Intervention de Thierry Foucaud

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l'article 32 ter.

L'amendement n° 255 rectifié, présenté par le Gouvernement, est ainsi libellé :

Après l’article 32 ter

Insérer un article additionnel ainsi rédigé :

I. – La section 2 du chapitre III du titre II du livre Ier de la partie 4 du code de la défense est complétée par un article L. 4123-9-1 ainsi rédigé :

« Art. L. 4123 -9 -1 – I. – Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés et dans les conditions prévues à l’article 25 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, sauf lorsqu’ils le sont par une association à but non lucratif ou pour le compte de l’État, les traitements automatisés ou non dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent.

« L’autorisation ne peut être délivrée si le comportement ou les agissements de la personne responsable du traitement sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'État.

« À cet effet, la Commission nationale de l'informatique et des libertés peut préalablement à son autorisation recueillir l'avis du ministre compétent. Cet avis est rendu à la suite d'une enquête administrative qui peut donner lieu à la consultation, selon les règles propres à chacun d'eux, de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 précitée.

« La Commission nationale de l’informatique et des libertés informe le ministre compétent des autorisations délivrées sur le fondement du premier alinéa du présent I.

« Les traitements automatisés dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent et qui sont mis en œuvre par une association à but non lucratif font l’objet d’une déclaration auprès de la Commission nationale de l'informatique et des libertés qui en informe le ministre compétent.

« II. – La personne responsable des traitements mentionnés au I ne peut autoriser l’accès aux données contenues dans ces traitements qu’aux personnes pour lesquelles l'autorité administrative compétente, consultée aux mêmes fins que celles prévues au deuxième alinéa du I, a donné un avis favorable.

« III. – Les traitements mentionnés au I sont exclus du champ d’application de l’article 31 de la loi du 6 janvier 1978.

« IV. – Des arrêtés des ministres compétents, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au I pour préserver la sécurité des données.

« Le contrôle du respect de ces prescriptions techniques est assuré par le ministre compétent, en complément de celui prévu par la loi du 6 janvier 1978.

« V. – En cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai la Commission nationale de l’informatique et des libertés qui en informe le ministre compétent. Après accord du ministère compétent, le responsable du traitement avertit les personnes concernées.

« VI. – Les obligations prévues au II et le contrôle prévu au deuxième alinéa du IV ne sont pas applicables aux traitements mis en œuvre par les associations visées au 3° du II de l’article 8 de la loi du 6 janvier 1978.

« VII. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les modalités d’application du présent article, notamment la désignation des ministres compétents, la liste des fichiers mentionnés au paragraphe II pouvant faire l’objet d’une consultation et les garanties d’information ouvertes aux personnes concernées ainsi que les modalités et conditions du contrôle prévu au IV. »

II. – Le code pénal est ainsi modifié :

1° L’article 226-16 est complété par un alinéa ainsi rédigé :

« Est puni des mêmes peines le fait de permettre l’accès aux données contenues dans un traitement mentionné à l’article L. 4123-9-1 du code de la défense sans avoir recueilli l’avis favorable mentionné au II de cet article. » ;

2° L’article 226-17-1 est complété par un alinéa ainsi rédigé :

« Est puni des mêmes peines le fait pour un responsable de traitement de ne pas procéder à la notification à la Commission nationale de l’informatique et des libertés d’une divulgation ou d’un accès non autorisé de données à un traitement mentionné à l’article L. 4123-9-1 du code de la défense. »

III. – Les traitements entrant dans le champ des premier et quatrième alinéas du I de l’article L. 4123-9-1 du code de la défense doivent faire l’objet respectivement d’une autorisation ou d’une déclaration dans le délai d’un an courant à compter de l’entrée en vigueur de la présente loi.

À l’issue de ce délai toute mise en œuvre d’un tel traitement sans qu’ait été accomplie la formalité préalable est punie de cinq ans d’emprisonnement et de 300 000 euros d’amende.

IV. – À la demande des intéressés, les responsables des traitements qui ne relèvent pas du I de l’article L. 4123-9-1 du code de la défense mais dans lesquels figurent des militaires sont tenus de procéder à la suppression de la mention de leur qualité ou à la substitution à la qualité de militaires de la seule qualité d’agent public.

Le refus de procéder à une telle modification est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

La parole est à M. le secrétaire d'État.