Intervention de Jean-Marc Gabouty

L’amendement n° 57 rectifié bis, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :

Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : «, ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3°, 4°, 5° ou 6° du II de l’article 45 ou aux 1°, 2°, 3°, 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots : « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «, par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art. 226 -23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art. 226 -23 - … – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

La parole est à Mme Christine Lavarde.