si la Commission des
Communautés européennes constate que l'Etat vers lequel le transfert
est envisagé assure un niveau de protection suffisant, la Commission
nationale de l'informatique et des libertés notifie au responsable du
traitement la cessation de la suspension du transfert. Si la Commission
des Communautés européennes constate que l'Etat vers lequel le
transfert est envisagé n'assure pas un niveau de protection suffisant,
la Commission nationale de l'informatique et des libertés notifie au
responsable du traitement l'interdiction de procéder au transfert de
données à caractère personnel à destination de cet Etat. »
Article 13
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XIII ainsi rédigé :
« Chapitre XIII
« Dispositions diverses
« Art. 71. - Des décrets en Conseil d'Etat, pris après avis de la
Commission nationale de l'informatique et des libertés, fixent les
modalités d'application de la présente loi.
« Art. 72. - La présente loi est applicable en Polynésie
française, dans les îles Wallis et Futuna, dans les Terres australes et
antarctiques françaises, en Nouvelle-Calédonie et à Mayotte.
« Par dérogation aux dispositions du deuxième alinéa de l'article
54, le comité consultatif dispose d'un délai de deux mois pour
transmettre son avis au demandeur lorsque celui-ci réside dans l'une de
ces collectivités. En cas d'urgence, ce délai peut être ramené à un
mois. »
TITRE II
DISPOSITIONS MODIFIANT
D'AUTRES TEXTES LÉGISLATIFS
Article 14
I. - Les articles 226-16 à 226-23 du code pénal sont remplacés par quatorze articles ainsi rédigés :
« Art. 226-16. - Le fait, y compris par négligence, de procéder ou
de faire procéder à des traitements de données à caractère personnel
sans qu'aient été respectées les formalités préalables à leur mise en
oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de
300 000 EUR d'amende.
« Est puni des mêmes peines le fait, y compris par négligence, de
procéder ou de faire procéder à un traitement qui a fait l'objet de
l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés.
« Art. 226-16-1 A. - Lorsqu'il a été procédé ou fait procéder à un
traitement de données à caractère personnel dans les conditions prévues
par le I ou le II de l'article 24 de la loi n° 78-17 du 6 janvier 1978
précitée, le fait de ne pas respecter, y compris par négligence, les
normes simplifiées ou d'exonération établies à cet effet par la
Commission nationale de l'informatique et des libertés est puni de cinq
ans d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-16-1. - Le fait, hors les cas où le traitement a été
autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier
1978 précitée, de procéder ou faire procéder à un traitement de données
à caractère personnel incluant parmi les données sur lesquelles il
porte le numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-17. - Le fait de procéder ou de faire procéder à un
traitement de données à caractère personnel sans mettre en oeuvre les
mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978
précitée est puni de cinq ans d'emprisonnement et de 300 000 EUR
d'amende.
« Art. 226-18. - Le fait de collecter des données à caractère
personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq
ans d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-18-1. - Le fait de procéder à un traitement de données
à caractère personnel concernant une personne physique malgré
l'opposition de cette personne, lorsque ce traitement répond à des fins
de prospection, notamment commerciale, ou lorsque cette opposition est
fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement
et de 300 000 EUR d'amende.
« Art. 226-19. - Le fait, hors les cas prévus par la loi, de
mettre ou de conserver en mémoire informatisée, sans le consentement
exprès de l'intéressé, des données à caractère personnel qui,
directement ou indirectement, font apparaître les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses, ou
les appartenances syndicales des personnes, ou qui sont relatives à la
santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans
d'emprisonnement et de 300 000 EUR d'amende.
« Est puni des mêmes peines le fait, hors les cas prévus par la
loi, de mettre ou de conserver en mémoire informatisée des données à
caractère personnel concernant des infractions, des condamnations ou
des mesures de sûreté.
« Art. 226-19-1. - En cas de traitement de données à caractère
personnel ayant pour fin la recherche dans le domaine de la santé, est
puni de cinq ans d'emprisonnement et de 300 000 EUR d'amende le fait de
procéder à un traitement :
« 1° Sans avoir préalablement informé individuellement les
personnes sur le compte desquelles des données à caractère personnel
sont recueillies ou transmises de leur droit d'accès, de rectification
et d'opposition, de la nature des données transmises et des
destinataires de celles-ci ;
« 2° Malgré l'opposition de la personne concernée ou, lorsqu'il
est prévu par la loi, en l'absence du consentement éclairé et exprès de
la personne, ou s'il s'agit d'une personne décédée, malgré le refus
exprimé par celle-ci de son vivant.
« Art. 226-20. - Le fait de conserver des données à caractère
personnel au-delà de la durée prévue par la loi ou le règlement, par la
demande d'autorisation ou d'avis, ou par la déclaration préalable
adressée à la Commission nationale de l'informatique et des libertés,
est puni de cinq ans d'emprisonnement et de 300 000 EUR d'amende, sauf
si cette conservation est effectuée à des fins historiques,
statistiques ou scientifiques dans les conditions prévues par la loi.
« Est puni des mêmes peines le fait, hors les cas prévus par la
loi, de traiter à des fins autres qu'historiques, statistiques ou
scientifiques des données à caractère personnel conservées au-delà de
la durée mentionnée au premier alinéa.
« Art. 226-21. - Le fait, par toute personne détentrice de données
à caractère personnel à l'occasion de leur enregistrement, de leur
classement, de leur transmission ou de toute autre forme de traitement,
de détourner ces informations de leur finalité telle que définie par la
disposition législative, l'acte réglementaire ou la décision de la
Commission nationale de l'informatique et des libertés autorisant le
traitement automatisé, ou par les déclarations préalables à la mise en
oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de
300 000 EUR d'amende.
« Art. 226-22. - Le fait, par toute personne qui a recueilli, à
l'occasion de leur enregistrement, de leur classement, de leur
transmission ou d'une autre forme de traitement, des données à
caractère personnel dont la divulgation aurait pour effet de porter
atteinte à la considération de l'intéressé ou à l'intimité de sa vie
privée, de porter, sans autorisation de l'intéressé, ces données à la
connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni
de cinq ans d'emprisonnement et de 300 000 EUR d'amende.
« La divulgation prévue à l'alinéa précédent est punie de trois
ans d'emprisonnement et de 100 000 EUR d'amende lorsqu'elle a été
commise par imprudence ou négligence.
« Dans les cas prévus aux deux alinéas précédents, la poursuite ne
peut être exercée que sur plainte de la victime, de son représentant
légal ou de ses ayants droit.
« Art. 226-22-1. - Le fait, hors les cas prévus par la loi, de
procéder ou de faire procéder à un transfert de données à caractère
personnel faisant l'objet ou destinées à faire l'objet d'un traitement
vers un Etat n'appartenant pas à la Communauté européenne en violation
des mesures prises par la Commission des Communautés européennes ou par
la Commission nationale de l'informatique et des libertés mentionnées à
l'article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de
cinq ans d'emprisonnement et de 300 000 EUR d'amende.
« Art. 226-22-2. - Dans les cas prévus aux articles 226-16 à
226-22-1, l'effacement de tout ou partie des données à caractère
personnel faisant l'objet du traitement ayant donné lieu à l'infraction
peut être ordonné. Les membres et les agents de la Commission nationale
de l'informatique et des libertés sont habilités à constater
l'effacement de ces données.
« Art. 226-23. - Les dispositions de l'article 226-19 sont
applicables aux traitements non automatisés de données à caractère
personnel dont la mise en oeuvre ne se limite pas à l'exercice
d'activités exclusivement personnelles. »
II. - Au premier alinéa de l'article 226-24 du même code, les mots
: « aux articles 226-16 à 226-21 et 226-23 ainsi qu'au premier alinéa
de l'article 226-22 » sont remplacés par les mots : « à la présente
section ».
Article 15
I. - Le I de l'article 10 de la loi n° 95-73 du 21 janvier 1995
d'orientation et de programmation relative à la sécurité est ainsi
rédigé :
« I. - Les enregistrements visuels de vidéosurveillance répondant
aux conditions fixées au II sont soumis aux dispositions ci-après, à
l'exclusion de ceux qui sont utilisés dans des traitements automatisés
ou contenus dans des fichiers structurés selon des critères permettant
d'identifier, directement ou indirectement, des personnes physiques,
qui sont soumis à la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés. »
II. - Il est inséré, après le VI du même article, un VI bis ainsi rédigé :
« VI bis. - Le Gouvernement transmet chaque année à la Commission
nationale de l'informatique et des libertés un rapport faisant état de
l'activité des commissions départementales visées au III et des
conditions d'application du présent article. »
Article 16
Après l'article 14 de la loi n° 99-944 du 15 novembre 1999 relative
au pacte civil de solidarité, il est inséré un article 14-1 ainsi
rédigé :
« Art. 14-1. - Les tribunaux d'instance établissent des
statistiques semestrielles relatives au nombre de pactes civils de
solidarité conclus dans leur ressort. Ces statistiques recensent
également le nombre des pactes ayant pris fin en distinguant les cas
mentionnés à l'article 515-7 du code civil, la durée moyenne des pactes
ainsi que l'âge moyen des personnes concernées. Par dérogation aux
dispositions du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, elles
distinguent les données relatives aux pactes conclus :
« - entre des personnes de sexe différent ;
« - entre des personnes de sexe féminin ;
« - entre des personnes de sexe masculin. »
Article 17
I. - Dans le deuxième alinéa de l'article L. 33-4 du code des
postes et des télécommunications, les références : « 35 et 36 » sont
remplacées par les références : « 39 et 40 ».
II. - Dans la première phrase du premier alinéa de l'article L.
1131-4 du code de la santé publique, la référence : « chapitre V bis »
est remplacée par la référence : « chapitre IX ».
III. - Dans la première phrase du dernier alinéa de l'article L.
262-33 du code de l'action sociale et des familles, la référence : « à
l'article 15 » est remplacée par la référence : « au chapitre IV ».
IV. - Dans le dernier alinéa de l'article L. 522-8 du même code,
la référence : « à l'article 15 » est remplacée par la référence : « au
chapitre IV ».
V. - 1. Le premier alinéa de l'article 777-3 du code de procédure pénale est ainsi rédigé :
« Aucune interconnexion au sens du 3° du I de l'article 30 de la
loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés ne peut être effectuée entre le casier judiciaire
national automatisé et tout autre fichier ou traitement de données à
caractère personnel détenus par une personne quelconque ou par un
service de l'Etat ne dépendant pas du ministère de la justice. »
2. Dans le deuxième alinéa du même article, les mots : « recueil
de données nominatives » sont remplacés par les mots : « traitement de
données à caractère personnel ».
VI. - Le dernier alinéa de l'article L. 723-43 du code rural est ainsi rédigé :
« Le contenu, l'emploi et les conditions de cette communication
sont déterminés selon les modalités de l'article 27 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés. »
VII. - Dans le deuxième alinéa de l'article L. 311-5-1 du code du
travail, la référence : « à l'article 15 » est remplacée par la
référence : « au chapitre IV ».
VIII. - Dans le dernier alinéa de l'article L. 115-2 du code de la
sécurité sociale, la référence : « l'article 15 » est remplacée par la
référence : « l'article 27 ».
IX. - Dans le dernier alinéa de l'article 1er de la loi n° 84-575
du 9 juillet 1984 portant diverses dispositions d'ordre social, la
référence : « l'article 15 » est remplacée par la référence : «
l'article 27 ».
X. - Dans le III de l'article 78 de la loi n° 85-10 du 3 janvier
1985 portant diverses dispositions d'ordre social, la référence : «
l'article 15 » est remplacée par la référence : « l'article 27 ».
XI. - Dans l'avant-dernier alinéa du I de l'article 64 de la loi
n° 95-116 du 4 février 1995 portant diverses dispositions d'ordre
social, la référence : « l'article 15 » est remplacée par la référence
: « l'article 27 ».
Article 18
I. - Dans l'article L. 262-51 du code de l'action sociale et des
familles, les mots : « de l'article 15 » sont remplacés par les mots :
« du chapitre IV ».
II. - Dans le premier alinéa de l'article 60-2 du code de
procédure pénale, les mots : « de l'article 31 et à l'article 33 » sont
remplacés par les mots : « du 3° du II de l'article 8 et au 2° de
l'article 67 ».
III. - Dans le premier alinéa de l'article 706-53-11 du code de
procédure pénale, la référence : « 19 » est remplacée par la référence
: « 30 ».
IV. - Dans la deuxième phrase du troisième alinéa de l'article L.
1111-8 du code de la santé publique, la référence : « 29 » est
remplacée par la référence : « 34 ».
V. - Dans le dernier alinéa de l'article L. 115-7 du code de la
sécurité sociale, les mots : « autorisée dans les conditions prévues à
l'article 15 » sont remplacés par les mots : « selon les modalités
prévues au chapitre IV ».
VI. - L'avant-dernier alinéa de l'article L. 161-28-1 du code de la sécurité sociale est ainsi rédigé :
« Cet arrêté est pris après avis motivé de la Commission nationale de l'informatique et des libertés. »
VII. - Le début du septième alinéa de l'article 7 bis de la loi n°
51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en
matière de statistiques est ainsi rédigé : « Les cessions portant sur
des données à caractère personnel, telles qu'elles sont définies à
l'article 2 de la loi... (le reste sans changement). »
VIII. - L'article L. 212-4 du code du patrimoine est ainsi modifié :
1° Le premier alinéa est ainsi rédigé :
« Lorsque les documents visés à l'article L. 211-4 comportent des
données à caractère personnel collectées dans le cadre de traitements
automatisés régis par la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés, ces données font l'objet,
à l'expiration de la durée prévue au 5° de l'article 6 de ladite loi,
d'un tri pour déterminer les données destinées à être conservées et
celles, dépourvues d'intérêt scientifique, statistique ou historique,
destinées à être détruites. » ;
2° Dans le dernier alinéa, les mots : « d'informations » sont remplacés par les mots : « de données ».
IX. - Dans le dernier alinéa de l'article L. 333-4 du code de la
consommation, la référence : « 35 » est remplacée par la référence : «
39 ».
Article 19
La première phrase de l'article 24 de la loi n° 2003-239 du 18 mars
2003 pour la sécurité intérieure est remplacée par deux phrases ainsi
rédigées :
« Les données contenues dans les traitements automatisés de
données à caractère personnel gérés par les services de police et de
gendarmerie nationales peuvent être transmises, dans le cadre des
engagements internationaux régulièrement introduits dans l'ordre
juridique interne, à des organismes de coopération internationale en
matière de police judiciaire ou à des services de police étrangers, qui
représentent un niveau de protection suffisant de la vie privée, des
libertés et des droits fondamentaux des personnes à l'égard du
traitement dont ces données font l'objet ou peuvent faire l'objet. Le
caractère suffisant du niveau de protection assuré par un Etat
s'apprécie en fonction notamment des dispositions en vigueur dans cet
Etat, des mesures de sécurité qui y sont appliquées, des
caractéristiques propres du traitement, telles que ses fins et sa
durée, ainsi que de la nature, de l'origine et de la destination des
données traitées. »
TITRE III
DISPOSITIONS TRANSITOIRES
Article 20
I. - Les responsables de traitements de données à caractère
personnel dont la mise en oeuvre est régulièrement intervenue avant la
publication de la présente loi disposent, à compter de cette date, d'un
délai de trois ans pour mettre leurs traitements en conformité avec les
dispositions de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés, dans leur rédaction issue
de la présente loi. Lorsque cette mise en conformité n'a pas pour effet
de modifier les caractéristiques des traitements mentionnées à
l'article 30 de la loi n° 78-17 du 6 janvier 1978 précitée, dans sa
rédaction issue de la présente loi, les traitements sont réputés avoir
satisfait aux dispositions prévues au chapitre IV.
Les dispositions de la loi n° 78-17 du 6 janvier 1978 précitée,
dans sa rédaction antérieure à la présente loi, demeurent applicables
aux traitements qui y étaient soumis jusqu'à ce qu'ils aient été mis en
conformité avec les dispositions de la loi n° 78-17 du 6 janvier 1978
précitée, dans leur rédaction issue de la présente loi, et, au plus
tard, jusqu'à l'expiration du délai de trois ans prévu à l'alinéa
précédent. Toutefois, les dispositions des articles 38, 44 à 49 et 68 à
70 de la loi n° 78-17 du 6 janvier 1978 précitée, dans leur rédaction
issue de la présente loi, leur sont immédiatement applicables.
II. - Par dérogation aux dispositions du I, les responsables de
traitements non automatisés de données à caractère personnel dont la
mise en oeuvre est régulièrement intervenue avant la date de
publication de la présente loi disposent, pour mettre leurs traitements
en conformité avec les articles 6 à 9 de la loi n° 78-17 du 6 janvier
1978 précitée, dans leur rédaction issue de la présente loi, d'un délai
allant jusqu'au 24 octobre 2007.
Les dispositions de l'article 25, du I de l'article 28 ainsi que
des articles 30, 31 et 37 de la loi n° 78-17 du 6 janvier 1978
précitée, dans leur rédaction antérieure à la présente loi, demeurent
applicables aux traitements non automatisés qui y étaient soumis
jusqu'à ce qu'ils aient été mis en conformité avec les dispositions des
articles 6 à 9 de la loi n° 78-17 du 6 janvier 1978 précitée, dans leur
rédaction issue de la présente loi et, au plus tard, jusqu'au 24
octobre 2007.
Article 21
Les responsables de traitements non automatisés de données à
caractère personnel intéressant la sûreté de l'Etat, la défense et la
sécurité publique, dont la mise en oeuvre est régulièrement intervenue
avant la date de publication de la présente loi disposent, pour mettre
leurs traitements en conformité avec les articles 6 à 9 de la loi n°
78-17 du 6 janvier 1978 précitée, dans leur rédaction issue de la
présente loi, d'un délai allant jusqu'au 24 octobre 2010.
Article 22
I. - Les membres de la Commission nationale de l'informatique et
des libertés en exercice au moment de la publication de la présente loi
demeurent en fonction jusqu'au terme normal de leur mandat.
II. - Les nominations et renouvellements de membres de la
Commission nationale de l'informatique et des libertés intervenus avant
la publication de la présente loi ne sont pas pris en compte pour
l'application des règles mentionnées au premier alinéa du II de
l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée dans sa
rédaction issue de la présente loi.
La présente loi sera exécutée comme loi de l'Etat.
Fait à Saint-Paul, le 6 août 2004.
Jacques Chirac
Par le Président de la République :
Le Premier ministre,
Jean-Pierre Raffarin
Le garde des sceaux, ministre de la justice,
Dominique Perben
La ministre de l'outre-mer,
Brigitte Girardin
(1) Loi n° 2004-801.
- Directives communautaires :
Directive 95/46 du Parlement et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation
de ces données.
- Travaux préparatoires :
Assemblée nationale :
Projet de loi n° 3250 ;
Rapport de M. Gérard Gouzes, au nom de la commission des lois, n° 3526 ;
Discussion et adoption le 30 janvier 2002.
Sénat :
Projet de loi, adopté par l'Assemblée nationale, n° 203 (2001-2002) ;
Rapport de M. Alex Türk, au nom de la commission des lois, n° 218 (2002-2003) ;
Discussion et adoption le 1er avril 2003.
Assemblée nationale :
Projet de loi, modifié par le Sénat, n° 762 ;
Rapport de M. Francis Delattre, au nom de la commission des lois, n° 1537 ;
Discussion et adoption le 29 avril 2004.
Sénat :
Projet de loi, adopté avec modifications par l'Assemblée nationale, n° 285 (2003-2004) ;
Rapport de M. Alex Türk, au nom de la commission des lois, n° 367 (2003-2004) ;
Discussion et adoption le 15 juillet 2004.
- Conseil constitutionnel :
Décision n° 2004-499 DC du 29 juillet 2004 publiée au Journal officiel de ce jour.
|