Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.

S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 106.

Le responsable de traitement établit, dans la mesure du possible et le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ;

2° Les personnes reconnues coupables d'une infraction pénale ;

3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ;

4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l'une des personnes mentionnées aux 1° et 2°.

I.-Afin de démontrer que le traitement est effectué conformément au présent titre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du 27 avril 2016 et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l'article 6 de la présente loi.

II.-En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à :

1° Empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement ;

2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

3° Empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l'inspection, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées ;

4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes qui n'y sont pas autorisées à l'aide d'installations de transmission de données ;

5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation ;

6° Garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

7° Garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

9° Garantir que les systèmes installés puissent être rétablis en cas d'interruption ;

10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

Le responsable de traitement et son sous-traitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de l'article 30 du règlement (UE) 2016/679 du 27 avril 2016. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l'article 6 de la présente loi, l'indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données.

Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci.

Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales.

Ce journal est mis à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.

Les articles 31,33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 sont applicables aux traitements de données à caractère personnel relevant du présent titre.

Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement établi dans un autre Etat membre de l'Union européenne ou à celui-ci, le responsable de traitement établi en France notifie également la violation au responsable de traitement de l'autre Etat membre dans les meilleurs délais.

La communication d'une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d'autrui.

Sauf pour les juridictions agissant dans l'exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.

Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, en fonction de leur structure organisationnelle et de leur taille.

Les dispositions des 5 et 7 de l'article 37, des 1 et 2 de l'article 38 et du 1 de l'article 39 du règlement (UE) 2016/679 du 27 avril 2016, en ce qu'elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent titre.