L'amendement n° 45 rectifié, présenté par M. Détraigne, Mmes Escoffier et Morin-Desailly et M. Cointat, est ainsi libellé :
Après l'article 13 bis, insérer un article additionnel ainsi rédigé :
I. - La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° Le deuxième alinéa de l'article 2 est complété par une phrase ainsi rédigée :
« Tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne est visé par le présent alinéa. » ;
2° Le 1° du I de l'article 13 est complété par les mots : «, de manière à assurer une représentation pluraliste » ;
3° Le dernier alinéa du I de l'article 23 est ainsi rédigé :
« Le demandeur peut mettre en œuvre le traitement dès réception de la preuve du dépôt de la déclaration ; il n'est exonéré d'aucune de ses responsabilités. » ;
4° L'article 70 est ainsi modifié :
a) Au premier alinéa, les mots : « délivre le récépissé avec mention » sont remplacés par les mots : « informe le demandeur » ;
b) À la deuxième phrase du second alinéa, les mots : « délivre le récépissé et » sont supprimés ;
5° Après le chapitre IV, il est inséré un chapitre IV bis ainsi rédigé :
« Chapitre IV bis
« Le correspondant informatique et libertés
« Art. 31-1. - Lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre, ladite autorité ou ledit organisme désigne, en son sein ou dans un cadre mutualisé, un correspondant informatique et libertés. Toute autorité publique ou organisme privé qui ne remplit pas les conditions précédentes peut toutefois désigner un tel correspondant, y compris dans un cadre mutualisé.
« Le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi et d'informer et de conseiller l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme sur l'ensemble des questions de protection des données à caractère personnel.
« Le correspondant bénéficie des qualifications requises pour exercer ces missions. Il tient une liste des traitements effectués, régulièrement mise à jour et immédiatement accessible à toute personne en faisant la demande. Il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il saisit la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. Il établit un rapport annuel d'activité et le transmet à la commission.
« La désignation du correspondant est notifiée à la commission qui peut la refuser s'il ne remplit pas les conditions de compétence visées aux deux alinéas précédents. Cette désignation est portée à la connaissance des instances représentatives du personnel.
« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la commission. »
6° Le III de l'article 22 est ainsi rédigé :
« III. - Les traitements pour lesquels le responsable a désigné un correspondant informatique et libertés, dont le statut et les missions sont définis à l'article 31-1, sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de l'Union européenne est envisagé. » ;
7° L'article 26 est ainsi rédigé :
« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.
« II. - Sans préjudice des dispositions de l'article 6, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne peuvent être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes :
« 1° Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;
« 2° Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part, la recherche et l'identification des auteurs de crimes et de délits, d'autre part, la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;
« 3° Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;
« 4° Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;
« 5° Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;
« 6° Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;
« 7° Procéder à des enquêtes administratives liées à la sécurité publique ;
« 8° Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;
« 9° Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;
« 10° Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;
« 11° Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;
« 12° Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.
« III. - Les traitements mentionnés au II sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
« Ceux des traitements mentionnés aux I ou II qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
« L'avis de la Commission nationale de l'informatique et des libertés est publié avec l'arrêté ou le décret autorisant le traitement.
« IV. - Dans les traitements mentionnés au 6° du II du présent article, la durée de conservation des données concernant les mineurs est inférieure à celle applicable aux majeurs, sauf à ce que leur enregistrement ait été exclusivement dicté par l'intérêt du mineur. Cette durée est modulée afin de tenir compte de la situation particulière des mineurs et, le cas échéant, en fonction de la nature et de la gravité des atteintes à la sécurité publique commises par eux.
« V. - Certains traitements mentionnés au I peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la Commission nationale de l'informatique et des libertés.
« Les actes réglementaires qui autorisent ces traitements sont portés à la connaissance de la délégation parlementaire au renseignement et de la Commission nationale de l'informatique et des libertés.
« VI. - Lorsque la mise au point technique d'un traitement mentionné aux I ou II nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la Commission nationale de l'informatique et des libertés. Cet arrêté détermine les finalités, la durée et le champ d'application de l'expérimentation.
« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités selon lesquelles la commission est informée de l'évolution technique d'un tel projet de traitement et fait part de ses recommandations au seul responsable de ce projet.
« VII. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité de celui-ci à la description figurant dans l'autorisation. »
8° Au IV de l'article 8, la référence : « II » est remplacée par les références : « deuxième alinéa du III » ;
9° Au III de l'article 27, la référence : « IV » est remplacée par la référence : « VII » ;
10° Au premier alinéa du I de l'article 31, la référence : « III » est remplacée par la référence : « V » ;
11° Au IV de l'article 44, la référence : « III » est remplacée par la référence : « V » ;
12° Aux 1°, 2° et 3° du II de l'article 45, les références : « au I et au II » sont remplacées par les références : « aux I, II et III » ;
13° Au premier alinéa de l'article 49 et au huitième alinéa de l'article 69, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III » ;
14° Le I de l'article 13 est complété par un alinéa ainsi rédigé :
« La commission élit en son sein trois de ses membres, dont deux parmi les membres mentionnés aux 3°, 4° ou 5°. Ils composent une formation spécialisée de la commission chargée d'instruire les demandes d'avis formulées conformément aux I, II, III et VII de l'article 26. Cette formation est également chargée du suivi de la mise en œuvre expérimentale de traitements de données prévue au VI de l'article 26. Elle organise, en accord avec les responsables de traitements, les modalités d'exercice du droit d'accès indirect, défini aux articles 41 et 42. » ;
15° Après le troisième alinéa de l'article 16, il est inséré un alinéa ainsi rédigé :
« - au VI de l'article 26 ; »
16° L'article 29 est complété par un alinéa ainsi rédigé :
« Les actes autorisant la création des traitements de l'article 26 comportent en outre la durée de conservation des données enregistrées, les interconnexions autorisées avec d'autres traitements de données et les modalités de traçabilité des consultations du traitement. » ;
17° Après le 2° du I de l'article 31, il est inséré un 2° bis ainsi rédigé :
« 2° bis La durée de conservation des données à caractère personnel ; »
18° Le II de l'article 31 est complété par une phrase ainsi rédigée :
« Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la Commission nationale de l'informatique et des libertés, cet avis est publié avec le décret ou l'arrêté correspondant. » ;
19° L'article 32 est ainsi modifié :
a) Les I et II sont remplacés par un I, un I bis et un II ainsi rédigés :
« I. - Dès la collecte de données à caractère personnel, le responsable du traitement ou son représentant :
« - informe, sous une forme spécifique et de manière claire et accessible, la personne concernée, sauf si elle en a déjà été informée au préalable :
« 1° De l'identité et de l'adresse du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Des critères déterminant la durée de conservation des données à caractère personnel ;
« 4° Du caractère obligatoire ou facultatif des réponses ;
« 5° Des conséquences éventuelles d'un défaut de réponse ;
« 6° Des destinataires ou catégories de destinataires des données ;
« 7° Des coordonnées du service auprès duquel les droits d'accès, de rectification et de suppression peuvent s'exercer ;
« 8° S'il dispose d'un service de communication au public en ligne, des modalités d'exercice de ces droits par voie électronique ;
« 9° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne ;
« - met en mesure la personne concernée d'exercer son droit d'opposition, tel que visé au premier alinéa de l'article 38 ;
« - s'assure du consentement de la personne concernée, sauf dans les cas visés à l'article 7.
« I bis. - Si le responsable du traitement dispose d'un service de communication au public en ligne, il l'utilise pour porter à la connaissance du public, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, toutes les informations visées aux 1° à 9° du I.
« II. - Le responsable du traitement ou son représentant informe, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, tout utilisateur d'un réseau de communication électronique :
« - de la finalité des actions tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement ;
« - de la nature des informations stockées ;
« - des personnes ou catégories de personnes habilitées à avoir accès à ces informations ;
« - des moyens dont l'utilisateur dispose pour exprimer ou refuser son consentement.
« Le présent II n'est pas applicable si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
« - soit, a pour finalité exclusive de permettre la communication par voie électronique ;
« - soit, est strictement nécessaire à la fourniture d'un service de communication au public en ligne à la demande expresse de l'utilisateur. » ;
b) Le premier alinéa du III est ainsi rédigé :
« Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant fournit à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. »
20° L'article 34 est ainsi rédigé :
« Art. 34. - Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites.
« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés ou, en l'absence de celui-ci, la Commission nationale de l'informatique et des libertés. Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l'informatique et des libertés. Si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l'article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant informatique et libertés.
« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l'article 8. »
21° L'article 38 est ainsi rédigé :
« Art. 38. - Dès la collecte de données à caractère personnel ou, en cas de collecte indirecte, avant toute communication de données à caractère personnel, toute personne physique est mise en mesure de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection.
« Lorsque des données à caractère personnel ont été traitées, toute personne physique justifiant de son identité a le droit, pour des motifs légitimes, d'exiger, sans frais, leur suppression auprès du responsable du traitement.
« Ce droit ne peut être exercé lorsque :
« 1° Le traitement répond à une obligation légale ;
« 2° Le droit de suppression a été écarté par une disposition expresse de l'acte autorisant le traitement ;
« 3° Les données sont nécessaires à la finalité du traitement ;
« 4° Le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;
« 5° Le droit de suppression porte atteinte à une liberté publique garantie par la loi ;
« 6° Les données constituent un fait historique. » ;
22° Le début du premier alinéa du I de l'article 39 est ainsi rédigé :
« Toute personne physique justifiant de son identité a le droit d'interroger le responsable du traitement...