- Titre Ier : Dispositions communes (Articles 1 à 41)
- Chapitre Ier : Principes et définitions (Articles 1 à 7)
- Chapitre II : La Commission nationale de l'informatique et des libertés (Articles 8 à 29)
- Chapitre III : Dispositions particulières relatives au numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (Article 30)
- Chapitre IV : Formalités préalables à la mise en oeuvre des traitements. (Articles 31 à 36)
- Chapitre V : Obligations incombant aux responsables de traitements et droits des personnes (Articles 37 à 39)
- Chapitre VI : Dispositions pénales (Articles 40 à 41)
- Titre II : Traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 (Articles 42 à 86)
- Chapitre Ier : Dispositions générales (Articles 42 à 47)
- Chapitre II : Droits de la personne concernée (Articles 48 à 56)
- Chapitre III : Obligations incombant au responsable du traitement et au sous-traitant (Articles 57 à 80)
- Section 1 : Obligations générales (Articles 57 à 61)
- Section 2 : Obligations en cas de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques (Articles 62 à 63)
- Section 3 : Traitements de données à caractère personnel dans le domaine de la santé (Articles 64 à 77)
- Section 4 : Traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (Articles 78 à 79)
- Section 5 : Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique (Article 80)
- Chapitre IV : Droits et obligations propres aux traitements dans le secteur des communications électroniques (Articles 81 à 83)
- Chapitre V : Dispositions régissant les traitements de données à caractère personnel relatives aux personnes décédées (Articles 84 à 86)
- Titre III : Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (Articles 87 à 114)
- Chapitre Ier : Dispositions générales (Articles 87 à 96)
- Chapitre II : Obligations incombant aux autorités compétentes, aux responsables de traitement de données à caractère personnel et aux sous-traitants (Articles 97 à 103)
- Chapitre III : Droits de la personne concernée (Articles 104 à 111)
- Chapitre IV : Transferts de données à caractère personnel vers des États n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des États n'appartenant pas à l'Union européenne (Articles 112 à 114)
- Titre IV : Dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense
(Articles 115 à 124)
- Chapitre Ier : Droits de la personne concernée (Articles 116 à 120)
- Chapitre II : Autres dispositions
(Articles 121 à 124)
- Section 1 : Obligations incombant au responsable de traitement (Article 121)
- Section 2 : Obligations incombant au sous-traitant (Article 122)
- Section 3 : Transferts de données à caractère personnel vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne (Articles 123 à 124)
- Titre IV BIS : DISPOSITIONS RELATIVES À L'ALTRUISME EN MATIÈRE DE DONNÉES (Articles 124-1 à 124-3)
- Titre IV TER : DISPOSITIONS APPLICABLES AUX FOURNISSEURS DE PLATEFORMES EN LIGNE RELEVANT DU RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 19 OCTOBRE 2022 RELATIF À UN MARCHÉ UNIQUE DES SERVICES NUMÉRIQUES ET MODIFIANT LA DIRECTIVE 2000/31/ CE (RÈGLEMENT SUR LES SERVICES NUMÉRIQUES) (Articles 124-4 à 124-5)
- Titre V : Dispositions relatives à l'outre-mer (Articles 125 à 128)
- Chapitre II : La Commission nationale de l'informatique et des libertés
- LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES
- Chapitre III : Formalités préalables à la mise en oeuvre des traitements automatisés.
- Chapitre IV : Collecte, enregistrement et conservation des informations nominatives.
- Chapitre V : Exercice du droit d'accès.
- Chapitre V bis : Traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé.
- Chapitre V ter : Traitement des données personnelles de santé à des fins d'évaluation ou d'analyse des activités de soins et de prévention.
- Chapitre VI : Dispositions pénales.
- Chapitre VII : Dispositions diverses.
- Chapitre VII : Mesures et sanctions prises par la formation restreinte de la Commission nationale de l'informatique et des libertés
- Chapitre VII bis : De la coopération
- Chapitre VIII : Dispositions pénales.
- Chapitre IX : Traitements de données à caractère personnel dans le domaine de la santé
- Chapitre X : Traitements de données de santé à caractère personnel à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention.
- Chapitre XI : Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique.
- Chapitre XII : Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne.
- Chapitre XIII : Dispositions applicables aux traitements relevant de la directive (UE 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil
- Section 1 : Dispositions générales
- Section 2 : Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel
- Section 3 : Droits de la personne concernée par un traitement de données à caractère personnel
- Section 4 : Transferts de données à caractère personnel vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne
- Chapitre XIV : Dispositions diverses.
Article 60
Version en vigueur depuis le 01 juin 2019
Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1
La qualité de sous-traitant n'exonère en rien du respect des dispositions applicables du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi.
Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l'article 28 du règlement.
Le sous-traitant et, le cas échéant, son représentant doivent tenir le registre mentionné à l'article 30 de ce même règlement.
Lorsqu'un sous-traitant a recours à un autre sous-traitant pour mener les activités de traitement spécifiques pour le compte du responsable du traitement, il conclut avec ce sous-traitant le contrat mentionné au deuxième alinéa. Le troisième alinéa s'applique également.
Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.