From 50cc558cba76dcf3a20f88b8fb1eea1c9c7a3e1c Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?S=C3=A9nat?= Date: Tue, 20 Mar 2018 10:44:58 +0100 Subject: [PATCH] Travaux en hemicycle --- texte | 234 +++++++++++++++++++++++++++++++++++++--------------------- 1 file changed, 148 insertions(+), 86 deletions(-) diff --git a/texte b/texte index 29c97d2..f7bd91f 100644 --- a/texte +++ b/texte @@ -8,33 +8,32 @@ L'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, a aa) Le premier alinéa est complété par les mots : "et aux dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France" ; a) Au a, les mots : "autorise les traitements mentionnés à l'article 25," et les mots : "et reçoit les déclarations relatives aux autres traitements" sont supprimés ; b) Après le même a, il est inséré un a bis ainsi rédigé : -"a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ;" +"a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ;" c) Le b est ainsi rédigé : "b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en oeuvre pour le compte de l'État agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;" -d) Après le f, il est inséré un f bis ainsi rédigé : -"f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation, mentionné au b du 1 de l'article 43 du même règlement, dans des conditions précisées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément. Elle peut établir des exigences supplémentaires en matière de normes d'accréditation ;" +d) Après le f, sont insérés des f bis et f ter ainsi rédigés : +"f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation, mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ; +"f ter) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l'autorité nationale en matière de sécurité et de défense des systèmes d'information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu'ils garantissent la possibilité de désactiver la collecte des données de l'utilisateur et qu'ils répondent à des exigences élevées en matière de sécurité ;" e) Au g, après le mot : "certification", sont insérés les mots : ", par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°," ; f) À la fin du h, les mots : "d'accès concernant les traitements mentionnés aux articles 41 et 42" sont remplacés par les mots : "ou saisines prévues aux articles 41, 42 et 70-22" ; g) Sont ajoutés des i et j ainsi rédigés : -"i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ; -"j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application des dispositions de la présente loi ;" +"i) Elle établit une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ; +"j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;" 4° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée : "Elle peut également être consultée par le Président de l'Assemblée nationale ou par le Président du Sénat sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel." ; 5° Après le même 4°, il est inséré un 5° ainsi rédigé : "5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France." ; 6° Au début du vingt-sixième alinéa, est ajoutée la mention : "II. -" ; 7° L'avant-dernier alinéa est supprimé. -# Article 1er bis - - # Article 2 Au 7° du I de l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : "numérique", sont insérés les mots : "ou des questions touchant aux libertés individuelles". # Article 2 bis -L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par deux alinéas ainsi rédigés : -"- aux a et h du 3 de l'article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. +L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par trois alinéas ainsi rédigés : +"- au 4 de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ; +"- aux a et h du 3 de l'article 58 du même règlement. "Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature." # Article 3 @@ -57,8 +56,9 @@ b) La dernière phrase du dernier alinéa est complétée par les mots : "dont l 3° Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés : "Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l'accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical. "Le secret médical est opposable s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l'autorité et en présence d'un médecin." ; -4° Avant le dernier alinéa du même III, il est inséré un alinéa ainsi rédigé : -"Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d'emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations." ; +4° Avant le dernier alinéa du même III, sont insérés deux alinéas ainsi rédigés : +"Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d'emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations. +"Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts." ; 5° Il est ajouté un V ainsi rédigé : "V. - Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions." @@ -75,7 +75,7 @@ La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : 2° Après le même article 49, sont insérés des articles 49-1 à 49-4 ainsi rédigés : "Art. 49-1. - I. - Pour l'application de l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés coopère avec les autorités de contrôle des autres États membres de l'Union européenne, dans les conditions prévues au présent article. "II. - Qu'elle agisse en tant qu'autorité de contrôle chef de file ou en tant qu'autorité concernée au sens des articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs d'autres États membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes qu'il décide de conduire. -"III. - Lorsqu'une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu'autorité de contrôle d'accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l'opération. À la demande de l'autorité de contrôle d'un État membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l'article 19 de la présente loi, à exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d'enquête dont disposent les membres et les agents de la commission. +"III. - Lorsqu'une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu'autorité de contrôle d'accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l'opération. À la demande de l'autorité de contrôle d'un État membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l'article 19 de la présente loi, à exercer, sous son autorité et son contrôle, tout ou partie des pouvoirs de vérification et d'enquête dont disposent les membres et les agents de la commission. "IV. - Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l'autorité de contrôle d'un autre État membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l'autorité requérante dans les conditions prévues à l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. "Art. 49-2. - I. - Les traitements mentionnés à l'article 70-1 font l'objet d'une coopération entre la Commission nationale de l'informatique et des libertés et les autorités de contrôle des autres États membres de l'Union européenne dans les conditions prévues au présent article. "II. - La commission communique aux autorités de contrôle des autres États membres les informations utiles et leur prête assistance en mettant notamment en oeuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, d'inspection et d'enquête. @@ -87,8 +87,8 @@ La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : "Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. À ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d'écarter l'une des objections, le comité européen de la protection des données conformément à l'article 65 du même règlement. "Les conditions d'application du présent article sont définies par décret en Conseil d'État, après avis de la Commission nationale de l'informatique et des libertés. "Art. 49-4. - Lorsque la commission agit en tant qu'autorité de contrôle concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file. -"Lorsque ces mesures sont d'objet équivalent à celles définies aux I et III de l'article 45 de la présente loi, le président décide, le cas échéant, d'émettre une objection pertinente et motivée selon les modalités prévues à l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. -"Lorsque ces mesures sont d'objet équivalent à celles définies au II de l'article 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu'il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités." ; +"Lorsque ces mesures sont d'objet équivalent à celles définies aux I et II de l'article 45 de la présente loi, le président décide, le cas échéant, d'émettre une objection pertinente et motivée selon les modalités prévues à l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. +"Lorsque ces mesures sont d'objet équivalent à celles définies au III de l'article 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu'il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités." ; 3° L'article 49 bis devient l'article 49-5. # Article 6 @@ -97,24 +97,24 @@ I. - La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : 1° L'intitulé du chapitre VII est ainsi rédigé : "Mesures et sanctions prises par la formation restreinte de la Commission nationale de l'informatique et des libertés" ; 2° L'article 45 est ainsi rédigé : "Art. 45. - I. - Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi. -"II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : -"1° Un rappel à l'ordre ; -"2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu'elle a fixée ; -"3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ; -"4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ; -"5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ; -"6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ; -"7° À l'exception des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % du chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. -"Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement. -"III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut prononcer à son égard une mise en demeure, dans le délai qu'il fixe : +"II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe : "1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ; "2° De mettre les opérations de traitement en conformité avec les dispositions applicables ; "3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ; "4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données. -"Dans le cas prévu au 4° du présent III, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises. +"Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises. "Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence. "Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure. -"Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité." ; +"Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité. +"III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant, en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : +"1° Un rappel à l'ordre ; +"2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu'elle a fixée ; +"3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ; +"4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ; +"5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ; +"6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ; +"7° À l'exception des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. +"Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement." ; 3° L'article 46 est ainsi rédigé : "Art. 46. - I. - Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à l'article 1er de la présente loi et que le président de la commission considère qu'il est urgent d'intervenir, il saisit la formation restreinte, qui peut, dans le cadre d'une procédure d'urgence contradictoire définie par décret en Conseil d'État, adopter l'une des mesures suivantes : "1° L'interruption provisoire de la mise en oeuvre du traitement, y compris d'un transfert de données hors de l'Union européenne, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII lorsqu'ils sont mis en oeuvre pour le compte de l'État ; @@ -130,7 +130,7 @@ I. - La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : "III. - Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsqu'une autorité de contrôle compétente en application du même règlement n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d'urgence ou une décision contraignante d'urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l'article 66 dudit règlement. "IV. - En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés." ; 4° L'article 47 est ainsi rédigé : -"Art. 47. - Les mesures prévues au II de l'article 45 et aux 1° à 7° du I de l'article 46 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle-ci. +"Art. 47. - Les mesures prévues au III de l'article 45 et aux 1° à 7° du I de l'article 46 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle-ci. "La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées. "Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant en application de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée. "Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce. @@ -141,6 +141,10 @@ I. - La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : "Art. 48. - Lorsqu'un organisme de certification ou un organisme chargé du respect d'un code de conduite a manqué à ses obligations ou n'a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à 47, le retrait de l'agrément qui a été délivré à cet organisme." II. - Au deuxième alinéa de l'article 226-16 du code pénal, la référence : "I" est remplacée par la référence : "II". Cet alinéa demeure applicable, dans sa rédaction résultant de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, aux faits commis avant la date d'entrée en vigueur du présent article pour lesquels l'action publique avait été valablement exercée avant cette même date. +# Article 6 bis + +Le président de la Commission nationale de l'informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres aÌ l'exercice des fonctions de délégué à la protection des données dans les administrations publiques. + # Article 7 L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : @@ -149,15 +153,22 @@ L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié 2° Le II est ainsi modifié : a) À la fin du 7°, les mots : "et dans les conditions prévues à l'article 25 de la présente loi" sont supprimés ; b) Le 8° est ainsi rédigé : -"8° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux dispositions du chapitre IX de la présente loi." ; -c) Sont ajoutés des 9° et 10° ainsi rédigés : +"8° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux dispositions du chapitre IX de la présente loi ;" +c) Sont ajoutés des 9° à 11° ainsi rédigés : "9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l'article 11 mis en oeuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ; -"10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées." ; +"10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ; +"11° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, mis en oeuvre dans les conditions du 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l'informatique et des libertés délivré selon les modalités prévues à l'article 28 de la présente loi." ; 3° Le III est ainsi rédigé : "III. - N'entrent pas dans le champ de l'interdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire l'objet, à bref délai, d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés." ; 4° Le IV est ainsi rédigé : "IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au II de l'article 26." +# Article 8 A + +L'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié : +1° Au premier alinéa, après les mots : "traitements automatisés", sont insérés les mots : "en tout ou partie" ; +2° L'avant-dernier alinéa est complété par les mots : "que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique". + # Article 8 Le chapitre Ier de la loi n° 78-17 du 6 janvier 1978 est complété par un article 5-1 ainsi rédigé : @@ -189,9 +200,13 @@ L'article 35 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié "Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi. "II. - Dans le champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le sous-traitant respecte les conditions prévues par ce règlement." +# Article 10 bis + +Le premier alinéa de l'article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : "Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n'être accessibles qu'au moyen d'une clef mise à la seule disposition des personnes autorisées à accéder à ces données." + # Article 11 -I. - L'article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : +I. - L'article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié : 1° A Au début du premier alinéa, est ajoutée la mention : "I. -" ; 1° (Supprimé) 2° Le 1° est complété par les mots : "ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à l'exercice des missions qui leur sont confiées par la loi" ; @@ -204,18 +219,23 @@ I. - L'article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modi "Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation. "La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée." II. - Le deuxième alinéa de l'article L. 111-13 du code de l'organisation judiciaire est ainsi rédigé : -"Les modalités de cette mise à disposition préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions." +"Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions." III. - Le troisième alinéa de l'article L. 10 du code de justice administrative est ainsi rédigé : "Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des juges et à l'impartialité des juridictions." # Article 12 -L'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : +I. - L'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : 1° Au premier alinéa, les mots : "historiques, statistiques ou scientifiques" sont remplacés par les mots : "archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques" ; -2° Les deuxième et cinquième alinéas sont supprimés ; +2° Les deuxième à dernier alinéas sont supprimés ; 3° Sont ajoutés deux alinéas ainsi rédigés : -"Lorsque les traitements de données à caractère personnel sont mis en oeuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent alinéa, ainsi que les garanties appropriées pour les droits et libertés des personnes concernées et les limitations à apporter à la diffusion des données traitées. -"Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article." +"Lorsque les traitements de données à caractère personnel sont mis en oeuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l'article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique. +"Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article." +II. - Au 4° du IV de l'article L. 1461-1 du code de la santé publique, le mot : "deuxième" est remplacé par le mot : "premier". + +# Article 12 bis + +À la fin de la seconde phrase de l'article L. 212-4-1 du code du patrimoine, les mots : "à fiscalité propre" sont supprimés. # Article 13 @@ -225,9 +245,9 @@ I. - Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi r "Section 1 "Dispositions générales "Art. 53. - Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à l'exception des catégories de traitements suivantes : -"1° Les traitements relevant des 1° à 6° du II de l'article 8 ; -"2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 6° du II de l'article 8 lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ; -"3° Les traitements mis en oeuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ; +"1° Les traitements relevant des 1° à 6° du II de l'article 8 de la présent loi ; +"2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 6° du même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ; +"3° Les traitements mis en oeuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques ; "4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ; "5° Les traitements effectués par les agences régionales de santé, par l'État et par la personne publique désignée par lui en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8. "Art. 54. - I. - Les traitements relevant du présent chapitre ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public. @@ -236,9 +256,9 @@ I. - Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi r "Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée. "III. - Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. "IV. - La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. -"V. - La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l'Institut national des données de santé est saisi en application du II du présent article. +"V. - La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l'Institut national des données de santé est saisi en application du II. "Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la section 2 du présent chapitre et que l'avis ou les avis rendus ne sont pas expressément favorables. -"Art. 55. - Par dérogation à l'article 54, les traitements de données à caractère personnel dans le domaine de la santé mis en oeuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/79 du Parlement européen et du Conseil du 27 avril 2016 précité. +"Art. 55. - Par dérogation à l'article 54, les traitements de données à caractère personnel dans le domaine de la santé mis en oeuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. "Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques sont mis en oeuvre dans les conditions prévues à l'article 22 de la présente loi. "Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en oeuvre au-delà de ce délai. "Art. 56. - Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé en application de l'article 54 les données à caractère personnel qu'ils détiennent. @@ -264,40 +284,74 @@ I. - Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi r "Art. 63. - L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 54, après avis : "1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ; "2° Du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité d'expertise sont soumis à l'article L. 1451-1 du code de la santé publique. -"Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national des données de santé, qui assure leur orientation vers les instances compétentes." +"Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national des données de santé, qui assure leur orientation vers les instances compétentes. +"Art. 64. - Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé. +"Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale de l'assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l'Institut national des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, peut y assister en tant qu'observateur. +"Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée. +"Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance. +"Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. +"Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, le responsable du traitement mentionné au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés. +"Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés. +"Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités. +"Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et le responsable du traitement mentionné au II du même article L. 1461-1. +"En cas d'urgence, le directeur général de la Caisse nationale d'assurance maladie peut suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'il dispose d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés. +"Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité. +"Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement, ainsi que les modalités de l'audit." II. - Le code de la santé publique est ainsi modifié : 1° Au 7° de l'article L. 1122-1, la référence : "57" est remplacée par la référence : "58" ; 2° Au treizième alinéa de l'article L. 1123-7, la référence : "au I de l'article 54" est remplacée par la référence : "à l'article 61" ; 3° Au second alinéa du IV de l'article L. 1124-1, la référence : "du II de l'article 54" est remplacée par la référence : "de l'article 63" ; -4° Au 6° de l'article L. 1461-7, la référence : "56" est remplacée par la référence : "57". +4° Au 6° de l'article L. 1461-7, la référence : "56" est remplacée par la référence : "57" ; +5° La seconde phrase du sixième alinéa de l'article L. 6113-7 est ainsi rédigée : "Les conditions de cette désignation et les modes d'organisation de la fonction d'information médicale en particulier les conditions dans lesquelles des personnels placés sous l'autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l'article L. 6145-16 du présent code peuvent contribuer au traitement des données, sont fixés par décret." # Article 13 bis La seconde phrase de l'article L. 312-9 du code de l'éducation est complétée par les mots : ", ainsi qu'aux règles applicables aux traitements de données à caractère personnel". +# Article 13 ter + +I. - L'article L. 4123-9-1 du code de la défense est ainsi rédigé : +"Art. L. 4123-9-1. - I. - Le responsable d'un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l'une des finalités du traitement. +"À l'exclusion des traitements mis en oeuvre pour le compte de l'État, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en oeuvre de traitements comportant, dans le respect de l'obligation posée au premier alinéa du présent I, la mention de la qualité de militaire. +"Les personnes accédant aux données personnelles de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l'identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, selon les règles propres à chacun d'eux. +"Dans l'hypothèse où le ministre compétent considère, sur le fondement de l'enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l'accès aux données personnelles de militaires y figurant. +"II. - Sans préjudice du 1 de l'article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent. +"III. - Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent article. +"IV. - Est puni : +"1° D'un an d'emprisonnement et de 100 000 € d'amende le manquement, y compris par négligence, à l'obligation prévue au deuxième alinéa du I du présent article ; +"2° De trois ans d'emprisonnement et de 300 000 € d'amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l'accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ; +"3° De trois ans d'emprisonnement et de 300 000 € d'amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II." +II. - Dans le délai d'un an suivant l'entrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité d'agent public, lorsque cette mention n'est pas strictement nécessaire à l'une des finalités du traitement. +III. - Le dernier alinéa de l'article 226-16 et le second alinéa de l'article 226-17-1 du code pénal sont supprimés. +IV. - L'article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale est abrogé. + # Article 14 AA Au premier alinéa de l'article 7 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : "concernée", sont insérés les mots : ", dans les conditions mentionnées au 11 de l'article 4 et à l'article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité,". -# Article 14 A - - # Article 14 I. - L'article 10 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé : -"Art. 10. - Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. +"Art. 10. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne. "Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception : -"1° Des cas mentionnés au a et c du 2 de l'article 22 du même règlement, sous les réserves mentionnées au 3 du même article et à condition, lorsque la décision produit des effets juridiques, que l'intéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en oeuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ; -"2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l'objet est d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi ; -"3° Des actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête. +"1° Des cas mentionnés aux a et c du 2 de l'article 22 du même règlement, sous les réserves mentionnées au 3 du même article 22 et à condition, lorsque la décision produit des effets juridiques, que l'intéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en oeuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ; +"2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l'objet est d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi et que l'intéressé puisse exprimer son point de vue et contester la décision ; +"3° (Supprimé) "Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel." -II. - Au premier alinéa de l'article L. 311-3-1 du code des relations entre le public et l'administration, après le mot : "comporte", sont insérés les mots : ", à peine de nullité,". +II. - Le premier alinéa de l'article L. 311-3-1 du code des relations entre le public et l'administration est ainsi modifié : +1° À la première phrase, après le mot : "comporte", sont insérés les mots : ", à peine de nullité," ; +2° À la fin de la seconde phrase, les mots : "communiquées par l'administration à l'intéressé s'il en fait la demande" sont remplacés par les mots : "publiées, ainsi que les modifications ultérieures relatives à ces règles ou caractéristiques". III. - Le dernier alinéa du I de l'article L. 612-3 du code de l'éducation est supprimé. +# Article 14 bis A + +Après l'article L. 121-4-1 du code de l'éducation, il est inséré un article L. 121-4-2 ainsi rédigé : +"Art. L. 121-4-2. - Les établissements d'enseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité." + # Article 14 bis Le III de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé : -"Lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I dans un langage clair et facilement accessible." +"Lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible." # Article 15 @@ -330,36 +384,43 @@ La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est I. - La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé : "Art. 43 quinquies. - Dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l'informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données à caractère personnel, ou de manière générale afin d'assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d'État d'ordonner la suspension d'un transfert de données, le cas échéant sous astreinte, et assortit alors ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation de la Commission européenne prise sur le fondement de l'article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l'article 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l'exercice de sa fonction juridictionnelle, la Commission nationale de l'informatique et des libertés peut saisir dans les mêmes conditions le Conseil d'État aux fins d'ordonner la suspension du transfert de données fondé sur une décision d'adéquation de la Commission européenne prise sur le fondement de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité de cette décision d'adéquation." II. - L'article 226-22-1 du code pénal est ainsi modifié : -1° Les mots : ", hors les cas prévus par la loi" sont supprimés ; +1° Les mots : ", hors les cas prévus par la loi," sont supprimés ; 2° Les mots : "la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70" sont remplacés par les mots : "l'Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou des articles 70-25 à 70-27". # Article 17 bis -En application de l'article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, toute clause contractuelle liant un responsable de traitement et un tiers est nulle lorsqu'elle a pour effet de contraindre ce tiers à ne pas mettre en oeuvre, notamment lors de la configuration d'un terminal, toutes les conditions du consentement de l'utilisateur final tel qu'il est défini au 11 de l'article 4 du même règlement. -La mise en oeuvre de ces conditions peut notamment consister à proposer à l'utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d'utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en oeuvre par le responsable de traitement en application de l'article 25 du même règlement. +En application de l'article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final dans les conditions définies au 11 de l'article 4 du même règlement. + +# Article 17 ter + +Le livre IV du code de commerce est ainsi modifié : +1° Après l'article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé : +"Art. L. 420-2-3. - Est prohibée, lorsqu'elle tend à limiter l'accès au marché ou le libre exercice de la concurrence par d'autres entreprises, l'exploitation abusive par une entreprise ou un groupe d'entreprises d'une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d'un tel équipement à l'achat concomitant d'un tel service." ; +2° À la fin de l'article L. 420-3 et au premier alinéa du III de l'article L. 420-4, la référence : "et L. 420-2-2" est remplacée par les références : ", L. 420-2-2 et L. 420-2-3" ; +3° Au premier alinéa de l'article L. 450-5, à la première phrase du premier alinéa de l'article L. 462-3, aux I, II et IV de l'article L. 462-5, à la première phrase du premier alinéa de l'article L. 462-6, à la seconde phrase du premier alinéa du I de l'article L. 464-2 et au premier alinéa de l'article L. 464-9, la référence : "L. 420-2-2" est remplacée par la référence : "L. 420-2-3". # Article 18 I. - Le début du V de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé : "Sans préjudice de l'application des dispositions du chapitre XIII, les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en oeuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense ou la sécurité publique, dans la... (le reste sans changement)." II. - Le VI de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé. III. - Au premier alinéa de l'article 41 de la loi n° 78-17 du 6 janvier 1978 précitée, après les mots : "sécurité publique", sont insérés les mots : ", sous réserve de l'application des dispositions du chapitre XIII". -IV. - À l'article 42 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : "prévenir, rechercher ou constater des infractions, ou de" sont supprimés. +IV. - L'article 42 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé. # Article 19 Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé : "Chapitre XIII -"Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil +"Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relativeà la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentesà des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil "Section 1 "Dispositions générales -"Art. 70-1. - Les dispositions du présent chapitre s'appliquent, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en oeuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente. +"Art. 70-1. - Le présent chapitre s'applique, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en oeuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente. "Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l'exécution d'une mission effectuée, pour les finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa, et où sont respectées les dispositions des articles 70-3 et 70-4. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l'objet du fichier et de la nature ou de la gravité des infractions concernées. "Pour l'application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables. "Art. 70-2. - Le traitement de données mentionnées au I de l'article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s'il est autorisé par un acte législatif ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une personne physique, soit s'il porte sur des données manifestement rendues publiques par la personne concernée. "Art. 70-3. - Si le traitement est mis en oeuvre pour le compte de l'État pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au I de l'article 26 et aux articles 28 à 31. "Si le traitement porte sur des données mentionnées au I de l'article 8, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au II de l'article 26. "Tout autre traitement mis en oeuvre par une autorité compétente pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1 est autorisé par la Commission nationale de l'informatique et des libertés. La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée. -"Art. 70-4. - Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel, dans les conditions prévues au 7 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. +"Art. 70-4. - Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. "Si le traitement est mis en oeuvre pour le compte de l'État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 30. "Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement au traitement des données à caractère personnel : "1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; @@ -371,8 +432,8 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "Art. 70-6. - Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 70-1 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre. "Ces traitements peuvent comprendre l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées au premier alinéa de l'article 70-1. "Art. 70-7. - Les traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en oeuvre dans les conditions prévues à l'article 36. -"Art. 70-8. - Les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles. -"Art. 70-9. - Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. +"Art. 70-8. - Les données à caractère personnel fondées sur des faits sont distinguées de celles fondées sur des appréciations personnelles. +"Art. 70-9. - Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. "Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel. "Tout profilage qui entraine une discrimination, au sens de l'article 225-1 du code pénal et de l'article 1er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d'adaptation au droit communautaire dans le domaine de la lutte contre les discriminations, à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 de la présente loi est interdit. "Art. 70-10. - Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant que dans les conditions prévues aux 1, 2 et 10 de l'article 28 et à l'article 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article. @@ -412,9 +473,9 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille. "Les dispositions des 5 et 7 de l'article 37, des 1 et 2 de l'article 38 et du 1 de l'article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu'elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre. "Section 3 -"Droits de la personne concernée par un traitement de données à caractère personnel +"Droits de la personne concernée par un traitement de donnéesà caractère personnel "Art. 70-18. - I. - Le responsable de traitement met à la disposition de la personne concernée les informations suivantes : -"1° L'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ; +"1° L'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant et de ses sous-traitants, ainsi que les stipulations du contrat de sous-traitance relatives à la protection des données personnelles ; "2° Le cas échéant, les coordonnées du délégué à la protection des données ; "3° Les finalités poursuivies par le traitement auquel les données sont destinées ; "4° Le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ; @@ -440,7 +501,7 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "III. - Au lieu de procéder à l'effacement, le responsable de traitement limite le traitement lorsque : "1° Soit l'exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non ; "2° Soit les données à caractère personnel doivent être conservées à des fins probatoires. -"Lorsque le traitement est limité en vertu du 1°, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement. +"Lorsque le traitement est limité en application du 1° du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement. "IV. - Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus. "V. - Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l'autorité compétente de laquelle ces données proviennent. "VI. - Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité. @@ -453,7 +514,7 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "Ces restrictions sont prévues par l'acte instaurant le traitement. "II. - Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut : "1° Retarder ou limiter la fourniture à la personne concernée des informations mentionnées au II de l'article 70-18 ou ne pas fournir ces informations ; -"2° Refuser ou limiter le droit d'accès de la personne concernée prévu par l'article 70-19 ; +"2° Refuser ou limiter le droit d'accès de la personne concernée prévu à l'article 70-19 ; "3° Ne pas informer la personne du refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs de cette décision conformément au IV de l'article 70-20. "III. - Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d'accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l'informatique et des libertés. "IV. - En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d'exercer ses droits par l'intermédiaire de la Commission nationale de l'informatique et des libertés et de former un recours juridictionnel. @@ -469,7 +530,7 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "Transferts de données à caractère personnel vers des États non membres de l'Union européenne ou vers des destinataires établis dans des États non membres de l'Union européenne "Art. 70-25. - Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n'appartenant pas à l'Union européenne que lorsque les conditions suivantes sont respectées : "1° Le transfert de ces données est nécessaire à l'une des finalités énoncées au premier alinéa de l'article 70-1 ; -"2° Les données à caractère personnel sont transférées à un responsable dans cet État non membre de l'Union européenne ou au sein d'une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l'article 70-1 ; +"2° Les données à caractère personnel sont transférées à un responsable dans cet État non membre de l'Union européenne ou au sein d'une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa du même article 70-1 ; "3° Si les données à caractère personnel proviennent d'un autre État, l'État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national. "Toutefois, si l'autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l'autorisation préalable de l'État qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre État ou pour la sauvegarde des intérêts essentiels de la France. L'autorité d'où provenaient ces données personnelles en est informée sans retard ; "4° La Commission européenne a adopté une décision d'adéquation en application de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l'absence d'une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu'il existe de telles garanties appropriées. @@ -483,10 +544,10 @@ Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le cha "3° Pour prévenir une menace grave et immédiate pour la sécurité publique d'un autre État ; "4° Dans des cas particuliers, à l'une des finalités énoncées au premier alinéa de l'article 70-1 ; "5° Dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les mêmes fins. -"Dans les cas mentionnés aux 4° et 5°, le responsable de traitement de données à caractère personnel ne transfère pas ces données s'il estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé. +"Dans les cas mentionnés aux 4° et 5° du présent article, le responsable de traitement de données à caractère personnel ne transfère pas ces données s'il estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé. "Lorsqu'un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l'informatique et des libertés, à sa demande. "Art. 70-27. - Toute autorité publique compétente mentionnée au premier alinéa de l'article 70-1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État n'appartenant pas à l'Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant de l'article 70-1 sont respectées et que les conditions ci-après sont remplies : -"1° Le transfert est nécessaire à l'exécution de la mission de l'autorité compétente qui transfère ces données pour l'une des finalités énoncées au premier alinéa de l'article 70-1 ; +"1° Le transfert est nécessaire à l'exécution de la mission de l'autorité compétente qui transfère ces données pour l'une des finalités énoncées au premier alinéa du même article 70-1 ; "2° L'autorité compétente qui transfère ces données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert dans le cas considéré ; "3° L'autorité compétente qui transfère ces données estime que le transfert à l'autorité compétente de l'autre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ; "4° L'autorité compétente de l'autre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ; @@ -505,7 +566,7 @@ I. - Le code général des collectivités territoriales est ainsi modifié : "- à 5 € par habitant compris entre le 1er et le 999e habitant ; "- à 2 € par habitant compris entre le 1000e et le 4 999e habitant ; "- à 1 € par habitant compris entre le 5 000e et le 9 999e habitant ; -"- à 0,1 euro par habitant compris entre le 10 000e et le 99 999e habitant ; +"- à 0,1 € par habitant compris entre le 10 000e et le 99 999e habitant ; "- à 0,01 € par habitant au-delà du 100 000e habitant. "Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code." ; 2° Le I de l'article L. 3662-4 est complété par un 6° ainsi rédigé : @@ -514,23 +575,23 @@ I. - Le code général des collectivités territoriales est ainsi modifié : a) La sous-section 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211-35-3 ainsi rédigé : "Art. L. 5211-35-3. - À compter de l'exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. "Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale : -"- à 1 euro par habitant compris entre le 1er et le 14 999e habitant ; -"- à 0,5 euro par habitant compris entre le 15 000e et le 49 999e habitant ; -"- à 0,1 euro par habitant compris entre le 50 000e et le 99 999e habitant ; -"- à 0,01 euro par habitant au-delà du 100 000e habitant. +"- à 1 € par habitant compris entre le 1er et le 14 999e habitant ; +"- à 0,5 € par habitant compris entre le 15 000e et le 49 999e habitant ; +"- à 0,1 € par habitant compris entre le 50 000e et le 99 999e habitant ; +"- à 0,01 € par habitant au-delà du 100 000e habitant. "Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code." ; b) Après le 9° de l'article L. 5214-23, il est inséré un 9° bis ainsi rédigé : "9° bis La dotation prévue à l'article L. 5211-35-3 du présent code ;" -c) Le 14° de l'article L. 5215-32 est rétabli dans la rédaction suivante : +c) Le 14° de l'article L. 5215-32 est ainsi rétabli : "14° La dotation prévue à l'article L. 5211-35-3 du présent code ;" d) Après le 9° de l'article L. 5216-8, il est inséré un 9° bis ainsi rédigé : "9° bis La dotation prévue à l'article L. 5211-35-3 ;". -II. - La perte de recettes résultant pour l'État du I ci-dessus est compensée à due concurrence par le relèvement du taux de la taxe mentionnée à l'article 302 bis KH du code général des impôts. +II. - La perte de recettes résultant pour l'État du I du présent article est compensée, à due concurrence, par le relèvement du taux de la taxe mentionnée à l'article 302 bis KH du code général des impôts. # Article 19 ter Le code général des collectivités territoriales est ainsi modifié : -1° La deuxième phrase du troisième alinéa de l'article L. 5111-1 est ainsi modifiée : +1° La deuxième phrase du dernier alinéa de l'article L. 5111-1 est ainsi modifiée : a) Les mots : "ou entre" sont remplacés par le mot : ", entre" ; b) Sont ajoutés les mots : ", ou, à défaut, entre une commune et un syndicat mixte" ; 2° La première phrase du III de l'article L. 5111-1-1 est ainsi modifiée : @@ -539,13 +600,16 @@ b) Les mots : "et les régions" sont remplacés par les mots : "les régions". # Article 20 - -# Article 20 bis - +I. - Dans les conditions prévues à l'article 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier à III bis de la présente loi, le Gouvernement est autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires : +1° À la réécriture de l'ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en oeuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ; +2° Pour mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ; +3° À l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l'État. +II. - Cette ordonnance est prise, après avis de la Commission nationale de l'informatique et des libertés, dans un délai de quatre mois à compter de la promulgation de la présente loi. +III. - Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l'ordonnance. # Article 21 -I. - La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée : +I. - La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée : 1° A Au second alinéa du II de l'article 13, après la référence : "3°", est insérée la référence : "du I" ; 1° L'article 15 est ainsi modifié : a) Le quatrième alinéa est supprimé ; @@ -575,21 +639,19 @@ II. - (Supprimé) # Article 22 -Pour les traitements ayant fait l'objet de formalités antérieurement au 25 mai 2018, la liste mentionnée à l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans. +I. - Pour les traitements ayant fait l'objet de formalités antérieurement au 25 mai 2018, la liste mentionnée à l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans. +II. - Par dérogation au premier alinéa de l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la mise en oeuvre des traitements comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques qui ont été autorisés avant le 25 mai 2018 en application des articles 25 et 27 de la même loi, dans leur rédaction antérieure à la présente loi, ne sont pas soumis à l'obligation d'être mentionnés dans le décret prévu au premier alinéa de l'article 22 de la loi n° 78-17 du 6 janvier 1978 précitée, sauf modification de ces traitements et au plus tard jusqu'au 25 mai 2020. Ces traitements restent soumis à l'ensemble des autres obligations découlant de la même loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. # Article 23 I. - L'article 230-8 du code de procédure pénale est ainsi modifié : 1° Le premier alinéa est ainsi rédigé : -"Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d'office ou à la demande de la personne concernée, ordonne qu'elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu'elles fassent l'objet d'une mention. La rectification pour requalification judiciaire est de droit. L'effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies par l'article 230-7. Le procureur de la République se prononce dans un délai d'un mois sur les suites qu'il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d'une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne condamnée ne peut former sa demande, à peine d'irrecevabilité, que lorsque ne figure plus dans le bulletin n° 2 de son casier judiciaire de mention de nature pénale en lien avec la demande d'effacement. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d'une décision de relaxe ou d'acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque les données personnelles relatives à la personne concernée font l'objet d'une mention, elles ne peuvent faire l'objet d'une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114-1 et L. 234-1 à L. 234-3 du code de la sécurité intérieure et à l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l'effacement des données personnelles ou ordonnant qu'elles fassent l'objet d'une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de l'intéressé." ; +"Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d'office ou à la demande de la personne concernée, ordonne qu'elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu'elles fassent l'objet d'une mention. La rectification pour requalification judiciaire est de droit. L'effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies à l'article 230-7. Le procureur de la République se prononce dans un délai d'un mois sur les suites qu'il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d'une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne condamnée ne peut former sa demande, à peine d'irrecevabilité, que lorsque ne figure plus dans le bulletin n° 2 de son casier judiciaire de mention de nature pénale en lien avec la demande d'effacement. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d'une décision de relaxe ou d'acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque les données personnelles relatives à la personne concernée font l'objet d'une mention, elles ne peuvent faire l'objet d'une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114-1 et L. 234-1 à L. 234-3 du code de la sécurité intérieure et à l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l'effacement des données personnelles ou ordonnant qu'elles fassent l'objet d'une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de l'intéressé." ; 2° Au troisième alinéa, les mots : "en matière d'effacement ou de rectification des données personnelles" sont supprimés. I bis. - (Supprimé) II. - Le premier alinéa de l'article 804 du code de procédure pénale est ainsi rédigé : "Le présent code est applicable, dans sa rédaction résultant de loi n° du relative à la protection des données personnelles, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve des adaptations prévues au présent titre et aux seules exceptions :". -# Article 23 bis - - # Article 24 Les titres Ier à III et les articles 21 et 22 de la présente loi entrent en vigueur le 25 mai 2018. -- 2.26.2