Le présent titre s'applique, sans préjudice du titre Ier, aux traitements relevant du titre III de la loi du 6 janvier 1978 susvisée.

I. − Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 90 de la loi du 6 janvier 1978 susvisée est déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Lorsqu'un type de traitement porte sur des données mentionnées au I de l'article 6 de la même loi, il est réputé susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques.
II. − Les types de traitements qui portent sur un ensemble d'opérations de traitement similaires et présentent des risques élevés similaires peuvent faire l'objet d'une analyse d'impact commune. Cette analyse commune est, le cas échéant, complétée par chacun des responsables de traitement concernés, en fonction des spécificités de son traitement.
III. − L'analyse d'impact contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions des titres Ier et III de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.
IV. − Lorsque la Commission nationale de l'informatique et des libertés est consultée préalablement à la mise en œuvre du traitement dans les conditions prévues au troisième alinéa de l'article 90 de la même loi, le responsable du traitement ou le sous-traitant lui fournit l'analyse d'impact relative à la protection des données et, sur demande, toute autre information lui permettant d'apprécier la conformité du traitement aux dispositions des titres Ier et III de la même loi et, en particulier, les risques pour la protection des données à caractère personnel des personnes concernées et les garanties qui s'y rapportent.
V. − Lorsque la commission est d'avis que le traitement constituerait une violation des dispositions des titres Ier et III de la même loi, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant dans un délai de huit semaines à compter de la réception de la consultation. Si la complexité du traitement prévu le nécessite, ce délai peut être prorogé de six semaines. Dans ce cas, la commission informe le responsable du traitement et, le cas échéant, le sous-traitant de la prorogation de ce délai, dans un délai de six semaines à compter de la réception de la consultation, ainsi que des motifs de cette prorogation.
La Commission nationale de l'informatique et des libertés peut également conseiller le responsable du traitement et faire usage des pouvoirs visés au f du 2° du I de l'article 8 et aux I, 2° et 4° du II et 1° à 3° du III de l'article 20 de la même loi.
A défaut de réponse de la commission à sa consultation dans le délai de huit semaines, le cas échéant prorogé de six semaines, le responsable du traitement ou le cas échéant, le sous-traitant, peut mettre en œuvre le traitement de données, sans préjudice de l'exercice par la commission des pouvoirs mentionnés au septième alinéa du présent article.

Le contrat ou l'autre acte juridique liant le sous-traitant à l'égard du responsable du traitement, mentionné à l'article 96 de la loi du 6 janvier 1978 susvisée, prévoit notamment que le sous-traitant :
1° Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
2° Aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions du chapitre III du titre III de la même loi ;
3° Selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;
4° Met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 96 susmentionné et du présent article ;
5° Respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, au dernier alinéa de l'article 96 susmentionné et au présent article.
Cet acte juridique revêt la forme écrite, y compris la forme électronique.

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des obligations dont ils sont débiteurs en application de la loi du 6 janvier 1978 susvisée et du décret, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l'article 104 de la même loi, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union européenne ou par le droit de l'Etat membre auquel les responsables du traitement sont soumis. Le point de contact pour les personnes concernées est mentionné dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.
Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.

Un délégué à la protection des données est désigné par le responsable du traitement dans les cas prévus à l'article 103 de la loi du 6 janvier 1978 susvisée.
Le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à la Commission nationale de l'informatique et des libertés dans les conditions prévues à l'article 83.
Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement ou sous-traitant.

Le responsable du traitement prend des mesures appropriées pour fournir toute information visée à l'article 104 de la loi du 6 janvier 1978 susvisée. Il procède à toute communication à la personne concernée, prévue par les articles 102, 105 à 107 de la même loi, d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples.

Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus au II de l'article 104 et aux articles 105 et 106 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen et précise l'adresse à laquelle doit parvenir la réponse. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la copie d'un titre d'identité portant la signature du titulaire.
Lorsque la demande présentée sur place ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant lors de la délivrance du pli.
Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai prévu au huitième alinéa. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai prévu au huitième alinéa.
Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande est transmise immédiatement au responsable du traitement.
Ces demandes peuvent être présentées par une personne spécialement mandatée à cet effet par le demandeur, après justification de son identité et de l'identité du mandant, de son mandat ainsi que de la durée et de l'objet précis de celui-ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse du responsable du traitement ou du sous-traitant.
Sans préjudice des dispositions spécifiques applicables à certains traitements, le responsable du traitement répond par écrit à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception et dans les conditions prévues à l'article 80.
Le délai prévu au huitième alinéa est suspendu lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires pour identifier la personne concernée ou procéder aux opérations qui lui sont demandées.
Lorsque le responsable du traitement ne s'est pas prononcé dans le délai fixé au huitième alinéa, la demande est réputée rejetée.

Sans préjudice des dispositions spécifiques applicables à certains traitements, les demandes formées en application de l'article 108 de la loi du 6 janvier 1978 susvisée sont régies par les dispositions des articles 141 à 143, sauf s'il s'agit d'informations relevant de l'article 111 de la même loi. Sous peine d'irrecevabilité de sa demande, la personne concernée doit justifier auprès de la Commission nationale de l'informatique et des libertés soit de la réponse écrite du responsable du traitement attestant de la restriction de ses droits intervenue en application des II ou III de l'article 107 de la même loi, soit de la demande qu'elle a adressée à ce dernier plus de deux mois auparavant en application de l'article 135.

Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.

Pour la mise en œuvre de l'article 26 de la loi du 6 janvier 1978 susvisée, les dispositions des 2, 3, 6 et 7 de l'article 61 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont applicables.

Lorsqu'un transfert de données à caractère personnel a lieu en application des articles 112 et 114 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés peut éditer des formulaires indiquant les éléments d'informations devant être transmis en vertu de ces articles.