Article 1er

< Projet de loi, version issue de la 1ère lecture en Commission à l'Assemblée >

L’article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au début du premier alinéa, est ajoutée la mention : « I. – » ;

2° Après la première phrase du même premier alinéa, est insérée une phrase ainsi rédigée : « Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité » ;

bis (nouveau) Le 1° est complété par les mots : « et peut, à cette fin, apporter une information personnalisée aux petites et moyennes entreprises » ;

3° Le 2° est ainsi modifié :

aa) (nouveau) Après le mot : « conformément », la fin du premier alinéa est ainsi rédigée : « aux textes relatifs à la protection des données personnelles. » ;

a) Au a , les mots : « autorise les traitements mentionnés à l’article 25, » et les mots : « et reçoit les déclarations relatives aux autres traitements » sont supprimés ;

b) Après le même a , il est inséré un a bis ainsi rédigé :

« a bis ) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; »

c) Le b est ainsi rédigé :

« b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ; »

d) Après le f , il est inséré un f bis ainsi rédigé :

« f bis ) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation, mentionné au b du 1 de l’article 43 du même règlement, dans des conditions précisées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément. Elle peut établir des exigences supplémentaires en matière de normes d’accréditation ; »

e) Au g , après le mot : « certification », sont insérés les mots : « , par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, » ;

f) À la fin du h , les mots : « d’accès concernant les traitements mentionnés aux articles 41 et 42 » sont remplacés par les mots : « ou saisines prévues aux articles 41, 42 et 70-22 » ;

g) Il est ajouté un i ainsi rédigé :

« i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4 ; »

4° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée : « Elle peut également être consultée par le Président de l’Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. » ;

5° Après le __ même 4°, il est inséré un 5° ainsi rédigé :

« 5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;

6° Au début du vingt-sixième alinéa, est ajoutée la mention : « II. – » ;


Références

Documents faisant référence à cette page :

< Projet de loi, version issue de la 1ère lecture en Commission à l'Assemblée >