Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles


JORF n°0177 du 3 août 2018
texte n° 12




Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

NOR: JUSC1815709D
ELI: https://www.legifrance.gouv.fr/eli/decret/2018/8/1/JUSC1815709D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2018/8/1/2018-687/jo/texte


Public concerné : citoyens, entreprises, administrations, collectivités territoriales, personnes morales de droit privé collaborant au service public de la justice, membres et agents de la Commission nationale de l'informatique et des libertés.
Objet : mesures d'application de loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, et mise en conformité du décret n° 2005-1309 du 20 octobre 2005 au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret contient les mesures d'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Il modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour le mettre en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il contient plusieurs mesures d'application de la loi n° 2018-493 du 20 juin 2018. Il définit les conditions dans lesquelles, soit la Commission nationale de l'informatique et des libertés soit l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679, agrée les organismes certificateurs aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 et à la loi du 6 janvier 1978. Il fixe les conditions et limites dans lesquelles le président de la Commission nationale de l'informatique et des libertés et le vice-président délégué peuvent déléguer leur signature. Il précise la composition du comité d'audit du système national des données de santé prévu à l'article 65 de la loi du 6 janvier 1978, ses règles de fonctionnement et les modalités de l'audit. Il détermine les conditions dans lesquelles les membres et agents de la commission amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d'emprunt procèdent à leurs constations. Il définit la procédure d'urgence contradictoire appliquée par la formation restreinte saisie par le président de la Commission nationale de l'informatique et des libertés. Il détermine les conditions et les garanties selon lesquelles il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 en matière de traitements à des fins de recherche scientifique ou historique ou à des fins statistiques. Il précise les conditions d'application de l'article 49-3 de loi du 6 janvier 1978, relatif au traitement transfrontalier au sein de l'Union européenne. Il fixe la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Il fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. Le décret achève la transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données. Il précise notamment le contenu de l'analyse d'impact effectuée préalablement à la mise en œuvre d'un traitement, le contenu du contrat ou de l'acte juridique liant le sous-traitant à l'égard du responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement. Il procède aux coordinations nécessaires, notamment dans le code de procédure pénale pour les fichiers de police judiciaire, particulièrement pour le traitement d'antécédents judiciaires, ainsi que dans le code pénal, pour les contraventions d'atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Enfin, il prévoit que la Commission nationale de l'informatique et des libertés transmet aux responsables de traitement l'ensemble des demandes tendant à la mise en œuvre des droits d'accès indirect, de rectification et d'effacement prévus par le chapitre XIII de la loi du 6 janvier 1978 qui lui ont été adressées avant l'entrée en vigueur du présent décret.
Références : le décret est pris en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr).


Le Premier ministre,
Sur le rapport de la garde des sceaux, ministre de la justice,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de l'action sociale et des familles ;
Vu le code de la défense ;
Vu le code de justice administrative ;
Vu le code de l'organisation judiciaire ;
Vu le code du patrimoine ;
Vu le code pénal ;
Vu le code de procédure pénale ;
Vu le code des relations entre le public et l'administration ;
Vu le code de la santé publique ;
Vu le code de la sécurité intérieure ;
Vu la loi du 29 juillet 1881 sur la liberté de la presse ;
Vu la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en dernier lieu par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
Vu la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire, modifiée ;
Vu l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante, modifiée ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié ;
Vu le décret n° 2006-781 du 3 juillet 2006 fixant les conditions et les modalités de règlement des frais occasionnés par les déplacements temporaires des personnels civils de l'Etat ;
Vu le décret n° 2016-1930 du 28 décembre 2016 portant simplification des formalités préalables relatives à des traitements à finalité statistique ou de recherche ;
Vu la délibération n° 2018-284 du 21 juin 2018 portant avis de la Commission nationale de l'informatique et des libertés ;
Vu l'avis du Conseil national d'évaluation des normes en date du 5 juillet 2018 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :

  • Titre IER : DISPOSITIONS PORTANT MODIFICATIONS DU DÉCRET N° 2005-1309 DU 20 OCTOBRE 2005


    Le décret du 20 octobre 2005 susvisé est modifié conformément aux dispositions des articles 2 à 27 du présent décret.


    L'article 3 est ainsi modifié :
    1° Les cinquième à septième alinéas sont ainsi rédigés :
    « 3° Les avis émis par la commission lorsqu'elle est saisie de la création de traitements mentionnés aux articles 26 et 27 de la loi du 6 janvier 1978 susvisée ;
    « 4° Les lignes directrices, recommandations ou référentiels et les méthodologies de référence mentionnés au a bis, ainsi que les règlements types mentionnés au b du 2° du I de l'article 11 de la même loi ;
    « 5° Les décisions élaborant ou approuvant les critères des référentiels de certification et d'agrément mentionnés au f bis du 2° du I de l'article 11 de la même loi ; »
    2° Au huitième alinéa, les mots : « mentionnés à l'article 53 » sont remplacés par les mots : « en application du chapitre IX » ;
    3° Cet article est complété par trois alinéas ainsi rédigés :
    « 7° Les clauses contractuelles types de protection des données mentionnées à l'article 28 et à l'article 46 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
    « 8° Les décisions et avis relatifs aux codes de conduite mentionnés au 5 de l'article 40 du même règlement ;
    « 9° Les listes de traitement mentionnées aux 4 et 5 de l'article 35 du même règlement et au i du 2° du I de l'article 11 de la même loi. »


    Au troisième alinéa de l'article 4, les mots : « Sauf lorsqu'elle statue en application des troisième et cinquième alinéas de l'article 16 de la loi du 6 janvier 1978 susvisée, » sont supprimés et le mot : « afferent » est remplacé par le mot : « afférent ».


    L'article 4-1 est remplacé par les dispositions suivantes :


    « Art. 4-1.-I.-Le président de la commission et le vice-président délégué peuvent, après en avoir informé la formation plénière de la commission, donner délégation au secrétaire général pour signer les seuls actes suivants :
    « 1° Tous actes ayant pour objet :
    « a) La clôture d'une vérification diligentée en application du f du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée ;
    « b) Conformément à la procédure de consultation préalable prévue à l'article 36 du règlement (UE) 2016/679 du 27 avril 2016 précité, d'adresser un avis écrit au responsable de traitement ;
    « c) Le renouvellement du délai de mise en demeure en application de l'article 73 du présent décret ;
    « d) La désignation d'un expert ou d'un médecin en application des articles 67 et 68 du présent décret ;
    « e) La prolongation des délais mentionnés au 2 de l'article 36 du règlement (UE) 2016/679 du 27 avril 2016 précité, à l'article 28 et au V de l'article 54 de la même loi ainsi qu'aux articles 6-1,6-6,6-7 et 6-8 du présent décret ;
    « 2° Tout acte ayant pour objet le constat du respect des conditions mentionnées au 4 de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016 précité ;
    « 3° Tous actes ayant pour objet :
    « a) Le recrutement, la gestion et la rémunération du personnel de la commission ;
    « b) La gestion de son budget ;
    « c) La communication et la diffusion de documents administratifs ;
    « d) Tous marchés et conventions nécessaires à son fonctionnement ;
    « 4° Tous actes ayant pour objet d'exercer les attributions mentionnées au c du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée et au 9 de l'article 60 du règlement (UE) 2016/679 du 27 avril 2016 précité.
    « II.-Dans les conditions fixées par le président de la commission, le secrétaire général peut donner délégation aux agents d'encadrement placés sous son autorité à l'effet de signer, dans la limite de leurs attributions, tous actes pour lesquels il a lui-même reçu une délégation de signature en application du 2°, du 3° et du 4° du I.
    « Les agents mentionnés à l'alinéa précédent peuvent eux-mêmes donner délégation pour signer tous actes relatifs aux affaires pour lesquelles ils ont eux-mêmes reçu délégation :
    « 1° Aux agents de catégorie A placés sous leur autorité pour les actes mentionnés au 3° du I ;
    « 2° Aux agents chargés de l'instruction des affaires mentionnées au 4° du I.
    « III.-Ces délégations s'exercent sous l'autorité du président et du vice-président délégué ainsi que, le cas échéant, sous l'autorité du supérieur hiérarchique immédiat des agents concernés.
    « IV.-Ces délégations sont publiées sur le site internet de la Commission nationale de l'informatique et des libertés. »


    Au premier alinéa de l'article 6, les mots : « 28 mai 1990 susvisé » sont remplacés par les mots : « n° 2006-781 du 3 juillet 2006 fixant les conditions et les modalités de règlement des frais occasionnés par les déplacements temporaires des personnels civils de l'Etat ».


    L'article 6-1 est ainsi modifié :
    1° Au premier alinéa du I, après les mots : « du a du 4° », sont insérés les mots : « du I », et les mots : « du Gouvernement » sont supprimés ;
    2° Le deuxième alinéa est complété par les mots : « lorsque la commission est saisie de projets de loi ou de décret ou de toute disposition de projet de loi ou de décret » ;
    3° Le troisième alinéa du I est supprimé ;
    4° Le II est remplacé par les dispositions suivantes :
    « Les avis destinés au président de l'Assemblée nationale, au président du Sénat, aux commissions parlementaires de l'Assemblée nationale et du Sénat ou aux présidents de groupe parlementaire peuvent être publiés par leur destinataire ou, avec l'accord de ce dernier, par la Commission nationale de l'informatique et des libertés. » ;
    5° Cet article est complété par deux alinéas ainsi rédigés :
    « III. - La commission, saisie dans le cadre du d du 2° du I de l'article 11 de la même loi, ou sur le fondement de toute autre disposition législative prévoyant qu'un acte réglementaire est pris après avis de la commission, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande. Ce délai peut être prolongé d'un mois sur décision motivée du président de la commission. En cas d'urgence, ce délai est ramené à un mois à la demande du Gouvernement lorsque la commission est saisie par ce dernier.
    « IV. - Lorsqu'il n'est pas rendu à l'expiration des délais prévus au I et au III, l'avis demandé à la commission est réputé donné. »


    Après l'article 6-1, sont insérés huit articles ainsi rédigés :


    « Art. 6-2.-En vue de faciliter l'introduction des réclamations visées au c du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la commission fournit notamment un formulaire de réclamation pouvant être rempli par voie électronique.
    « Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet.


    « Art. 6-3.-L'accomplissement des missions de la commission est gratuit pour la personne concernée et pour le délégué à la protection des données.
    « Toutefois, lorsqu'une demande est manifestement infondée ou excessive en raison notamment de son caractère répétitif, la commission peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. En cas de contestation, la charge de la preuve du caractère manifestement infondé ou excessif de la demande incombe à la commission.


    « Art. 6-4.-Les listes de traitements établies par la commission en application des 4 et 5 de l'article 35 du règlement (UE) 2016/679 du 27 avril 2016 précité et du i du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée sont publiées au Journal officiel de la République française.


    « Art. 6-5.-La Commission nationale de l'informatique et des libertés contribue aux activités du comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 précité.


    « Art. 6-6.-En application de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 précité, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants soumettent un projet de code de conduite, une modification ou une prorogation d'un code existant à la Commission nationale de l'informatique et des libertés.
    « La commission approuve ce projet de code, cette modification ou cette prorogation dans un délai de quatre mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
    « Si la commission saisit, en application du 7 de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à la notification de l'avis rendu par ce comité ou, le cas échéant, de la décision prise par la Commission européenne, en application des règles relatives au mécanisme de contrôle de la cohérence. La commission informe le demandeur de cette saisine et des suites de celle-ci.


    « Art. 6-7.-Lorsque la Commission nationale de l'informatique et des libertés est saisie d'une demande d'approbation de règles d'entreprises contraignantes mentionnées à l'article 47 du règlement (UE) 2016/679 du 27 avril 2016 précité, elle communique un projet de décision au comité européen de la protection des données mentionné à l'article 68 du même règlement dans un délai de quatre mois. Ce délai peut être prorogé de deux mois supplémentaires sur décision de son président. La commission informe le demandeur de cette transmission.
    « Après réception de l'avis du comité européen de la protection des données en vertu de l'article 64 du règlement (UE) 2016/679 du 27 avril 2016 précité ou, le cas échéant, après la mise en œuvre de la procédure de règlement des litiges par le comité en application de l'article 65 du même règlement, la commission se prononce sur la demande dans un délai d'un mois. Lorsque la commission ne s'est pas prononcée dans ce délai, la demande est réputée rejetée.


    « Art. 6-8.-I.-Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au f bis du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.
    « La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.
    « Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.
    « II.-Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.
    « La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
    « Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement précité. La commission informe le demandeur de cette saisine et des suites de celle-ci.
    « Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.
    « III.-Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.
    « Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.


    « Art. 6-9.-Si la commission saisit le comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 précité en dehors des délais prévus aux articles 6-6,6-7 et 6-8, elle rend une décision au plus tard un mois après la notification de la décision du comité. »


    A l'article 7, après les mots : « demande d'avis », sont insérés les mots : « , de consultation ».


    L'article 8 est ainsi modifié :
    1° Au premier alinéa, après les mots : « demandes d'avis », est inséré le mot : « , consultations » ;
    2° Le deuxième alinéa est ainsi rédigé :
    « Les déclarations, consultations et demandes sont adressées à la commission par voie électronique. » ;
    3° Les troisième à cinquième alinéas sont supprimés ;
    4° Le dernier alinéa est ainsi rédigé :
    « La décision par laquelle le président renouvelle ou prolonge les délais dont dispose la commission pour notifier ses avis et autorisations est notifiée au responsable du traitement par lettre remise contre signature ou par voie électronique dans les conditions fixées au deuxième alinéa de l'article L. 112-15 du code des relations entre le public et l'administration. »


    L'article 9 est ainsi modifié :
    1° Au premier alinéa, les mots : « ou d'autorisation » sont remplacés par les mots : « , d'autorisation ou une consultation » ;
    2° Au deuxième alinéa, les mots : « ou demande d'autorisation » sont remplacés par les mots : « , demande d'autorisation ou toute consultation ».


    Au premier alinéa de l'article 10, les mots : « ou une demande d'autorisation » sont remplacés par les mots : « , une demande d'autorisation ou une consultation ».


    L'article 11 est ainsi modifié :
    1° Le premier alinéa est supprimé ;
    2° Au deuxième alinéa les mots : « En cas de modification substantielle affectant les informations mentionnées au I » sont remplacés par les mots : « Pour l'application ».


    Le chapitre II du titre II est abrogé.


    Au premier alinéa de l'article 15, après les mots : « par lettre remise contre signature », sont insérés les mots : « ou par voie électronique dans les conditions fixées au deuxième alinéa de l'article L. 112-15 du code des relations entre le public et l'administration ».


    A l'article 17, les mots : « ou du III de l'article 27 » sont supprimés.


    L'article 19 est abrogé.


    Le chapitre IV du titre II est ainsi modifié :
    1° Dans l'intitulé, les mots : « demandes d'autorisation de » et les mots : « ayant pour fin la recherche, les études et les évaluations » sont supprimés ;
    2° Il est rétabli un article 19 ainsi rédigé :


    « Art. 19.-Les traitements de données à caractère personnel dans le domaine de la santé mentionnés au premier alinéa de l'article 55 de la loi du 6 janvier 1978 susvisée ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites peuvent utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques dans les conditions prévues au deuxième alinéa du même article 55 lorsqu'une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l'urgence sanitaire.
    « Le numéro d'inscription au répertoire national d'identification des personnes physiques est collecté soit directement auprès des personnes concernées, soit indirectement auprès de leurs proches ou de toutes personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités.
    « Sa transmission et sa conservation sur support électronique ou numérique font l'objet d'un chiffrement, conforme aux recommandations ou référentiels adoptés par la Commission nationale de l'informatique et des libertés. Il est conservé pour la durée nécessaire à l'appariement de données. » ;


    3° Après l'article 19, il est inséré une section 1 ainsi rédigée :


    « Section 1
    « Dispositions communes relatives aux demandes d'autorisation


    « Art. 19-1.-Sous réserve des dispositions particulières du présent chapitre, les demandes d'autorisation formulées en application du chapitre IX de la loi du 6 janvier 1978 susvisée sont instruites dans les conditions prévues au titre II du présent décret. » ;


    4° Après la section 1, il est inséré une section 2 dont l'intitulé est ainsi rédigé :


    « Section 2
    « Dispositions particulières relatives aux demandes d'autorisation de traitements de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé


    5° Les sections 1 et 2 deviennent les sous-sections 1 et 2 ;
    6° L'article 20 est ainsi modifié :
    a) Au premier alinéa, les mots : « au II de l'article 54 » sont remplacés par les mots : « à l'article 64 » ;
    b) Le second alinéa est remplacé par les deux alinéas suivants :
    « Ils sont déposés soit auprès de la Commission nationale de l'informatique et des libertés, après avis du comité compétent de protection des personnes en application du 1° de l'article 64 de la loi du 6 janvier 1978 susvisée, soit auprès du secrétariat unique confié, conformément au 2° de l'article L. 1462-1 du code de la santé publique, à l'Institut national des données de santé.
    « Les dossiers déposés auprès du secrétariat unique sont transmis dans un délai maximal de sept jours ouvrés au comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé pour rendre un avis sur le projet. » ;
    7° L'article 21 est ainsi modifié :
    a) Au 5°, les mots : « envisagées pour communiquer aux personnes concernées par le traitement les informations figurant à l'article 57 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « d'information prévues en application du règlement (UE) 2016/679 du 27 avril 2016 précité » et la dernière phrase est supprimée ;
    b) Au 12°, la référence : « VI » est remplacée par la référence : « IV » ;
    8° Au premier alinéa de l'article 22, les mots : « 2° du II de l'article 54 » sont remplacés par les mots : « 2° de l'article 64 » ;
    9° L'article 23 est ainsi modifié :
    a) Au premier alinéa, après les mots : « ou un avis », est inséré le mot : « favorable » ;
    b) Au deuxième alinéa, les mots : « Si le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé ou le comité de protection des personnes rend un avis favorable ou » sont supprimés, les mots : « le comité compétent » sont remplacés par les mots : « ce comité », et la référence : « III » est remplacée par la référence : « V » ;
    c) Au troisième alinéa, les mots : « chaque comité » sont remplacés par les mots : « le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé » ;
    10° L'article 24 est ainsi modifié :
    a) Au premier alinéa, les mots : « sixième alinéa du II de l'article 54 » sont remplacés par les mots : « deuxième alinéa de l'article 61 » ;
    b) La deuxième phrase du deuxième alinéa est supprimée ;
    11° L'article 25 est ainsi modifié :
    a) Au premier alinéa, les mots : « l'article 54 » sont remplacés par les mots : « le 2° de l'article 64 » ;
    b) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
    « Plusieurs sections peuvent être instituées au sein du comité en fonction de la nature ou de la finalité du traitement. » ;
    12° Au premier alinéa de l'article 26, les mots : « 2° du II de l'article 54 » sont remplacés par les mots : « 2° de l'article 64 » ;
    13° L'article 27 est ainsi modifié :
    a) Au I, le mot : « douze » est remplacé par le mot : « dix » et le deuxième alinéa est supprimé ;
    b) Au IV, les mots : « au 2° du II de l'article 54 de la loi du 6 janvier 1978 » sont remplacés par les mots : « à l'article 25 » ;
    c) Au V, les mots : « mentionnées au 2° du II de l'article 54 de la loi du 6 janvier 1978 » sont supprimés ;
    14° A l'article 32, les mots : « En application du II de l'article 54, » sont supprimés ;
    15° Après l'article 32, il est inséré une sous-section 3 ainsi rédigée :


    « Sous-section 3
    « Composition et fonctionnement du comité d'audit du système national des données de santé


    « Art. 32-1.-Le comité d'audit prévu à l'article 65 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.
    « Le comité d'audit est composé :
    « 1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;
    « 2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
    « 3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;
    « 4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;
    « 5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;
    « 6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;
    « 7° De représentants des organismes d'assurance maladie complémentaire ;
    « 8° Du président de l'Institut national des données de santé ou son représentant ;
    « 9° D'une personne représentant les acteurs privés du domaine de la santé ;
    « 10° D'une personnalité qualifiée.
    « Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.
    « Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.
    « Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.
    « Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.
    « La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.


    « Art. 32-2.-Les audits sont réalisés par des prestataires indépendants.
    « Si le périmètre de l'audit implique des données médicales individuelles, le prestataire retenu doit prévoir la présence d'un médecin auprès des auditeurs pour tous les aspects de l'audit concernant ces données.
    « Le président du comité d'audit suit la mise en œuvre des audits et en rend compte au comité.
    « Le comité d'audit et le prestataire fondent leur action sur une charte d'audit définie par arrêté du ministre chargé des affaires sociales et de la santé pris après avis de la Commission nationale de l'informatique et des libertés.


    « Art. 32-3.-Le président du comité d'audit envoie une notification à l'entité auditée pour l'avertir de l'audit. Cette notification rappelle notamment l'objet de la mission, l'identité des auditeurs, la procédure d'audit, le droit d'opposition à l'audit de l'entité auditée qui peut s'exercer à tout moment ainsi que les délais et les voies de recours de l'entité auditée.
    « Si l'entité auditée fait état de son droit d'opposition à l'audit, les auditeurs alertent aussitôt le président du comité d'audit qui en informe sans délai le président de la Commission nationale de l'informatique et des libertés.
    « Les auditeurs ont accès de 8 heures à 20 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre des traitements de données à caractère personnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
    « Pour l'exercice de leurs missions, les auditeurs peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles. Les auditeurs peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
    « Les auditeurs peuvent procéder à toute constatation utile. Les auditeurs peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles. Les auditeurs peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
    « En cas de difficultés lors de l'audit, l'entité auditée peut saisir le président du comité d'audit afin qu'il s'assure de la conformité du comportement du prestataire et de ses auditeurs aux exigences découlant de la loi du 6 janvier 1978 susvisée, du présent décret, de la charte d'audit mentionnée à l'article 32-2 et des clauses du marché public sur le fondement duquel ils interviennent.


    « Art. 32-4.-L'audit donne lieu à un rapport qui est transmis, pour contradiction, à l'entité auditée. Ce rapport rappelle l'objet de la mission, les membres de celle-ci, les personnes rencontrées, le cas échéant leurs déclarations, les demandes formulées par les auditeurs ainsi que les éventuelles difficultés rencontrées. Les manquements et dysfonctionnements constatés par les auditeurs à la loi du 6 janvier 1978 susvisée et aux dispositions du code de la santé publique relatives au système national des données de santé sont consignés dans ces rapports ainsi que les recommandations en découlant.
    « Le rapport est signé par les auditeurs. Il est envoyé, après validation par le président du comité d'audit, par ce dernier par lettre recommandée avec accusé de réception à l'entité auditée.
    « Lorsque l'audit conduit à l'accès à des données médicales individuelles, le médecin désigné par le prestataire consigne dans un rapport les vérifications qu'il a faites sans faire état des données médicales individuelles auxquelles il a eu accès. Le rapport, après validation par le président du comité d'audit, est transmis par ce dernier par lettre recommandée avec accusé de réception à l'entité contrôlée.
    « L'entité auditée dispose d'un délai d'un mois pour répondre à compter de la réception des rapports. Ses réponses doivent comporter un plan d'action et un calendrier de mise en œuvre de ses actions.
    « Au vu des réponses de l'entité auditée, de son plan d'action et de son calendrier de mise en œuvre, les auditeurs formalisent des rapports définitifs. Ces rapports définitifs sont signés par les auditeurs et le président du comité d'audit, après validation par ce dernier. Ils sont envoyés aux entités auditées par lettre recommandée avec accusé de réception par le président du comité d'audit.
    « Les rapports définitifs sont systématiquement transmis au président de la Commission nationale de l'informatique et des libertés, et à tous les corps de contrôle qui en font la demande.
    « L'intégralité des pièces justificatives sont transmises par les auditeurs au président du comité d'audit.


    « Art. 32-5.-Les entités auditées rendent compte au président du comité d'audit et aux auditeurs de la mise en œuvre de leur plan d'action tous les six mois ou selon le calendrier arrêté par les parties. Les entités auditées doivent fournir à cette occasion tout document justifiant de cette mise en œuvre.
    « Le président du comité d'audit et les auditeurs suivent la mise en œuvre de ces plans d'action.


    « Art. 32-6.-Le président du comité d'audit rend compte annuellement au ministre chargé des affaires sociales et de la santé ainsi qu'au comité stratégique de la stratégie d'audit du comité d'audit, des audits réalisés, du niveau global de maîtrise des opérations, des problèmes significatifs constatés ainsi que des recommandations formulées pour respecter la législation en vigueur, les référentiels et réduire les risques.
    « Le président du comité d'audit présente les principales conclusions et recommandations des audits au comité d'audit. » ;


    16° La section 3 devient la sous-section 4 ;
    17° La section 4 devient la section 3 ;
    18° L'article 34 est ainsi rédigé :
    « Le président du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, siégeant à l'assemblée générale de l'Institut national des données de santé, peut avoir recours aux membres du comité d'expertise pour participer à la formalisation des référentiels et règlements types mentionnés au II de l'article 54 de la loi du 6 janvier 1978 susvisée et des méthodologies de référence mentionnées à l'article 62 de la même loi.
    « La commission ou, par délégation, le président ou le vice-président délégué établit ces référentiels et règlements types et homologue ces méthodologies de référence. Ceux-ci sont publiés au Journal officiel de la République française. » ;
    19° L'article 34-2 est ainsi modifié :
    a) Les mots : « pris un engagement » sont remplacés par les mots : « fait une déclaration » ;
    b) Après les mots : « de conformité à », sont insérés les mots : « l'un des référentiels, l'un des règlements types ou à » ;
    c) Les mots : « seul cet engagement est envoyé » sont remplacés par les mots : « seule cette déclaration est envoyée » ;
    d) La deuxième phrase est supprimée ;
    20° Les articles 34-3 et 34-4 sont abrogés ;
    21° La section 5 devient la section 4 ;
    22° L'article 35 est abrogé ;
    23° A l'article 36, les mots : « Pour l'application du III de l'article 57 » sont remplacés par les mots : « Concernant les données du système national des données de santé et de ses composantes » ;
    24° L'article 37 est ainsi modifié :
    a) Les mots : « ayant pour fin la recherche, une étude ou une évaluation » sont remplacés par les mots : « de données à caractère personnel » ;
    b) Après le mot : « informées », est inséré le mot : « individuellement » ;
    c) Les mots : « au I de l'article 57 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « par le règlement (UE) 2016/679 du 27 avril 2016 précité » ;
    25° L'article 38 est ainsi modifié :
    a) Les mots : « à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé » sont supprimés ;
    b) Après les mots : « à caractère personnel », sont insérés les mots : « dans le domaine de la santé » ;
    c) Les mots : « de la recherche, de l'étude ou de l'évaluation » sont remplacés par les mots : « du traitement » ;
    26° A l'article 40, les mots : « de l'article 60 » sont remplacés par les mots : « des articles 45 et 46 ».


    Le chapitre VI du titre II est abrogé.


    Le titre III est remplacé par les dispositions suivantes :


    « Titre III
    « DES DÉLÉGUÉS À LA PROTECTION DES DONNÉES


    « Art. 42.-Un délégué à la protection des données est désigné par le responsable du traitement ou par le sous-traitant en application de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 précité et de l'article 70-17 de la loi du 6 janvier 1978 susvisée.
    « Le délégué veille au respect des obligations prévues par le règlement (UE) 2016/679 du 27 avril 2016 précité et par la loi du 6 janvier 1978 susvisée, sauf en ce qui concerne les traitements qui intéressent la sûreté de l'Etat et la défense.


    « Art. 43.-La communication à la Commission nationale de l'informatique et des libertés des coordonnées prévues au 7 de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 précité et à l'article 70-17 de la loi du 6 janvier 1978 susvisée comporte les mentions suivantes :
    « 1° Les nom, prénom et coordonnées professionnelles du responsable du traitement ou du sous-traitant ou, le cas échéant, ceux de son représentant, ainsi que ceux du délégué à la protection des données. Pour les personnes morales responsables du traitement et les sous-traitants, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;
    « 2° Lorsque le délégué à la protection des données est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de délégué.
    « Les coordonnées mentionnées au 1° et au 2° sont communiquées sans délai à la Commission nationale de l'informatique et des libertés par voie électronique ainsi que toutes modifications de celles-ci.
    « La dénomination et les coordonnées professionnelles de l'organisme ainsi que les moyens de contacter le délégué à la protection des données font l'objet d'une diffusion dans un format ouvert et aisément réutilisable par la Commission nationale de l'informatique et des libertés.


    « Art. 44.-Conformément à l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 précité, les responsables du traitement ou les sous-traitants peuvent désigner un seul délégué à la protection des données qui exercent sa mission pour le compte de plusieurs d'entre eux.
    « Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux, et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement. »


    Le chapitre Ier du titre IV est ainsi modifié :
    1° A l'article 57, les mots : «, de catégorie A ou assimilés, » sont supprimés ;
    2° Après l'article 60, il est inséré une section 2 ainsi rédigée :


    « Section 2
    « L'habilitation des membres et agents des autres autorités de contrôle des Etats membres de l'Union européenne


    « Art. 60-1.-L'habilitation prévue au III de l'article 49-1 de la loi du 6 janvier 1978 susvisée est délivrée aux membres et agents des autorités de contrôle des Etats membres de l'Union européenne pour la durée de l'opération conjointe qui se déroule sur le territoire français.


    « Art. 60-2.-Lorsque l'autorité de contrôle d'un Etat membre demande la participation d'un de ses membres ou agents à une opération conjointe, elle atteste auprès du président de la Commission nationale de l'informatique et des libertés qu'ils répondent aux conditions prévues aux articles 58 et 59. Le président de la commission est tenu de refuser l'habilitation si le membre ou l'agent ne respecte pas ces conditions.


    « Art. 60-3.-Le président de la Commission nationale de l'informatique et des libertés peut retirer l'habilitation délivrée en application de l'article 60-1 si les conditions prévues aux articles 58 et 59 cessent d'être remplies. L'intéressé est mis en demeure de présenter ses observations. En cas d'urgence, le président de la commission peut suspendre l'habilitation. Il informe l'autorité de contrôle concernée du retrait ou de la suspension. » ;


    3° Au premier alinéa de l'article 62, après les mots : « responsable du traitement », sont insérés les mots : « ou le sous-traitant » et le mot : « huit » est remplacé par le mot : « quinze » ;
    4° Au deuxième alinéa de l'article 62-1, après le mot : « contrôle », sont insérés les mots : «, le cas échéant le nom et la qualité du ou des agents ou membres des autorités de contrôle des Etats membres habilités à procéder aux mêmes opérations, » ;
    5° L'article 63 est ainsi modifié :
    a) A la première phrase, les mots : « de l'article 49 » sont remplacés par les mots : « des articles 49 à 49-4 », les mots : « exerçant des compétences analogues aux siennes dans un autre Etat membre de la Communauté » sont remplacés par les mots : « de contrôle d'un autre Etat membre de l'Union » et après les mots : « responsable du traitement », sont insérés les mots : « ou le sous-traitant » ;
    b) La seconde phrase est supprimée ;
    c) L'article est complété par un alinéa ainsi rédigé :
    « Que le contrôle ait été effectué à la demande d'une autre autorité ou à sa seule initiative, la commission informe également le responsable du traitement que les informations recueillies ou détenues par elle sont susceptibles d'être communiquées à d'autres autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence prévu à la section 2 du chapitre VII du règlement (UE) 2016/679 du 27 avril 2016 précité. » ;
    6° Au dernier alinéa de l'article 64, après les mots : « responsable des traitements », sont insérés les mots : « ou au sous-traitant » ;
    7° Après l'article 65, il est inséré une section 4 ainsi rédigée :


    « Section 4
    « Le contrôle en ligne


    « Art. 65-1.-Lorsque les membres ou agents font usage d'une identité d'emprunt au sens du III de l'article 44 de la loi du 6 janvier 1978 susvisée, pour contrôler des services de communication au public en ligne d'un responsable du traitement ou d'un sous-traitant, ils dressent un procès-verbal des opérations en ligne réalisées, des modalités de consultation et d'utilisation de ces services, des réponses obtenues et de leurs constatations. Y sont annexées les pages pertinentes du site ou toute autre information au regard des constatations effectuées. Ce procès-verbal est adressé au responsable du traitement ou au sous-traitant. » ;


    8° L'article 66 est ainsi modifié :
    a) Au premier alinéa, les mots : « personnes chargées du contrôle » sont remplacés par les mots : « agents habilités en application des articles 19 et 49-1 de cette même loi », les mots : « convoquer et » sont supprimés et le mot : « utiles » est remplacé par le mot : « utile » ;
    b) Au deuxième alinéa, les mots : « La convocation, adressée » sont remplacés par les mots : « Les agents habilités en application de l'article 19 précité adressent la convocation, » et après les mots : « acte d'huissier, », est inséré le mot : « qui » ;
    9° Au premier alinéa de l'article 67, les mots : « du deuxième alinéa » sont supprimés ;
    10° L'article 68 est ainsi modifié :
    a) Au premier alinéa, les mots : « telles que visées au troisième alinéa du » sont remplacés par les mots : « dans les cas prévus au » ;
    b) Au dernier alinéa, les mots : « professionnel de santé » sont supprimés et après les mots : « responsable du traitement », sont ajoutés les mots : « ou du sous-traitant » ;
    11° Les sections 2,3,4 et 5 deviennent respectivement les sections 3,5,6 et 7.


    Le chapitre II du titre IV est ainsi modifié :
    1° Son intitulé est remplacé par l'intitulé : « Mesures et sanctions » ;
    2° L'article 73 est ainsi modifié :
    a) Le premier alinéa est supprimé ;
    b) Au deuxième alinéa, après les mots : « au responsable du traitement », sont insérés les mots : « ou au sous-traitant » et les mots : « de la loi » sont remplacés par les mots : « du règlement (UE) 2016/679 du 27 avril 2016 précité ou de la loi du 6 janvier 1978 susvisée » ;
    c) Au troisième alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et le mot : « trois » est remplacé par le mot : « six » ;
    d) Au dernier alinéa, après les mots : « au responsable du traitement », sont insérés les mots : « ou au sous-traitant » ;
    3° L'article 74 est ainsi modifié :
    a) Au premier alinéa, les mots : « répondant aux exigences mentionnées au II de l'article 14 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « en informe le responsable de traitement ou le sous-traitant mis en cause » ;
    b) Au second alinéa, après les mots : « Le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et après les mots : « du responsable du traitement », sont insérés les mots : « ou du sous-traitant » ;
    4° L'article 75 est ainsi modifié :
    a) Au premier alinéa, la référence : « 46 » devient la référence : « 47 » et après les mots : « au responsable du traitement », sont insérés les mots : « ou au sous-traitant » ;
    b) Au deuxième alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et la deuxième phrase est supprimée ;
    c) L'article est complété par trois alinéas ainsi rédigés :
    « Le rapporteur peut répondre au responsable du traitement ou au sous-traitant dans les quinze jours suivant la réception des observations du mis en cause. Le responsable du traitement ou le sous-traitant dispose d'un nouveau délai de quinze jours pour, le cas échéant, produire des observations écrites. La formation restreinte est destinataire des courriers et pièces échangées en application du présent alinéa.
    « Le responsable du traitement ou le sous-traitant est informé que passés les délais mentionnés aux alinéas précédents, sauf report de la clôture de l'instruction, l'instruction est close et ses observations écrites seront déclarées irrecevables par la formation restreinte.
    « A tout moment, le rapporteur peut décider de modifier son rapport, notamment, au vu d'éléments portés à sa connaissance par le responsable du traitement ou le sous-traitant. Il est alors fait application de la procédure prévue aux alinéas précédents. Si la modification intervient après la clôture de l'instruction, l'instruction est rouverte. » ;
    5° L'article 76 est ainsi modifié :
    a) A la première phrase, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et les mots : « par lettre remise contre signature, ou remise en main propre contre récépissé ou acte d'huissier » sont remplacés par les mots : « par tout moyen permettant d'attester la date de sa notification » ;
    b) A la deuxième phrase, le mot : « lettre » est remplacé par le mot : « information » ;
    c) A la troisième phrase, après les mots : « En cas de réexamen », sont ajoutés les mots : « ou de report » ;
    d) La dernière phrase est supprimée ;
    6° L'article 77 est ainsi modifié :
    a) Au premier alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et au début de la deuxième phrase, sont ajoutés les mots : « Lorsqu'il assiste à la séance, » ;
    b) Le deuxième alinéa est supprimé ;
    7° Au deuxième alinéa de l'article 78, les mots : « lettre remise contre signature, ou remise en main propre contre récépissé ou acte d'huissier » sont remplacés par les mots : « tout moyen permettant d'attester la date de sa notification » et les mots : « commissaire du Gouvernement » sont remplacés par les mots : « président de la commission » ;
    8° Après l'article 78, il est inséré un article 78-1 ainsi rédigé :


    « Art. 78-1.-Les dispositions du présent chapitre sont applicables lorsqu'est mis en cause un organisme de certification ou un organisme chargé du respect d'un code de conduite en application de l'article 48 de la loi du 6 janvier 1978 susvisée. » ;


    9° L'article 79 est ainsi modifié :
    a) Au premier alinéa, les mots : « de la dernière phrase de l'article 76 » sont remplacés par les mots : « des troisième et quatrième alinéas de l'article 75 » et les mots : « 1°, 2° et 3° du II de l'article 45 » sont remplacés par les mots : « 1° à 7° du I de l'article 46 » ;
    b) Au deuxième alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et le mot : « quinze » est remplacé par le mot : « huit » ;
    c) Au troisième alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » et le mot : « quinze » est remplacé par le mot : « huit » ;
    10° L'article 80 est ainsi modifié :
    a) Au premier alinéa, les mots : « sont mentionnés aux I et II de l'article 26 » sont remplacés par les mots : « intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII » et après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » ;
    b) Au deuxième alinéa, après les mots : « le responsable du traitement », sont insérés les mots : « ou le sous-traitant » ;
    11° Aux I et II de l'article 81, les mots : « III de l'article 45 » sont remplacés par les mots : « IV de l'article 46 » ;
    12° Après l'article 81, il est inséré une section 5 ainsi rédigée :


    « Section 5
    « Coopération et assistance


    « Sous-section 1
    « Dispositions communes


    « Art. 81-1.-Les articles 74 à 78 sont applicables à la présente section.
    « Les sous-sections 2 et 3 s'appliquent lorsque la Commission nationale de l'informatique et des libertés entend adopter une mesure correctrice en tant qu'autorité chef de file au sens de l'article 56 du règlement (UE) 2016/679 du 27 avril 2016 précité pour les opérations de traitement relevant du champ d'application de ce règlement.


    « Art. 81-2.-Sous réserve des actes d'exécution adoptés par la Commission européenne en application de l'article 67 du règlement (UE) 2016/679 du 27 avril 2016 précité, les communications entre la Commission nationale de l'informatique et des libertés et les autres autorités de contrôle ou entre la Commission nationale de l'informatique et des libertés et le comité européen de la protection des données se font par tout moyen électronique permettant d'attester la date de réception.
    « Si cette communication s'avère longue ou difficile en raison de la nature ou du volume des informations échangées, la commission transmet ces informations par tout moyen ou les tient à disposition des autres autorités de contrôle ou du comité européen de la protection des données.


    « Art. 81-3.-Lorsqu'elle notifie sa décision finale au responsable du traitement ou au sous-traitant, la commission y joint, le cas échéant, la décision du comité européen de la protection des données.


    « Sous-section 2
    « Avertissement et mise en demeure


    « Art. 81-4.-Le président de la commission soumet sans tarder aux autorités de contrôle concernées le projet d'avertissement prévu au I de l'article 45 de la loi du 6 janvier 1978 susvisée ou le projet de mise en demeure prévu au II de ce même article.


    « Art. 81-5.-Si les objections des autorités de contrôle concernées tendent à ce que soit prononcée une mesure prévue au titre du III de l'article 45 en lieu et place de la mesure initialement proposée en application du I ou du II de l'article 45, le président de la commission désigne sans tarder un rapporteur qui instruit l'affaire en tenant compte de ces objections dans les conditions prévues à l'article 75. La formation restreinte adopte une décision finale dans les conditions prévues à la sous-section suivante.


    « Sous-section 3
    « Formation restreinte


    « Art. 81-6.-La formation restreinte communique aux autorités de contrôle concernées le rapport et les informations utiles mentionnés au premier alinéa de l'article 49-3 de la loi du 6 janvier 1978 susvisée, au plus tard une semaine après la notification prévue au premier alinéa de l'article 75.
    « Les autorités de contrôle concernées sont informées de la date de la séance de la formation restreinte prévue à l'article 76 en même temps que le responsable du traitement ou le sous-traitant et reçoivent toute information utile, notamment les observations en défense du mis en cause. Elles sont mises en mesure d'assister à l'audition par le biais d'outils de visioconférence ou communication électronique permettant leur identification ou d'en prendre connaissance par le moyen d'un enregistrement. A défaut, un procès-verbal est dressé à son issue, dont elles peuvent prendre connaissance.


    « Art. 81-7.-La formation restreinte soumet sans tarder le projet de décision aux autres autorités de contrôle.


    « Art. 81-8.-Si les objections des autorités de contrôle concernées proposent de s'écarter du projet de décision mentionné à l'article 81-7 par la prise en compte d'une circonstance de fait nouvelle, l'ajout d'un manquement ou une modification de la nature de la mesure correctrice initialement proposée, la formation restreinte rouvre l'instruction et communique sans tarder au rapporteur ces objections afin qu'il complète son rapport et, le cas échéant, le modifie. L'affaire est instruite dans les conditions prévues aux articles 75 et suivants.


    « Art. 81-9.-Au terme des procédures prévues par les articles 60 et 65 du règlement (UE) 2016/679 du 27 avril 2016 précité, la formation restreinte arrête sa décision finale. Cette décision mentionne, le cas échéant, les échanges entre les autorités de contrôle ou avec le comité européen de la protection des données.


    « Sous-section 4
    « La Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle concernée


    « Art. 81-10.-A réception d'un projet de mesure correctrice émis par une autorité de contrôle chef de file, le président de la formation restreinte peut soit réunir cette dernière en vue d'émettre, le cas échéant, des objections pertinentes et motivées, soit traiter le cas ou le confier à un membre de la formation restreinte désigné par lui.


    « Sous-section 5
    « Procédure en cas de circonstances exceptionnelles


    « Art. 82.-Les troisième et quatrième alinéas de l'article 75 ne sont pas applicables à la procédure régissant les mesures prises en vertu du II de l'article 46 de la loi du 6 janvier 1978 susvisée.
    « Par dérogation au deuxième alinéa de l'article 75, le responsable du traitement ou le sous-traitant dispose d'un délai de huit jours pour transmettre à la formation restreinte ses observations écrites.
    « Par dérogation à l'article 76, la convocation du responsable du traitement ou le sous-traitant doit lui être parvenue au plus tard huit jours avant la date de son audition devant la formation restreinte.


    « Art. 82-1.-La formation restreinte communique la mesure provisoire adoptée ainsi que sa durée de validité, qui ne peut excéder trois mois conformément au 1 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016 précité, aux autorités de contrôle concernées, au comité européen de la protection des données et à la Commission européenne. Elle la notifie au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'attester la date de notification.
    « Cette décision est communiquée au président de la commission et au rapporteur.


    « Art. 82-2.-Le président de la formation restreinte réunit cette dernière afin qu'elle délibère au vu d'un rapport sur la nécessité d'adopter une mesure définitive. La formation restreinte peut, en motivant sa demande, saisir le comité européen de la protection des données d'un avis ou d'une décision. »


    Le titre V est ainsi modifié :
    1° A l'article 84, les mots : « le décret du 17 juillet 1998 susvisé » sont remplacés par les mots : « le code de la défense » et les mots : « la loi du 21 janvier 1995 susvisée » sont remplacés par les mots : « l'article L. 114-1 du code de la sécurité intérieure » ;
    2° L'article 86est ainsi modifié :
    a) Au premier alinéa, avant les mots : « Toute demande d'accès », sont insérés les mots : « Sous réserve des dispositions particulières applicables au titre VIII » et la référence au « 2° » est remplacée par la référence au « 1° » ;
    b) Il est ajouté un alinéa ainsi rédigé :
    « Dans le champ du règlement (UE) 2016/679 du 27 avril 2016 précité, les actes créant les traitements intéressant la sécurité publique contiennent les dispositions mentionnées au second paragraphe de l'article 23 de ce règlement. Pour ces traitements, les alinéas 1 à 3 de l'article 92 sont applicables. » ;
    3° L'article 87 est ainsi modifié :
    a) Après la deuxième phrase du premier alinéa, il est inséré une phrase ainsi rédigée :
    « A défaut de réponse du demandeur dans un délai de deux mois, la demande peut être rejetée. » ;
    b) Au deuxième alinéa, les mots : « Le responsable du traitement dispose pour réaliser ses investigations d'» sont remplacés par les mots : « Si la vérification par la commission nécessite la centralisation préalable de pièces et d'éléments, le responsable du traitement doit y procéder dans » ;
    c) Au dernier alinéa, le mot : « Lorsque » est remplacé par les mots : « Sans préjudice des dispositions spécifiques applicables à certains traitements, lorsque » ;
    4° L'article 87-1 est abrogé ;
    5° L'article 89 est ainsi modifié :
    a) Au premier alinéa, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés et les mots : « l'autorisation mentionnée aux articles 25,26 ou 27 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « l'acte instaurant le traitement » ;
    b) Le deuxième alinéa est supprimé.


    Le titre VI est ainsi modifié :
    1° Dans l'intitulé, après le mot : « traitements », sont insérés les mots : « et aux sous-traitants » ;
    2° Dans l'intitulé du chapitre Ier, après le mot : « traitements », sont insérés les mots : « et aux sous-traitants » ;
    3° A l'article 91-1, après les mots : « lettre remise contre signature », sont insérés les mots : « ou par voie électronique » ;
    4° L'article 92 est ainsi rédigé :
    « Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 38 à 40 de la loi du 6 janvier 1978 susvisée et aux articles 12 à 21 du règlement (UE) 2016/679 du 27 avril 2016 précité, elle justifie de son identité par tout moyen. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
    « Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l'identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.
    « Les délais prévus au 3 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 précité sont suspendus lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires pour identifier la personne concernée.
    « Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant lors de la délivrance du pli.
    « Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande est transmise immédiatement au responsable du traitement. » ;
    5° A l'article 93, les mots : « l'intéressé » sont remplacés par les mots : « la personne concernée » et après le mot : « traitement », sont insérés les mots : « ou du sous-traitant » ;
    6° L'article 94 est remplacé par les dispositions suivantes :
    « Sans préjudice du 4 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 précité, si la demande transmise par la personne concernée est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d'y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires dans les délais prévus au 3 de l'article 12 du même règlement.
    « Lorsque le responsable de traitement ou le sous-traitant ne s'est pas prononcé dans les délais mentionnés aux 3 et 4 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 précité, la demande est réputée rejetée. » ;
    7° A l'article 95, après le mot : « traitement », sont insérés les mots : «, le sous-traitant ou le délégué à la protection des données » et après le mot : « lexique », sont insérés les mots : « ou d'icônes normalisées » ;
    8° L'article 96 est ainsi modifié :
    a) Au premier alinéa, les mots : « au deuxième alinéa de l'article 38 de la loi du 6 janvier 1978 susvisée, l'intéressé est mis » sont remplacés par les mots : « aux 2 et 3 de l'article 21 du règlement (UE) 2016/679 du 27 avril 2016 précité, la personne concernée est mise » et après les mots : « son choix », sont insérés les mots : « à tout moment et, en tout état de cause, » ;
    b) Au second alinéa, les mots : « l'intéressé est mis » sont remplacés par les mots : « la personne concernée est mise » et après les mots : « d'opposition », sont insérés les mots : « à tout moment et, en tout état de cause, » ;
    9° Après l'article 100, il est inséré une section 5 ainsi rédigée :


    « Section 5
    « Garanties et dérogations applicables au traitement à des fins de recherche scientifique ou historique ou à des fins statistiques


    « Art. 100-1.-Les dérogations prévues au troisième alinéa de l'article 36 de la loi du 6 janvier 1978 susvisée relatif aux traitements à des fins de recherche scientifique ou historique ou à des fins statistiques s'appliquent uniquement dans les cas où les droits prévus aux articles 15,16,18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 précité risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
    « Les données issues de ces traitements conservées par le responsable du traitement ou son sous-traitant ne sont accessibles ou modifiables que par des personnes autorisées. Ces personnes respectent les règles de déontologie applicables à leurs secteurs d'activités. Les autorisations accordées par les responsables de traitement à ces personnes respectent les finalités spécifiques de l'alinéa précédent ainsi que les garanties prévues à l'alinéa suivant.
    « Ces données ne peuvent pas être diffusées sans avoir été préalablement anonymisées sauf si l'intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La diffusion de données à caractère personnel figurant dans des documents consultés en application de l'article L. 213-3 du code du patrimoine ne peut intervenir qu'après autorisation de l'administration des archives, après accord de l'autorité dont émanent les documents et avis du comité du secret statistique institué par l'article 6 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques en ce qui concerne les données couvertes par le secret en matière de statistiques. »


    Le titre VII est ainsi rédigé :


    « Titre VII
    « DES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS LES ÉTATS N'APPARTENANT PAS A L'UNION EUROPÉENNE


    « Art. 101.-Pour le transfert de données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne ou à une organisation internationale, la Commission nationale de l'informatique et des libertés peut autoriser les clauses contractuelles et les arrangements administratifs mentionnés aux a et b du 3 de l'article 46 du règlement (UE) 2016/679 du 27 avril 2016 précité. La commission se prononce dans un délai de deux mois à compter de la réception de la demande selon une procédure définie dans son règlement intérieur. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
    « La mise en œuvre du mécanisme de contrôle de la cohérence prévu à la section 2 du chapitre VII du règlement précité suspend les délais précités.


    « Art. 102.-Lorsque pour effectuer un transfert vers un Etat n'appartenant pas à l'Union européenne, le responsable du traitement ou le sous-traitant se fonde sur un code de conduite ou un mécanisme de certification approuvés conformément aux articles 6-6 et 6-8 du présent décret, il transmet à la Commission nationale de l'informatique et des libertés un engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.


    « Art. 103.-Lorsqu'un transfert a lieu en application du dernier alinéa du 1 de l'article 49 du règlement (UE) 2016/679 du 27 avril 2016 précité, le responsable du traitement fournit à la personne concernée les informations spécifiques mentionnées à cet alinéa. La Commission nationale de l'informatique et des libertés définit des modèles relatifs à sa propre information et fixe la liste des annexes qui, le cas échéant, doivent être jointes.


    « Art. 104.-Lorsqu'un transfert a lieu en application des articles 70-25 et 70-27 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés peut éditer des formulaires indiquant les éléments d'informations devant être transmis en vertu de ces articles. »


    Le titre VIII est ainsi rédigé :


    « Titre VIII
    « DISPOSITIONS APPLICABLES AUX TRAITEMENTS RELEVANT DU CHAPITRE XIII DE LA LOI DU 6 JANVIER 1978


    « Chapitre Ier
    « Dispositions générales


    « Art. 110.-Le présent titre s'applique, le cas échéant par dérogation aux autres dispositions du présent décret, aux traitements relevant du chapitre XIII de la loi du 6 janvier 1978 susvisée.
    « Les dispositions des articles 83 à 85 du présent décret sont applicables aux traitements de données à caractère personnel mentionnés à l'article 70-3 de la même loi.


    « Art. 110-1.-Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 70-4 de la loi du 6 janvier 1978 susvisée est, outre s'il porte sur des données mentionnées au I de l'article 8 de cette loi, déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
    « L'analyse d'impact contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions du chapitre XIII de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.
    « Lorsque la Commission nationale de l'informatique et des libertés est consultée préalablement à la mise en œuvre du traitement, le responsable du traitement ou le sous-traitant lui fournit l'analyse d'impact relative à la protection des données et, sur demande, toute autre information afin de lui permettre d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
    « Lorsque la Commission nationale de l'informatique et des libertés est d'avis que le traitement constituerait une violation des dispositions du chapitre XIII de la même loi, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit, dans le délai prévu par l'article 28 de la loi du 6 janvier 1978 susvisée, un avis écrit au responsable du traitement, et le cas échéant au sous-traitant. Elle peut également conseiller le responsable du traitement et faire usage des pouvoirs visés au e du 2° du I de l'article 11 et aux I, 2° et 4° du II et 1° à 3° du III de l'article 45 de la même loi.


    « Art. 110-2.-Le contrat ou l'autre acte juridique liant le sous-traitant à l'égard du responsable du traitement, mentionné à l'article 70-10 de la loi du 6 janvier 1978 susvisée, prévoit notamment que le sous-traitant :
    « 1° Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
    « 2° Aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions de la section 3 du chapitre XIII de la même loi ;
    « 3° Selon le choix du responsable du traitement et sous réserve d'un éventuel archivage dans l'intérêt public, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes ;
    « 4° Met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de l'article 70-10 précité et du présent article ;
    « 5° Respecte, pour recruter un autre sous-traitant, les conditions prévues au 2 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 précité, au dernier alinéa de l'article 70-10 précité et au présent article.
    « Cet acte juridique revêt la forme écrite, y compris la forme électronique.


    « Art. 110-3.-Le 1 de l'article 26 du règlement (UE) 2016/679 du 27 avril 2016 précité est applicable en ce qu'il concerne l'exercice des droits de la personne concernée prévus par la section 3 du chapitre XIII de la loi du 6 janvier 1978 susvisée et la communication des informations visées à l'article 70-18 de la même loi.
    « Toutefois, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées est obligatoire. Cette désignation doit être mentionnée dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.
    « Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.


    « Chapitre II
    « Droits de la personne concernée


    « Art. 110-4.-Le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l'article 70-18 de la loi du 6 janvier 1978 susvisée. Il procède à toute communication à la personne concernée, prévue par les articles 70-16,70-19 à 70-21 de la même loi, d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples.


    « Art. 110-5.-Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus au II de l'article 70-18 et aux articles 70-19 et 70-20 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen et précise l'adresse à laquelle doit parvenir la réponse. Elle peut exercer ses droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
    « Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.
    « Ces demandes peuvent être présentées par une personne spécialement mandatée à cet effet par le demandeur, après justification de son mandat, de son identité et de l'identité du mandant.
    « Lorsque la demande présentée sur place ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
    « Les dispositions des quatrième et cinquième alinéas de l'article 92 du présent décret sont applicables.
    « Le responsable du traitement répond par écrit à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception et dans les conditions prévues à l'article 95 du présent décret.
    « Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai prévu à l'alinéa précédent. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai prévu à l'alinéa précédent.
    « Lorsque le responsable du traitement ne s'est pas prononcé dans le délai de deux mois, la demande est réputée rejetée.


    « Art. 110-6.-Sans préjudice des dispositions spécifiques applicables à certains traitements, les demandes formées en application de l'article 70-22 de la loi du 6 janvier 1978 susvisée sont régies par les dispositions des articles 86 à 88 du présent décret. Sous peine d'irrecevabilité de sa demande, la personne concernée doit justifier auprès de la Commission nationale de l'informatique et des libertés soit de la réponse écrite du responsable du traitement attestant de la restriction de ses droits intervenue en application des II ou III de l'article 70-21 de la même loi, soit de la demande qu'elle a adressée à ce dernier plus de deux mois auparavant en application de l'article 110-5 du présent décret.
    « Lorsque les informations contenues dans l'un des traitements visés au premier alinéa font l'objet d'une procédure judiciaire, celles-ci ne peuvent être communiquées que si ladite procédure est close.


    « Chapitre III
    « De la coopération


    « Art. 110-7.-Pour la mise en œuvre de l'article 49-2 de la loi du 6 janvier 1978 susvisée, les dispositions des 2,3,6 et 7 de l'article 61 du règlement (UE) 2016/679 du 27 avril 2016 précité sont applicables. »


    Le chapitre V du titre II est ainsi rétabli :


    « Chapitre V
    « Dispositions particulières relatives aux traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes


    « Art. 41.-Sont autorisés à mettre en œuvre, conformément à l'article 9 de la loi du 6 janvier 1978 susvisée, les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes :
    « 1° Les associations d'aide aux victimes conventionnées par le ministère de la justice ;
    « 2° Les associations d'aide à la réinsertion des personnes placées sous-main de justice mentionnées à l'article 2-1 de la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire, dans le respect de leur objet social ;
    « 3° Les établissements et services mentionnés aux 2° du I de l'article L. 312-1 du code de l'action sociale et des familles au titre de leur mission d'accompagnement médico-social ;
    « 4° Les établissements et services mentionnés aux 4° et 14° du I de l'article L. 312-1 du code de l'action sociale et des familles ;
    « 5° Les lieux de vie et d'accueil mentionnés au III de l'article L. 312-1 du code de l'action sociale et des familles ;
    « 6° Les établissements médicaux ou médico-pédagogiques habilités mentionnés aux articles 15 et 16 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante ;
    « 7° Les institutions ou les établissements publics ou privés, d'éducation ou de formation professionnelle, habilités et les internats appropriés aux mineurs délinquants d'âge scolaire mentionnés aux articles 15 et 16 de l'ordonnance du 2 février 1945 précitée ;
    « 8° Les personnes morales de droit privé exerçant une mission de service public ou les associations habilitées mentionnées à l'article 16 ter de l'ordonnance du 2 février 1945 précitée ;
    « 9° Les mandataires judiciaires à la protection des majeurs mentionnés à l'article L. 471-1 du code de l'action sociale et des familles. »


    Au chapitre Ier du titre VI, il est ajouté un article 91-2-1 ainsi rédigé :


    « Art. 91-2-1. - Sont autorisés à déroger au droit à la communication d'une violation de données, dans les conditions prévues au III de l'article 40 de la loi du 6 janvier 1978 susvisée :
    « 1° Les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse ;
    « 2° Les traitements de données de gestion administrative, financière et opérationnelle ainsi que les traitements de données de santé pour lesquels la notification d'une divulgation ou d'un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées par la violation et des informations relatives à la vie privée qu'elles comportent telles que l'adresse ou la composition de la famille. »

  • Titre II : DISPOSITIONS DIVERSES ET FINALES


    Le code de procédure pénale est ainsi modifié :
    1° L'article R. 40-30 est ainsi modifié :
    a) La première phrase est ainsi rédigée :
    « Les opérations de collecte, de modification, de consultation et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date et l'heure de l'opération ainsi que sa nature administrative ou judiciaire. » ;
    b) A la deuxième phrase, le mot : « cinq » est remplacé par le mot : « six » ;
    2° L'article R. 40-31 est ainsi modifié :
    a) Au deuxième alinéa, la première occurrence du mot : « soit » et les mots : « soit, par l'intermédiaire de la Commission nationale de l'informatique et des libertés, au responsable du traitement » sont supprimés ;
    b) Au dernier alinéa, les mots : « ou le responsable du traitement » sont supprimés ;
    3° Au dernier alinéa de l'article R. 40-32, les mots : « les articles 41 et 44 » sont remplacés par les mots : « les articles 44 et 70-22 » ;
    4° L'article R. 40-33 est ainsi rédigé :


    « Art. R. 40-33. - I. - Le droit d'opposition prévu à l'article 38 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne s'applique pas au présent traitement.
    « Toute personne identifiée dans le fichier en qualité de victime peut cependant s'opposer à ce que des données à caractère personnel la concernant soient conservées dans le fichier dès lors que l'auteur des faits a été condamné définitivement. Ces personnes sont informées du droit d'opposition qui leur est ouvert.
    « II. - Sans préjudice de l'application de l'article R. 40-31, les droits d'information, d'accès, de rectification et d'effacement prévus aux articles 70-18 à 70-20 de la même loi s'exercent directement auprès du responsable du traitement.
    « III. - Afin d'éviter de gêner des enquêtes, des recherches et des procédures administratives ou judiciaires et de nuire aux enquêtes, aux poursuites ou à l'exécution des sanctions pénales, les droits d'accès, de rectification et d'effacement peuvent faire l'objet de restrictions en application des 2° et 3° du II et du III de l'article 70-21 de la même loi.
    « La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues à l'article 70-22 de la même loi.
    « La demande adressée à la Commission nationale de l'informatique et des libertés est traitée dans un délai de six mois. Dès réception de la demande, le responsable du traitement dispose d'un délai d'un mois et demi pour saisir le procureur de la République. Ce délai peut être prorogé d'un mois supplémentaire si le traitement de la demande nécessite des investigations complexes. La commission en est informée par le responsable du traitement. Le procureur de la République dispose d'un délai de trois mois pour se prononcer sur les suites qu'il convient de réserver à la demande. Il communique ses prescriptions au responsable du traitement qui, dans un délai de quinze jours, informe la commission des suites réservées à la demande.
    « Lorsque les informations contenues dans le traitement font l'objet d'une procédure judiciaire, celles-ci ne peuvent être communiquées que si ladite procédure est close. Toutefois, la Commission peut constater, en accord avec le responsable du traitement, que des données à caractère personnel enregistrées ne mettent pas en cause la sûreté de l'Etat, la défense ou la sécurité publique et qu'il y a donc lieu de les communiquer à la personne intéressée, après accord du procureur de la République lorsque la procédure n'est pas judiciairement close. » ;


    5° L'article R. 57-9-24 est ainsi rédigé :


    « Art. R. 57-9-24. - I. - Les droits d'information, d'accès, de rectification et d'effacement prévus aux articles 70-18 à 70-20 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'exercent directement auprès du directeur de l'établissement pénitentiaire.
    « II. - Les droits d'accès, de rectification et d'effacement peuvent faire l'objet de restrictions en application des 2° et 3° du II et du III de l'article 70-21 de la même loi, lorsqu'ils portent sur les données suivantes :
    « 1° Dates prévues des transferts et extractions ;
    « 2° Prescriptions d'origine judiciaire ou pénitentiaire relatives à la prise en charge et au régime de détention de la personne détenue ;
    « 3° Désignation des locaux de l'établissement ;
    « 4° Description des mouvements des personnes détenues.
    « La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues à l'article 70-22 de la même loi. »


    Le code pénal est ainsi modifié :
    1° Au g du 1° de l'article R. 625-10 et au 3° de l'article R. 625-11, les mots : « non membre de la Communauté européenne » sont remplacés par les mots : « n'appartenant pas à l'Union européenne » ;
    2° L'article R. 625-10 est complété par un alinéa ainsi rédigé :
    « Est puni de la même peine le fait de ne pas fournir l'une des informations mentionnées au I de l'article 70-18 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ou aux articles 13 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. » ;
    3° Après l'avant-dernier alinéa de l'article R. 625-11, il est inséré un alinéa ainsi rédigé :
    « Est puni de la même peine le fait de ne pas répondre aux demandes tendant à la mise en œuvre des droits prévus à l'article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ou, hors les cas prévus à l'article 70-21 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, au II de l'article 70-18 et à l'article 70-19 de cette même loi. » ;
    4° L'article R. 625-12 est complété par un alinéa ainsi rédigé :
    « Est puni de la même peine le fait de ne pas procéder aux opérations exigées par les articles 16 à 18 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ou, hors les cas prévus à l'article 70-21 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, par l'article 70-20 de cette même loi. »


    I. - A l'article R. 555-1 du code de justice administrative, les mots : « III de l'article 45 » sont remplacés par les mots : « IV de l'article 46 ».
    II. - A l'article R. 213-5 du code de l'organisation judiciaire, les mots : « III de l'article 45 » sont remplacés par les mots : « IV de l'article 46 ».


    Le décret du 28 décembre 2016 susvisé est ainsi modifié :
    1° Aux articles 1 et 5, les mots : « au I bis de » sont remplacés par le mot : « à » ;
    2° Aux articles 7 et 9, les mots : « au 9° de l'article 25 » sont remplacés par les mots : « à l'article 22 ».


    La Commission nationale de l'informatique et des libertés transmet sans délai aux responsables de traitement l'ensemble des demandes tendant à la mise en œuvre des droits d'accès, de rectification ou d'effacement prévus par la section 3 du chapitre XIII de la loi du 6 janvier 1978 susvisée qui lui ont été adressées avant l'entrée en vigueur du présent décret. Le délai de réponse du responsable du traitement mentionné à l'article 110-5 du décret du 20 octobre 2005 susvisé court à compter de la réception de la demande transmise par la commission.


    Le ministre d'Etat, ministre de l'intérieur, la garde des sceaux, ministre de la justice, la ministre des armées, la ministre des solidarités et de la santé et la ministre de la culture sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 1er août 2018.


Edouard Philippe

Par le Premier ministre :


La garde des sceaux, ministre de la justice,

Nicole Belloubet


Le ministre d'Etat, ministre de l'intérieur,

Gérard Collomb


La ministre des armées,

Florence Parly


La ministre des solidarités et de la santé,

Agnès Buzyn


La ministre de la culture,

Françoise Nyssen