Article 19 du Projet de loi relatif à la protection des données personnelles

Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :
« CHAPITRE XIII
« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016
relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes
à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant
la décision-cadre 2008/977/JAI du Conseil
« Section 1
« Dispositions générales
« Art. 70-1 et 70-2. - (Non modifiés)
« Art. 70-3. - Si le traitement est mis en oeuvre pour le compte de l'État pour au moins l'une des finalités énoncées au premier alinéa de l'article 70-1, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l'article 26 et aux articles 28 à 31.
« Si le traitement porte sur des données mentionnées au I de l'article 8, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l'article 26.
« Tout autre traitement mis en oeuvre par une autorité compétente pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1 est autorisé par la Commission nationale de l'informatique et des libertés. La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.
« Art. 70-4 à 70-7. - (Non modifiés)
« Art. 70-8. - Les données à caractère personnel fondées sur des faits sont distinguées de celles fondées sur des appréciations personnelles.
« Art. 70-9. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
« Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 est interdit.
« Art. 70-10. - (Non modifié)
« Section 2
« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel
« Art. 70-11. - Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
« S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 70-20.
« Art. 70-12. - Le responsable de traitement établit, le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
« 1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ;
« 2° Les personnes reconnues coupables d'une infraction pénale ;
« 3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ;
« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l'une des personnes mentionnées aux 1° et 2°.
« Art. 70-13 à 70-17. - (Non modifiés)
« Section 3
« Droits de la personne concernée par un traitement de données
à caractère personnel
« Art. 70-18. - I. - Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :
« 1° L'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant et de ses sous-traitants. Les stipulations du contrat de sous-traitance relatives à la protection des données personnelles sont communiquées à l'intéressé s'il en fait la demande ;
« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;
« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;
« 4° Le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;
« 5° L'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.
« II. - En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d'exercer ses droits :
« 1° La base juridique du traitement ;
« 2° La durée de conservation des données à caractère personnel ou, à défaut lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris ceux établis dans les États n'appartenant pas à l'Union européenne ou au sein d'organisations internationales ;
« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.
« Art. 70-19. - (Non modifié)
« Art. 70-20. - I. - La personne concernée a le droit d'obtenir du responsable de traitement :
« 1° Que soient rectifiées dans les meilleurs délais, et au bout d'un mois maximum, des données à caractère personnel la concernant qui sont inexactes ;
« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;
« 3° Que soient effacées dans les meilleurs délais, et au bout d'un mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.
« II. - Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier qu'il a procédé aux opérations exigées en application du I.
« III. - Au lieu de procéder à l'effacement, le responsable de traitement limite le traitement :
« 1° Soit lorsque l'exactitude des données à caractère personnel est contestée par la personne concernée sans qu'il soit possible de déterminer si les données sont exactes ou non ;
« 2° Soit lorsque les données à caractère personnel doivent être conservées à des fins probatoires.
« Lorsque le traitement est limité en application du 1° du présent III, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.
« IV. - Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.
« V. - Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l'autorité compétente de laquelle ces données proviennent.
« VI. - Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.
« Art. 70-21. - I. - Les droits de la personne physique concernée peuvent faire l'objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :
« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;
« 2° Éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;
« 3° Protéger la sécurité publique ;
« 4° Protéger la sécurité nationale ;
« 5° Protéger les droits et libertés d'autrui.
« Ces restrictions sont prévues par l'acte instaurant le traitement.
« II. - Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :
« 1° Retarder ou limiter la communication à la personne concernée des informations mentionnées au II de l'article 70-18 ou ne pas communiquer ces informations ;
« 2° Refuser ou limiter le droit d'accès de la personne concernée prévu à l'article 70-19 ;
« 3° Ne pas informer la personne du refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ni des motifs de cette décision, par dérogation au IV de l'article 70-20.
« III. - Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d'accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l'informatique et des libertés.
« IV. - En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d'exercer ses droits par l'intermédiaire de la Commission nationale de l'informatique et des libertés et de former un recours juridictionnel.
« Art. 70-22 à 70-24. - (Non modifiés)
« Section 4
« Transferts de données à caractère personnel vers des États n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des États n'appartenant pas à l'Union européenne
« Art. 70-25 à 70-27. - (Non modifiés) »
TITRE III BIS
DISPOSITIONS VISANT À FACILITER L'APPLICATION
DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES
À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES