• Texte Souligné :
  différences par rapport au nouveau projet.
• Texte barré :
  éléments n'existant plus dans le nouveau texte.

• Texte en bleu/italiques :
  Chapitres et numéros des articles de la loi modifiant L78-17
• Texte Souligné :
  différences par rapport à la loi de 1978.
• Texte en italique :
  nouveaux éléments par rapport à la loi de 1978.

[numéro de l'article correspondant dans l'APL2]

Note importante : Etant données les profondes différences de rédactions des deux textes, ces mentions ne sont données qu'à titre indicatif, ne tiennent intentionnellement pas compte de certaines différences mineures, et peuvent dans certains cas être qualifiée de "subjectives"...

Afin de faciliter la lecture du texte, l'ordonnancement de certains articles et alinéas a été modifié. Dans tous les cas, ces modifications ont toujours été faites dans la colonne de la loi de 1978. Le texte dans la colonne centrale est présenté dans l'ordre correspondant au texte du projet de loi.

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

1

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

[1]

Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par les moyens automatiques, relatif à la collecte, l'enregistrement l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives

1

La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.

Constitue un traitement de données à caractère personnel toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Est la personne concernée par un traitement de données à caractère personnel celle à laquelle se rapportent les données qui font l'objet du traitement.

[2]

1

1

1

2

La collecte des données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier.

I. -Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi no 79-18 du 3 janvier 1979 sur les archives.

II. - Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées. Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en oeuvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

2

Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes, qu'il incombe au responsable du traitement de faire respecter :

1° Les données sont collectées et traitées de manière loyale et licite ;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Des données à caractère personnel ne doivent pas faire l'objet d'un traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées.

Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique n'est pas considéré comme incompatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées

[25]

2

Un traitement de données à caractère personnel doit, soit avoir reçu le consentement de la ou des personnes concernées, soit être nécessaire :

1° Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

2° Ou à la sauvegarde de la vie de la ou des personnes concernées ;

3° Ou à l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° Ou à l'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° Ou à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, à condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

[26]

2

Il est interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes

Toutefois, les Églises ou les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre

Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'État.

2

I.- Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci.

II.- Ne sont pas soumis à l'interdiction prévue au I, dans la mesure où la finalité du traitement l'exige pour certaines catégories de données :

1° Le traitement qui est nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d'un tiers, mais auquel la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

2° Le traitement qui est mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, pour les seules données mentionnées au I correspondant à l'objet dudit organisme, sous réserve qu'il ne concerne que les membres de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité, et qu'il ne porte que sur des données qui ne sont pas communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

3° Le traitement qui porte sur des données rendues publiques par la personne concernée ;

4° Le traitement qui est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;

5° Le traitement qui est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et qui est mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal.

III.- D'autres traitements peuvent être exceptés de l'interdiction prévue au I, lorsque l'intérêt public l'impose et dans les conditions prévues, selon le traitement, au I de l'article 25 ou au II de l'article 26

[28]

Sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale, les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté.

Jusqu'à la mise en oeuvre du fichier des conducteurs prévu par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, à traiter elles-mêmes les informations mentionnées à l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.

2

Peuvent seuls procéder au traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

[29]

Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

2

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Aucune décision administrative ou privée produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

Une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat et pour laquelle la personne concernée a été mise à même de présenter ses observations n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé.

[27]

Une Commission nationale de l'informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives. La commission dispose à cet effet d'un pouvoir réglementaire, dans les cas prévus par la présente loi.

[6]

La Commission nationale de l'informatique et des libertés veille à ce que les traitements automatisés, publics ou privés d'informations nominatives, soient effectués conformément aux dispositions de la présente loi.

Pour l'exercice de sa mission de contrôle, la commission :

3. Édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;

3

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

1° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés aux articles 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l'article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l'égard d'un responsable de traitement l'une des mesures prévues à l'article 45 ;

h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;

2° A la demande des organismes professionnels regroupant des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi ;

3° Elle se tient informée de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés mentionnées à l'article 1er ;

A ce titre :

a) Elle est consultée, hormis les cas mentionnés au a) du 1°, sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

c) Elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel

Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission.

[13]

Les crédits nécessaires a la commission nationale pour l'accomplissement de sa mission sont inscrits au budget du ministère de la Justice. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu à la perception des redevances.

3

La Commission nationale de l'informatique et des libertés dispose des crédits nécessaires à l'accomplissement de ses missions. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

[7]

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.

Elle est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

- deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat ;

- deux membres du Conseil économique et social, élus par cette assemblée ;

- deux membres ou anciens membres du Conseil d'État, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'État ;

- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en conseil des ministres.

- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.

Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limité à la période restant à courir.
Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

La commission établit son règlement intérieur.

3

I.- La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :

1° Deux députés et deux sénateurs, élus respectivement par l'Assemblée nationale et par le Sénat ;

2° Un membre du Conseil économique et social, élu par cette assemblée ;

3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

6° Quatre personnalités nommées par décret, dont deux qualifiées pour leur connaissance de l'informatique ;

7° Deux personnalités qualifiées pour leur connaissance de l'informatique, désignées respectivement par le président de l'Assemblée Nationale et par le président du Sénat

La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué.

II.- Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° sont désignés après chaque renouvellement de l'assemblée à laquelle ils appartiennent ; ils peuvent être membres de la commission pendant une durée maximum de dix ans.

Le membre de la commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.
Sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

III.- La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

[8]

La qualité de membre de la commission est incompatible

- avec celle de membre du Gouvernement ;

- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

3

I.- La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.

II.- Aucun membre de la commission ne peut :
- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, exerce des fonctions ou détient un mandat ;
- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des dix-huit mois précédant la délibération ou les vérifications, détenu un intérêt, exercé des fonctions ou détenu un mandat.

III.- Tout membre de la commission doit informer le président des intérêts qu'il détient ou vient à détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou vient à détenir au sein d'une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.

Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant de l'alinéa précédent.

[8-6]

En cas de partage des voix, celle du président est prépondérante.

La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi que des articles 40-13 et 40-14.

3

Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière

En cas de partage égal des voix, la voix du président est prépondérante.

La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :

- au troisième alinéa du I de l'article 23 ;

- aux e) et f) du 1° de l'article 11.

[8]

3

Le bureau de la commission est composé du président et des deux vice-présidents.

Il peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :

- au troisième alinéa de l'article 19 ;
- aux articles 41, 63 et 64 ; [note du Clifti : 64 et 65 ?]
- au second alinéa de l'article 70.

Le bureau peut aussi être chargé de prendre, en cas d'urgence, les décisions mentionnées au premier alinéa du I de l'article 45.

[10-2]

3

La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l'article 45.

Cette formation est composée du président, du vice-président délégué et de trois membres élus par la commission en son sein pour la durée de leur mandat.

En cas de partage égal des voix, la voix du président est prépondérante.

[8-II]

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission.

Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.

3

Un commissaire du gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions

Le commissaire du gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations ; il est rendu destinataire de tous ses avis et décisions.

Il peut, sauf en matière de sanctions, provoquer une seconde délibération.

[9]

La commission dispose de services qui sont dirigés par le président ou, sur délégation, par un vice-président, et placés sous son autorité.

[alinéa 2 déplacé - voir nouvel article 16]

Les agents de la commission nationale sont nommés par le président ou le vice-président délégué.

3

La commission dispose de services qui sont dirigés par le président ou le vice-président délégué et placés sous son autorité.

Les agents de la commission sont nommés par le président ou le vice-président délégué.

Ceux d'entre eux qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.

[10-1+3]

Article 12

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel prévu ci-après, aux articles 226-13 et 226-14 du code pénal.

3

Article 20

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel, à l'article 226-13 du code pénal.

[11]

Article 13

Dans l'exercice de leurs attributions, les membres de la Commission nationale de l'informatique et des libertés ne reçoivent d'instruction d'aucune autorité.

Les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.

3

Article 21

Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.

Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f) du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions.

[12]

4

4

I.- A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26, et 27, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

II.- Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

2° Les traitements mentionnés au 2° du II de l'article 8.
Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.

[18]

4

Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en oeuvre, faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

4

I.- La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

Elle peut être adressée à la Commission nationale de l'informatique et des libertés par voie électronique.

La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités.

II.- Les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique. Dans ce cas, les informations requises en application de l'article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

[18]

Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie des normes simplifiéesinspirées des caractéristiques mentionnées à l'article 19.

Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

4

I.- Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l'obligation de déclaration.

Ces normes précisent :

1° Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;

2° Les données ou catégories de données traitées ;

3° La ou les catégories de personnes concernées ;

4° Les destinataires ou catégories de destinataires auxquels les données sont communiquées ;

5° La durée de conservation des données.

Les traitements qui correspondent à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

II.- La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l'article 23.

[19]

4

I.- Sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

1° Les traitements, automatisés ou non, mentionnés au III de l'article 8 ;

2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;

3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

4° Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

5° Les traitements automatisés ayant pour objet :
- l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
- l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;

6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes, et ceux qui portent sur la totalité ou la quasi-totalité de la population de la France ;

7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

II.- Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

[14]

Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'État, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l'informatique et des libertés.

4

I.- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et :

1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

L'avis de la commission est publié avec l'arrêté autorisant le traitement.

II.- Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

III.- Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

IV.- Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

[15]

L'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisé par décret en Conseil d'État pris après avis de la commission.

4

I.- Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

1° Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques :

2° Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.

II.- Sont autorisés par arrêté pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'État ou s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'État.

4

I.- La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 25, 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président lorsque la complexité du dossier le justifie.

II.- La demande d'autorisation d'un traitement présentée à la commission, qui n'a pas fait l'objet d'une décision expresse de celle-ci à l'expiration du délai prévu au I, est réputée rejetée.

L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

[17]

L'acte réglementaire prévu pour les traitements régis par l'article 15 ci-dessus précise notamment :

- la dénomination et la finalité du traitement ;

- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ;

- les catégories d'informations nominatives enregistrées

ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Des décrets en Conseil d'État peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'État, la défense et la sécurité publique ne seront pas publiés.

4

Les actes autorisant la création d'un traitement en application des articles 25, 26 et 27 précisent :

1° La dénomination et la finalité du traitement ;

2° Le service auprès duquel s'exerce le droit d'accès défini au chapitre VII ;

3° Les catégories de données à caractère personnel enregistrées ;

4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 32.

[17]

4