Chapitre Ier : Principes et définitions (Articles 1 à 7)

Article 1

L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 et de la présente loi.

Article 2

La présente loi s’applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions prévues à l’article 3 de la présente loi, à l’exception des traitements mis en œuvre par des personnes physiques pour l’exercice d’activités strictement personnelles ou domestiques.

Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Sauf dispositions contraires, dans le cadre de la présente loi s’appliquent les définitions de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016.

Article 3

I.-Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.

II.-Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.

Toutefois, lorsque est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa du II sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne.

Article 4

Les données à caractère personnel doivent être :

1° Traitées de manière licite, loyale et, pour les traitements relevant du titre II, transparente au regard de la personne concernée ;

2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, applicables à de tels traitements et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;

3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives ;

4° Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

5° Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Toutefois, les données à caractère personnel peuvent être conservées au-delà de cette durée dans la mesure où elles sont traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l’intérêt public est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine ;

6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.

Article 5

Un traitement de données à caractère personnel n’est licite que si, et dans la mesure où, il remplit au moins une des conditions suivantes :

1° Le traitement, lorsqu’il relève du titre II, a reçu le consentement de la personne concernée, dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du 27 avril 2016 précédemment mentionné ;

2° Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

3° Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

4° Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

5° Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

6° Sauf pour les traitements effectués par les autorités publiques dans l’exécution de leurs missions, le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Article 6

I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

II.-Les exceptions à l’interdiction mentionnée au I sont fixées dans les conditions prévues par le 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.

III.-De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés suivant les modalités prévues au II de l’article 31 et à l’article 32.

Article 7

Les dispositions de la présente loi ne font pas obstacle à l’application, au bénéfice de tiers, des dispositions relatives à l’accès aux documents administratifs et aux archives publiques.

En conséquence, ne peut être regardée comme une personne non autorisée au sens du 6° de l’article 4 le titulaire d’un droit d’accès exercé conformément aux autres dispositions législatives et réglementaires relatives à l’accès aux documents administratifs et aux archives publiques.

Chapitre II : La Commission nationale de l’informatique et des libertés (Articles 8 à 29)

Articles 8 à 29, ces dispositions n’ont que peu d’impact sur les actions à réaliser pour mettre une organisation en conformité au RGPD.

Chapitre III : Dispositions particulières relatives au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (Article 30)

Article 30

Un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

N’entrent pas dans le champ d’application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire :

1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l’article 6 ou à l’article 46 ; 2° Qui ont exclusivement des finalités de recherche scientifique ou historique ; 3° Qui ont pour objet de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique définis à l’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives au sens de ce même article 1er, et entre ces mêmes autorités administratives.

La dérogation prévue pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, n’est applicable que si le numéro d’inscription au répertoire national d’identification des personnes physiques fait préalablement l’objet d’une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa.

Pour les traitements dont les finalités sont mentionnées au 1°, l’utilisation du code statistique non signifiant n’est autorisée qu’au sein du service statistique public.

Pour les traitements dont les finalités sont mentionnées au 2°, l’opération cryptographique et, le cas échéant, l’interconnexion de deux fichiers par l’utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement.

Par dérogation au premier alinéa, les traitements de données à caractère personnel dans le domaine de la santé sont régis par la section 3 du chapitre III du titre II, à l’exception :

1° Des traitements mentionnés à l’article 67 ;

2° Des traitements comportant le numéro d’inscription au répertoire national d’identification des personnes physiques utilisé comme identifiant de santé des personnes en application de l’article L. 1111-8-1 du code de la santé publique, en dehors de ceux de ces traitements mis en œuvre à des fins de recherche ou servant à constituer des bases de données à des fins ultérieures de recherche, d’étude ou d’évaluation dans le domaine de la santé.

Chapitre IV : Formalités préalables à la mise en oeuvre des traitements. (Articles 31 à 36)

Article 31

I.-Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et :

1° Qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ; 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. L’avis de la commission est publié avec l’arrêté autorisant le traitement.

II.-Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 6 sont autorisés par décret en Conseil d’Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement.

III.-Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’Etat, de la publication de l’acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.

IV.-Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

Article 32

Sont autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

Article 33

I.-Les demandes d’avis adressées à la Commission nationale de l’informatique et des libertés en vertu de la présente loi précisent :

1° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre Etat membre de l’Union européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ; 2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 31 et 32, la description générale de ses fonctions ; 3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ; 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ; 5° La durée de conservation des informations traitées ; 6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 31 et 32, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ; 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ; 8° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu aux articles 49,105 et 119, ainsi que les mesures relatives à l’exercice de ce droit ; 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant ; 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne, sous quelque forme que ce soit.

Les demandes d’avis portant sur les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d’information énumérés ci-dessus. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d’avis portant sur ces traitements doivent comporter au minimum.

II.-Le responsable d’un traitement déjà autorisé et susceptible de faire l’objet d’une mise à jour rendue publique dans les conditions prévues à l’article 36 informe sans délai la commission :

1° De tout changement affectant les informations mentionnées au I ; 2° De toute suppression du traitement.

Article 34

I.-La Commission nationale de l’informatique et des libertés, saisie dans le cadre des articles 31 ou 32, se prononce dans un délai de huit semaines à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé de six semaines sur décision motivée du président.

II.-L’avis demandé à la commission sur un traitement, qui n’est pas rendu à l’expiration du délai prévu au I, est réputé favorable.

Article 35

Les actes autorisant la création d’un traitement en application des articles 31 et 32 précisent :

1° La finalité du traitement et, le cas échéant, sa dénomination ; 2° Le service auprès duquel s’exerce le droit d’accès prévu aux articles 49,105 et 119 ; 3° Les catégories de données à caractère personnel enregistrées ; 4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ; 5° Le cas échéant, les dérogations à l’obligation d’information prévues au III de l’article 116 ; 6° Le cas échéant, les limitations et restrictions aux droits des personnes concernées prévues à l’article 23 du règlement (UE) 2016/679 du 27 avril 2016 et à l’article 107. 7° Le cas échéant, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées.

Article 36

I.-La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l’objet d’une des formalités prévues par les articles 31 et 32, à l’exception de ceux mentionnés au III de l’article 31, ainsi que par la section 3 du chapitre III du titre II.

Cette liste précise pour chacun de ces traitements :

1° L’acte décidant la création du traitement ; 2° La finalité du traitement et, le cas échéant la dénomination ; 3° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre Etat membre de l’Union européenne, celles de son représentant ; 4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu aux articles 49,105 et 119 ; 5° Les catégories de données à caractère personnel faisant l’objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ; 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne.

II.-La commission tient à la disposition du public ses avis, décisions ou recommandations.

Chapitre V : Obligations incombant aux responsables de traitements et droits des personnes (Articles 37 à 39)

Article 37

I.-Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s’appliquent à l’action ouverte sur le fondement du présent article.

II.-Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés.

III.-Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

IV.-Peuvent seules exercer cette action :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel ; 2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ; 3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre. Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et au chapitre X du titre VII du livre VII du code de justice administrative.

Article 38

Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 37, une association ou une organisation dont l’objet statutaire est en relation avec la protection des droits et libertés lorsque ceux-ci sont méconnus dans le cadre d’un traitement de données à caractère personnel, ou une association dont cette personne est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux, aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du 27 avril 2016. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du titre III de la présente loi.

Article 39

Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’Etat d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée, et elle assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du 27 avril 2016 ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement.

Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir, dans les mêmes conditions, le Conseil d’Etat aux fins d’ordonner, soit la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, soit la prolongation de la suspension de ce transfert qu’elle aurait elle-même déjà ordonnée, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation.

Article 40

Les infractions aux dispositions de la présente loi sont prévues par la section 5 du chapitre VI du titre II du livre II du code pénal.

Article 41

Le procureur de la République avise le président de la Commission nationale de l’informatique et des libertés de toutes les poursuites relatives aux infractions prévues par la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l’informe de la date et de l’objet de l’audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.

Titre II : Traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 (Articles 42 à 86)

Chapitre Ier : Dispositions générales (Articles 42 à 47)

Article 42

I.-Le présent titre ne s’applique pas aux traitements de données à caractère personnel effectués :

1° Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union européenne, notamment les traitements mentionnés au titre IV ; 2° Dans le cadre d’activités qui relèvent du champ d’application du chapitre II du titre V du traité sur l’Union européenne ; 3° Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ; 4° Aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

II.-Le présent titre s’applique sans préjudice des articles 32-3-3,32-3-4 et 34-4 du code des postes et des télécommunications relatifs à la responsabilité des prestataires de services intermédiaires tels que modifiés par l’article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et 10 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

III.-Le présent titre s’applique sans préjudice des dispositions de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Article 43

Les principes, règles et conditions de licéité d’un traitement de données à caractère personnel applicables sont ceux définis au chapitre II du règlement (UE) 2016/679 du 27 avril 2016 et du chapitre Ier du titre Ier de la présente loi.

Article 44

L’article 6 ne s’applique pas si l’une des conditions prévues au 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 est remplie, ainsi que pour :

1° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel dont l’atteinte est réprimée par l’article 226-13 du code pénal ;

2° Les traitements statistiques réalisés par l’Institut national de la statistique et des études économiques ou l’un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l’information statistique ;

3° Les traitements comportant des données concernant la santé justifiés par l’intérêt public et conformes aux dispositions de la section 3 du chapitre III du présent titre ;

4° Les traitements conformes aux règlements types mentionnés au c du 2° du I de l’article 8 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

5° Les traitements portant sur la réutilisation des informations publiques figurant dans les décisions mentionnées à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

6° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, sous réserve que des motifs d’intérêt public important les rendent nécessaires, dans les conditions prévues par le g du 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016, après avis motivé et publié de la Commission nationale de l’informatique et des libertés rendu selon les modalités prévues à l’article 34 de la présente loi.

Article 45

En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.

Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.

Article 46

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les décisions mentionnées à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Article 47

Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE) 2016/679 du 27 avril 2016, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l’exception des secrets protégés par la loi, par le responsable de traitement à l’intéressé s’il en fait la demande ; 2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 6 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Chapitre II : Droits de la personne concernée (Articles 48 à 56)

Article 48

Le droit à l’information s’exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.

En particulier, lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l’article 13 de ce règlement dans un langage clair et facilement accessible.

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions prévues à l’article 85.

En application de l’article 23 du même règlement, le droit à l’information ne s’applique pas aux données collectées dans les conditions prévues à l’article 14 de ce règlement et utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l’acte instaurant le traitement.

Il est fait application des dispositions de l’alinéa précédent lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d’effectuer des contrôles de l’activité de personnes physiques ou morales pouvant donner lieu à la constatation d’une infraction ou d’un manquement, à des amendes administratives ou à des pénalités.

Le premier alinéa ne s’applique pas à l’information selon laquelle des données à caractère personnel ont été transmises en application du premier alinéa de l’article L. 863-2 du code de la sécurité intérieure.

Article 49

Le droit d’accès de la personne concernée s’exerce dans les conditions prévues à l’article 15 du règlement (UE) 2016/679 du 27 avril 2016.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Le même premier alinéa ne s’applique pas :

1° Lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées, pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de réalisation de recherches scientifiques ou historiques ; 2° A l’information selon laquelle des données à caractère personnel ont été transmises en application du premier alinéa de l’article L. 863-2 du code de la sécurité intérieure.

Article 50

Le droit de rectification s’exerce dans les conditions prévues à l’article 16 du règlement (UE) 2016/679 du 27 avril 2016.

Article 51

I.-Le droit à l’effacement s’exerce dans les conditions prévues à l’article 17 du règlement (UE) 2016/679 du 27 avril 2016.

II.-En particulier, sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu’il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Article 52

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d’accès, de rectification et d’effacement s’exercent dans les conditions prévues à l’article 118, si de telles restrictions ont été prévues par l’acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l’application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d’une procédure juridictionnelle, le droit d’accès peut être limité dans les conditions prévues aux e et h du 1 de l’article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Article 53

Le droit à la limitation du traitement s’exerce dans les conditions prévues à l’article 18 du règlement (UE) 2016/679 du 27 avril 2016.

Article 54

L’obligation de notification en cas de rectification ou d’effacement de données à caractère personnel ou la limitation du traitement s’exerce dans les conditions prévues à l’article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Article 55

Le droit à la portabilité des données s’exerce dans les conditions prévues à l’article 20 du règlement (UE) 2016/679 du 27 avril 2016.

Article 56

Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016.

Ce droit ne s’applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l’article 23 du même règlement, lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte instaurant le traitement.

Chapitre III : Obligations incombant au responsable du traitement et au sous-traitant (Articles 57 à 80)

Article 57

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Article 58

I.-Le responsable de traitement notifie à la Commission nationale de l’informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.

II.-Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du même règlement lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

La dérogation prévue au présent article n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement.

Article 59

Lorsque les finalités et les moyens du traitement sont déterminés par plusieurs responsables du traitement, leurs obligations respectives s’exercent dans les conditions prévues à l’article 26 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.

Article 60

La qualité de sous-traitant n’exonère en rien du respect des dispositions applicables du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi.

Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l’article 28 du règlement.

Le sous-traitant et, le cas échéant, son représentant doivent tenir le registre mentionné à l’article 30 de ce même règlement.

Lorsqu’un sous-traitant a recours à un autre sous-traitant pour mener les activités de traitement spécifiques pour le compte du responsable du traitement, il conclut avec ce sous-traitant le contrat mentionné au deuxième alinéa. Le troisième alinéa s’applique également.

Article 61

Conformément à l’article 29 du règlement (UE) 2016/679 du 27 avril 2016, sauf dispositions législatives ou réglementaires contraires, il est interdit au sous-traitant ou à toute autre personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant ayant accès à des données à caractère personnel de traiter ces données sans l’accord du responsable du traitement.

Article 62

Le responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel dans les conditions prévues à l’article 35 du règlement (UE) 2016/679 du 27 avril 2016.

Article 63

Conformément à l’article 36 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement est tenu de consulter la Commission nationale de l’informatique et des libertés préalablement à la mise en œuvre du traitement lorsqu’il ressort de l’analyse d’impact prévue à l’article 62 que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

Article 64

Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L. 1111-7 du code de la santé publique.

Article 65

Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l’exception des catégories de traitements suivantes :

1° Les traitements relevant du 1° de l’article 44 de la présente loi et des a et c à f du 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 ;

2° Les traitements permettant d’effectuer des études à partir des données recueillies en application du 1° de l’article 44 de la présente loi lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

3° Les traitements mis en œuvre pour l’exercice de leurs missions par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire ;

4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du code de la santé publique ;

5° Les traitements effectués par les agences régionales de santé, par l’Etat et par la personne publique qu’il désigne en application du premier alinéa de l’article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8 ;

6° Les traitements mis en œuvre par l’Etat aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine.

Article 66

I.-Les traitements relevant de la présente section ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public.

II.-Des référentiels et règlements types, au sens des b et c du 2° du I de l’article 8, s’appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l’informatique et des libertés, en concertation avec la plateforme des données de santé mentionnée à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.

Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d’impact sur la vie privée.

III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. La demande d’autorisation est présentée dans les formes prévues à l’article 33.

IV.-La Commission nationale de l’informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

V.-La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l’article 72.

Lorsque la Commission nationale de l’informatique et des libertés ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée acceptée. Cette disposition n’est toutefois pas applicable si l’autorisation fait l’objet d’un avis préalable en application de la sous-section 2 de la présente section et que l’avis ou les avis rendus ne sont pas expressément favorables.

Article 67

Par dérogation à l’article 66, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques sont mis en œuvre dans les conditions prévues à l’article 30 de la présente loi.

Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au-delà de ce délai.

Article 68

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable d’un traitement de données autorisé en application de l’article 66 les données à caractère personnel qu’ils détiennent.

Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible.

Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du code pénal.

Article 69

Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du 27 avril 2016.

Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l’article L. 1111-2 du code de la santé publique d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic.

Article 70

Sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou la personne chargée d’une mission de représentation dans le cadre d’une tutelle, d’une habilitation familiale ou d’un mandat de protection future, pour les majeurs protégés dont l’état ne leur permet pas de prendre seuls une décision personnelle éclairée.

Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l’exercice ultérieur, par chaque titulaire de l’exercice de l’autorité parentale, des droits mentionnés au premier alinéa.

Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits.

Article 71

Une information relative aux dispositions de la présente sous-section doit être assurée notamment dans tout établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement mentionné au présent titre.

Article 72

Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la sous-section 1 de la présente section, sous réserve de la présente sous-section.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d’Etat, par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé sur le caractère d’intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.

Article 73

Au titre des référentiels mentionnés au II de l’article 66 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l’informatique et des libertés. Elles sont établies en concertation avec la Plateforme des données de santé mentionnée à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l’article 66 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.

Article 74

Toute personne a le droit de s’opposer à ce que des données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l’article 65.

Article 75

Dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n’est pas applicable aux recherches réalisées en application de l’article L. 1130-5 du code de la santé publique.

Article 76

L’autorisation du traitement est accordée par la Commission nationale de l’informatique et des libertés dans les conditions définies à l’article 66, après avis :

1° Du comité compétent de protection des personnes mentionné à l’article L. 1123-6 du code de la santé publique, pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine mentionnées à l’article L. 1121-1 du même code ;

2° Du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine, au sens du 1° du présent article.

Ce comité est composé de manière à garantir son indépendance et la diversité des compétences dans le domaine des traitements concernant la santé et à l’égard des questions scientifiques, éthiques, sociales et juridiques. Il est composé en recherchant une représentation équilibrée des femmes et des hommes. Il comporte, en son sein, des représentants d’associations de malades ou d’usagers du système de santé agréées désignés au titre des dispositions de l’article L. 1114-1 du code de la santé publique.

Les membres du comité, les personnes appelées à collaborer à ses travaux et les agents relevant du statut général des fonctionnaires ou du statut général des militaires qui en sont dépositaires sont tenus, dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal, de garder secrètes les informations dont ils peuvent avoir connaissance à raison de leurs fonctions et qui sont relatives à la nature des recherches, études ou évaluations, aux personnes qui les organisent ou aux produits, objets ou méthodes faisant l’objet de la recherche.

Ne peuvent valablement participer à une délibération les personnes qui ne sont pas indépendantes du promoteur et de l’investigateur de la recherche, de l’étude ou de l’évaluation examinée.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la composition du comité éthique et scientifique et définit ses règles de fonctionnement. Les membres du comité sont soumis à l’article L. 1451-1 du code de la santé publique. Les dossiers présentés dans le cadre de la présente section, à l’exclusion des recherches impliquant la personne humaine, sont déposés auprès d’un secrétariat unique assuré par la plateforme des données de santé, qui assure leur orientation vers les instances compétentes.

Article 77

Dans le respect des missions et des pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation ainsi que sur les systèmes composant le système national des données de santé.

Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, des responsables des des traitements du système national des données de santé, des autres producteurs de données du système national des données de santé, de la plateforme des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, y assiste en tant qu’observateur.

Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.

Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.

Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, les responsables des traitements mentionnés au II de l’article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.

Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.

Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.

Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit, qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et les responsables des traitements mentionnés au II de l’article L. 1461-1 du code de la santé publique.

En cas d’urgence, les responsables des traitements mentionnés au II de l’article L. 1461-1 du code de la santé publique peuvent suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’ils disposent d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Ils doivent en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.

Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l’audit.

Article 78

Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du code du patrimoine, les droits prévus aux articles 15,16 et 18 à 21 du règlement (UE) 2016/679 du 27 avril 2016 ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15,16,18 et 21 du même règlement, en ce qui concerne les traitements à des fins de recherche scientifique ou historique, ou et à des fins statistiques.

Article 79

Dans les conditions du b du 5 de l’article 14 du règlement (UE) 2016/679 du 27 avril 2016, lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions du 1 à 4 du même article 14 ne s’appliquent pas aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.

Article 80

A titre dérogatoire, les dispositions du 5° de l’article 4, celles des articles 6,46,48,49,50,53,118,119 et celles du chapitre V du règlement (UE) 2016/679 du 27 avril 2016 ne s’appliquent pas, lorsqu’une telle dérogation est nécessaire pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information, aux traitements mis en œuvre aux fins :

1° D’expression universitaire, artistique ou littéraire ; 2° D’exercice à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession.

Les dispositions des alinéas précédents ne font pas obstacle à l’application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d’exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes.

Chapitre IV : Droits et obligations propres aux traitements dans le secteur des communications électroniques (Articles 81 à 83)

Article 81

Les droits et obligations mentionnés aux chapitres II et III s’appliquent sous réserve des dispositions particulières du présent chapitre.

Article 82

Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Article 83

I.-Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

II.-En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

III.-Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

Article 84

Les traitements de données à caractère personnel relatives aux personnes décédées sont régis par les dispositions du présent chapitre.

Les droits mentionnés au chapitre II s’éteignent au décès de la personne concernée. Toutefois, ils peuvent être provisoirement maintenus dans les conditions fixées à l’article 85.

Article 85

I.-Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières.

Les directives générales concernent l’ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés.

Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l’accès sont fixés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation.

Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés au chapitre II du présent titre. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel.

Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s’effectue dans le respect de la présente loi.

La personne peut modifier ou révoquer ses directives à tout moment.

Les directives mentionnées au premier alinéa du présent I peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés.

Toute clause contractuelle des conditions générales d’utilisation d’un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite.

II.-En l’absence de directives ou de mention contraire dans ces directives, les héritiers de la personne concernée peuvent exercer, après son décès, les droits mentionnés au chapitre II du présent titre II dans la mesure nécessaire :

1° A l’organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ;

2° A la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en application du précédent alinéa.

Les désaccords entre héritiers sur l’exercice des droits prévus au présent II sont portés devant le tribunal judiciaire compétent.

III.-Tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne.

Article 86

Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit.