Article 1er

< Projet de loi, version du Gouvernement >

L’article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au début du premier alinéa, est insérée la référence : « I. - » ;

2° Après la première phrase du premier alinéa est insérée la phrase suivante :

« Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 » ;

3° Au a du 2° les mots : « autorise les traitements mentionnés à l’article 25, » et les mots : » et reçoit les déclarations relatives aux autres traitements » sont supprimés ;

4° Après le a du 2°, il est inséré un a bis ainsi rédigé :

« a bis __ Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques ; elle homologue et publie les méthodologies de référence mentionnées au IV de l’article 54, destinées à favoriser la conformité des traitement de données de santé à caractère personnel » ;

5° Le b du 2° est remplacé par les dispositions suivantes :

« b) Elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données de santé relevant du chapitre IX. À ce titre, sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé conformément à l’article 9.4 du règlement (UE) 2016/679 et des garanties complémentaires en matière de traitement de données d’infraction conformément à l’article 10 du même règlement. » ;

6° Après le f du 2°, il est inséré un f bis ainsi rédigé :

« f bis ) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 et la présente loi. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’instance nationale d’accréditation, mentionnée à l’article 43(1) b du règlement, dans des conditions précisées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément. Elle peut établir des exigences supplémentaires aux normes d’accréditation. » ;

7° Au g du 2°, après le mot : « certification » sont insérés les mots : « , par des tiers agréés ou accrédités selon les modalités mentionnées au f bis, » ;

8° Au h du 2°, les mots : « d’accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « d’exercice des droits prévues aux articles 41, 42 et 70-22 » ;

9° Après le h du 2°, il est inséré un i ainsi rédigé :

« i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4 » ;

10° Au a du 4°, après la première phrase, il est inséré une phrase ainsi rédigée :

« Elle peut également être consultée par le président de l’Assemblée nationale ou par le président du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. » ;

11° Après le f du 4°, est inséré un alinéa ainsi rédigé :

« 5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement (UE) 2016/679 et de la présente loi » ;

12° Au début du vingt-sixième alinéa, est insérée la référence : « II. - ».


Références

Documents faisant référence à cette page :

< Projet de loi, version du Gouvernement >