Loi CNIL

Publié le : 20/04/2006


Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés

D'après le texte publié sur le site de la CNIL - Dernière modification : 22/02/06 - Copyright © 2004-2005 CNIL République Française
La loi 78-17 consolidée et annotée (format pdf) : (sur le site de la CNIL) afin de rendre plus lisible le texte de la loi, chaque référence dans un article à un autre article de la loi est explicitée

Tetxe d'application en dernier ressort :

Décret
n° 2005-1309 du 20 octobre 2005
pris pour l'application de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée
par la loi n° 2004-801 du 6 août 2004

Textes modifiant la loi

Loi n° 88-227 du 11 mars 1988 (Journal officiel du 12 mars 1988),
Loi n° 92-1336 du 16 décembre 1992 (Journal officiel du 23 décembre 1992),
Loi n° 94-548 du ler juillet 1994 (Journal officiel du 2 juillet 1994),
Loi n° 99-641 du 27 juillet 1999, (Journal officiel du 28 juillet 1999).
Loi n° 2000-321 du 12 avril 2000, (Journal officiel du 13 avril 2000).
Loi n° 2002-303 du 4 mars 2002, ( Journal officiel du 5 Mars 2002).

Loi n° 2003-239 du 18 mars 2003 (Journal officiel du 19 mars 2003).
Loi n° 2004-801 du 6 août 2004 (Journal officiel du 7 août 2004)
Loi n° 2006-64 du 23 janvier 2006 (Journal officiel du 24 janvier 2006)

  Articles :

Chapitre Ier

PRINCIPES ET DÉFINITIONS
 1er - 2 - 3 - 4 - 5

Chapitre II

CONDITIONS DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
6 - 7 - 8 - 9 - 10 

Chapitre III

LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
11 - 12 - 13 - 14 - 15 - 16 - 17 - 18 - 19 - 20 - 21 

Chapitre IV

FORMALITÉS PRÉALABLES À LA MISE EN ?UVRE DES TRAITEMENTS
 22 - 23 - 24  - 25 - 26 - 27 - 28 - 29 - 30 - 31 

Chapitre V

OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DROITS DES PERSONNES
32 - 33 - 34 - 35 - 36 - 37 - 38 - 39 - 40 - 41 - 42 - 43

Chapitre VI :

LE CONTRÔLE DE LA MISE EN ?UVRE DES TRAITEMENTS
 44 

Chapitre VII 

SANCTIONS PRONONCÉES PAR LA COMMISSION NATIONALE DE L?INFORMATIQUE ET DES LIBERTÉS 
45 -  46 -  47 -  48 -  49

Chapitre VIII

DISPOSITIONS PÉNALES
50 -  51 -  52 

Chapitre IX 

TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AYANT POUR FIN LA RECHERCHE DANS LE DOMAINE DE LA SANTÉ
53 -  54 -  55 -  56 -  57 -  58 -  59 -  60 -  61  

Chapitre X 

TRAITEMENTS DE DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL À DES FINS D'ÉVALUATION OU D'ANALYSE DES PRATIQUES OU DES ACTIVITÉS DE SOINS ET DE PRÉVENTION
62 -  63 -  64 -  65 -  66 

Chapitre XI 

TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AUX FINS DE JOURNALISME ET D'EXPRESSION LITTÉRAIRE ET ARTISTIQUE
67

Chapitre XII 

TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES ÉTATS N'APPARTENANT PAS À LA COMMUNAUTÉ EUROPÉENNE
68 -  69 -  70 

Chapitre XIII 

DISPOSITIONS DIVERSES
71 -  72 

 

Loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés

L'Assemblée nationale et le Sénat ont adopté.

Le Président de la République promulgue la loi dont la teneur suit :

CHAPITRE Ier
PRINCIPES ET DÉFINITIONS

Article 1er

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Article 2

La présente loi s?applique aux traitements automatisés de données à caractère personnel, ainsi qu?aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l?exception des traitements mis en oeuvre pour l?exercice d?activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l?article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d?identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l?ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d?opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l?enregistrement, l?organisation, la conservation, l?adaptation ou la modification, l?extraction, la consultation, l?utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l?interconnexion, ainsi que le verrouillage, l?effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l?objet du traitement.

 

Article 3

I. - Le responsable d?un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l?autorité publique, le service ou l?organisme qui détermine ses finalités et ses moyens.

II. - Le destinataire d?un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d?une mission particulière ou de l?exercice d?un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

Article 4

Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d?accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d?autres destinataires du service le meilleur accès possible aux informations transmises.

Article 5

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

Dont le responsable est établi sur le territoire français. Le responsable d?un traitement qui exerce une activité sur le territoire français dans le cadre d?une installation, quelle que soit sa forme juridique, y est considéré comme établi ;
 
Dont le responsable, sans être établi sur le territoire français ou sur celui d?un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l?exclusion des traitements qui ne sont utilisés qu?à des fins de transit sur ce territoire ou sur celui d?un autre État membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l?informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l?accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

CHAPITRE II :
CONDITIONS DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

Section 1 : Dispositions générales

Article 6

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

Les données sont collectées et traitées de manière loyale et licite ;
 
Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s?il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu?aux chapitres IX et X et s?il n?est pas utilisé pour prendre des décisions à l?égard des personnes concernées ;
 
Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
 
Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
 
Elles sont conservées sous une forme permettant l?identification des personnes concernées pendant une durée qui n?excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Article 7

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l?une des conditions suivantes :

Le respect d?une obligation légale incombant au responsable du traitement ;
 
La sauvegarde de la vie de la personne concernée ;
 
L?exécution d?une mission de service public dont est investi le responsable ou le destinataire du traitement ;
 
L?exécution, soit d?un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
 
La réalisation de l?intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l?intérêt ou les droits et libertés fondamentaux de la personne concernée.

Section 2 : Dispositions propres à certaines catégories de données

Article 8

I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l?appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l?exige pour certaines catégories de données, ne sont pas soumis à l?interdiction prévue au I :

Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l?interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
 
Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d?une incapacité juridique ou d?une impossibilité matérielle ;
 
Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

- pour les seules données mentionnées au I correspondant à l?objet de ladite association ou dudit organisme ;

- sous réserve qu?ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu?ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n?y consentent expressément ;

Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
 
Les traitements nécessaires à la constatation, à l?exercice ou à la défense d?un droit en justice ;
 
Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l?administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d?une profession de santé, ou par une autre personne à laquelle s?impose en raison de ses fonctions l?obligation de secret professionnel prévue par l?article 226-13 du code pénal ;
 
Les traitements statistiques réalisés par l?Institut national de la statistique et des études économiques ou l?un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l?obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l?information statistique et dans les conditions prévues à l?article 25 de la présente loi ;
 
Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

III. - Si les données à caractère personnel visées au I sont appelées à faire l?objet à bref délai d?un procédé d?anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l?informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l?article 25. Les dispositions des chapitres IX et X ne sont pas applicables.
 
IV. - De même, ne sont pas soumis à l?interdiction prévue au I les traitements, automatisés ou non, justifiés par l?intérêt public et autorisés dans les conditions prévues au I de l?article 25 ou au II de l?article 26.

Article 9

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
 
Les auxiliaires de justice, pour les stricts besoins de l?exercice des missions qui leur sont confiées par la loi ;
 
[Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
 
Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d?atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d?assurer la défense de ces droits.

Article 10

Aucune décision de justice impliquant une appréciation sur le comportement d?une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
 
Aucune autre décision produisant des effets juridiques à l?égard d?une personne ne peut être prise sur le seul fondement d?un traitement automatisé de données destiné à définir le profil de l?intéressé ou à évaluer certains aspects de sa personnalité.
 
Ne sont pas regardées comme prises sur le seul fondement d?un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l?exécution d?un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

CHAPITRE III :
LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

 

Article 11

La Commission nationale de l?informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;
 
Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre : 

a) Elle autorise les traitements mentionnés à l?article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;
 
b) Elle établit et publie les normes mentionnées au I de l?article 24 et édicte, le cas échéant, des règlements types en vue d?assurer la sécurité des systèmes ;
 
c)
Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;
 
d)
Elle répond aux demandes d?avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;
 
e) Elle informe sans délai le procureur de la République, conformément à l?article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l?article 52 ;
 
f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l?article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d?obtenir des copies de tous documents ou supports d?information utiles à ses missions ;
 
g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l?égard d?un responsable de traitement l?une des mesures prévues à l?article 45 ;
 
h)
Elle répond aux demandes d?accès concernant les traitements mentionnés aux articles 41 et 42 ;

A la demande d?organisations professionnelles ou d?institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l?égard du traitement de données à caractère personnel, ou à l?anonymisation de ces données, qui lui sont soumis ;
 
b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu?elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;
 
c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l?égard du traitement des données à caractère personnel, après qu?elles les a reconnus conformes aux dispositions de la présente loi ;

Elle se tient informée de l?évolution des technologies de l?information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l?exercice des droits et libertés mentionnés à l?article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l?égard des traitements automatisés ;
 
b) Elle propose au Gouvernement les mesures législatives ou réglementaires d?adaptation de la protection des libertés à l?évolution des procédés et techniques informatiques ;
 
c) A la demande d?autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;
 
d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.

Pour l?accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.
 
La commission présente chaque année au Président de la République, au Premier ministre et au Parlement un rapport public rendant compte de l?exécution de sa mission.
 

Article 12

La Commission nationale de l?informatique et des libertés dispose des crédits nécessaires à l?accomplissement de ses missions. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

 

Article 13

I. - La Commission nationale de l?informatique et des libertés est composée de dix-sept membres :

Deux députés et deux sénateurs, désignés respectivement par l?Assemblée nationale et par le Sénat ;
 
Deux membres du Conseil économique et social, élus par cette assemblée ;
 
Deux membres ou anciens membres du Conseil d?État, d?un grade au moins égal à celui de conseiller, élus par l?assemblée générale du Conseil d?État ;
 
Deux membres ou anciens membres de la Cour de cassation, d?un grade au moins égal à celui de conseiller, élus par l?assemblée générale de la Cour de cassation ;
 
Deux membres ou anciens membres de la Cour des comptes, d?un grade au moins égal à celui de conseiller maître, élus par l?assemblée générale de la Cour des comptes ;
 
Trois personnalités qualifiées pour leur connaissance de l?informatique ou des questions touchant aux libertés individuelles, nommées par décret ;
 
Deux personnalités qualifiées pour leur connaissance de l?informatique, désignées respectivement par le Président de l?Assemblée nationale et par le Président du Sénat.

La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué. Ils composent le bureau.
 
La formation restreinte de la commission est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat.
 
En cas de partage égal des voix, celle du président est prépondérante.
 
II. - Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° siègent pour la durée du mandat à l?origine de leur désignation ; leurs mandats de membre de la Commission nationale de l?informatique et des libertés ne peuvent excéder une durée de dix ans.
 
Le membre de la commission qui cesse d?exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.
 
Sauf démission, il ne peut être mis fin aux fonctions d?un membre qu?en cas d?empêchement constaté par la commission dans les conditions qu?elle définit.
 
La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l?organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l?instruction des dossiers et à leur présentation devant la commission.

Article 14

I. - La qualité de membre de la commission est incompatible avec celle de membre du Gouvernement.
 
II. - Aucun membre de la commission ne peut :

- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, direct ou indirect, exerce des fonctions ou détient un mandat ;

- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des trente-six mois précédant la délibération ou les vérifications, détenu un intérêt direct ou indirect, exercé des fonctions ou détenu un mandat.

III. - Tout membre de la commission doit informer le président des intérêts directs ou indirects qu?il détient ou vient à détenir, des fonctions qu?il exerce ou vient à exercer et de tout mandat qu?il détient ou vient à détenir au sein d?une personne morale. Ces informations, ainsi que celles concernant le président, sont tenues à la disposition des membres de la commission.
 
Le président de la commission prend les mesures appropriées pour assurer le respect des obligations résultant du présent article.

Article 15

Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.
 
En cas de partage égal des voix, la voix du président est prépondérante.
 
La commission peut charger le président ou le vice-président délégué d?exercer celles de ses attributions mentionnées :

- au troisième alinéa du I de l?article 23 ;
- aux e et f du 2° de l?article 11 ;
- au c du 2° de l?article 11 ;
- au d du 4° de l?article 11 ;
- aux articles 41 et 42 ;
- à l?article 54 ;
- aux articles 63, 64 et 65 ;
- au dernier alinéa de l?article 69 ;
- au premier alinéa de l?article 70.

Article 16

Le bureau peut être chargé par la commission d?exercer les attributions de celle-ci mentionnées :

- au dernier alinéa de l?article 19 ;
- à l?article 25, en cas d?urgence ;
- au second alinéa de l?article 70.

Le bureau peut aussi être chargé de prendre, en cas d?urgence, les décisions mentionnées au premier alinéa du I de l?article 45.

 

Article 17

La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l?article 45.

Article 18

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.
 
Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ou en formation restreinte, ainsi qu?à celles des réunions de son bureau qui ont pour objet l?exercice des attributions déléguées en vertu de l?article 16 ; il est rendu destinataire de tous ses avis et décisions.
 
Il peut, sauf en matière de sanctions, provoquer une seconde délibération, qui doit intervenir dans les dix jours de la délibération initiale.

Article 19

La commission dispose de services dirigés par le président et placés sous son autorité.
 
Les agents de la commission sont nommés par le président.
 
En cas de besoin, le vice-président délégué exerce les attributions du président.
 
Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l?autorité du président.
 
Ceux des agents qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l?article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l?application des dispositions définissant les procédures autorisant l?accès aux secrets protégés par la loi.

Article 20

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l?article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l?établissement du rapport annuel, à l?article 226-13 du même code.

Article 21

Dans l?exercice de leurs attributions, les membres de la commission ne reçoivent d?instruction d?aucune autorité.
 
Les ministres, autorités publiques, dirigeants d?entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s?opposer à l?action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.
 
Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 2° de l?article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l?exercice de ses missions.

CHAPITRE IV
FORMALITÉS PRÉALABLES À LA MISE EN ?UVRE DES TRAITEMENTS

Article 22

I. - A l?exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l?article 36, les traitements automatisés de données à caractère personnel font l?objet d?une déclaration auprès de la Commission nationale de l?informatique et des libertés.
 
II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

Les traitements ayant pour seul objet la tenue d?un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l?information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d?un intérêt légitime ;
 
Les traitements mentionnés au 3° du II de l?article 8.

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d?assurer, d?une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu?un transfert de données à caractère personnel à destination d?un État non membre de la Communauté européenne est envisagé.
 
La désignation du correspondant est notifiée à la Commission nationale de l?informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.
 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l?objet d?aucune sanction de la part de l?employeur du fait de l?accomplissement de ses missions. Il peut saisir la Commission nationale de l?informatique et des libertés des difficultés qu?il rencontre dans l?exercice de ses missions.
 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l?informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l?informatique et des libertés.
 
IV. - Le responsable d?un traitement de données à caractère personnel qui n?est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l?article 31.

Section 1 : Déclaration

Article 23

I. - La déclaration comporte l?engagement que le traitement satisfait aux exigences de la loi.
 
Elle peut être adressée à la Commission nationale de l?informatique et des libertés par voie électronique.
 
La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé ; il n?est exonéré d?aucune de ses responsabilités.
 
II. - Les traitements relevant d?un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l?objet d?une déclaration unique. Dans ce cas, les informations requises en application de l?article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

Article 24

I. - Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n?est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l?informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l?obligation de déclaration.
 
Ces normes précisent :

Les finalités des traitements faisant l?objet d?une déclaration simplifiée ;
 
Les données à caractère personnel ou catégories de données à caractère personnel traitées ;
 
La ou les catégories de personnes concernées ;
 
Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
 
La durée de conservation des données à caractère personnel.
 
Les traitements qui correspondent à l?une de ces normes font l?objet d?une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

II. - La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.
 
Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l?article 23.

Section 2 : Autorisation

Article 25

I. - Sont mis en oeuvre après autorisation de la Commission nationale de l?informatique et des libertés, à l?exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l?article 8 ;
 
Les traitements automatisés portant sur des données génétiques, à l?exception de ceux d?entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l?administration de soins ou de traitements ;
 
Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
 
Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d?exclure des personnes du bénéfice d?un droit, d?une prestation ou d?un contrat en l?absence de toute disposition législative ou réglementaire ;
 
Les traitements automatisés ayant pour objet :

- l?interconnexion de fichiers relevant d?une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
- l?interconnexion de fichiers relevant d?autres personnes et dont les finalités principales sont différentes.

Les traitements portant sur des données parmi lesquelles figure le numéro d?inscription des personnes au répertoire national d?identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d?inscription à celui-ci des personnes ;
 
Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
 
Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l?identité des personnes.

II. - Pour l?application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l?autorisation.
 
III. - La Commission nationale de l?informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s?est pas prononcée dans ces délais, la demande d?autorisation est réputée rejetée.

Article 26

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l?informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l?État et :

Qui intéressent la sûreté de l?État, la défense ou la sécurité publique ;
 
Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l?exécution des condamnations pénales ou des mesures de sûreté.

L?avis de la commission est publié avec l?arrêté autorisant le traitement.
 
II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l?article 8 sont autorisés par décret en Conseil d?État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.
 
III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d?État, de la publication de l?acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l?acte, le sens de l?avis émis par la commission.
 
IV. -
Pour l?application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l?autorisation.

Article 27

I. - Sont autorisés par décret en Conseil d?État, pris après avis motivé et publié de la Commission nationale de l?informatique et des libertés :

Les traitements de données à caractère personnel mis en oeuvre pour le compte de l?État, d?une personne morale de droit public ou d?une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d?inscription des personnes au répertoire national d?identification des personnes physiques ;
 
Les traitements de données à caractère personnel mis en oeuvre pour le compte de l?État qui portent sur des données biométriques nécessaires à l?authentification ou au contrôle de l?identité des personnes.

II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d?un établissement public ou d?une personne morale de droit privé gérant un service public, par décision de l?organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l?informatique et des libertés :

Les traitements mis en oeuvre par l?État ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d?identification des personnes physiques sans inclure le numéro d?inscription à ce répertoire ;
 
Ceux des traitements mentionnés au I :

- qui ne comportent aucune des données mentionnées au I de l?article 8 ou à l?article 9 ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
- et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d?ouverture ou l?étendue d?un droit des administrés, soit d?établir l?assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d?établir des statistiques ;

Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;
 
Les traitements mis en oeuvre par l?État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l?administration un ou plusieurs téléservices de l?administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d?inscription des personnes au répertoire national d?identification ou tout autre identifiant des personnes physiques.

III. - Les dispositions du IV de l?article 26 sont applicables aux traitements relevant du présent article.

Article 28

I. - La Commission nationale de l?informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.
 
II. - L?avis demandé à la commission sur un traitement, qui n?est pas rendu à l?expiration du délai prévu au I, est réputé favorable.

Article 29

Les actes autorisant la création d?un traitement en application des articles 25, 26 et 27 précisent :

La dénomination et la finalité du traitement ;
 
Le service auprès duquel s?exerce le droit d?accès défini au chapitre VII ;
 
Les catégories de données à caractère personnel enregistrées ;
 
Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
 
Le cas échéant, les dérogations à l?obligation d?information prévues au V de l?article 32.

Section 3 : Dispositions communes

Article 30

Modifié par Loi n°2006-64 du 23 janvier 2006 art. 13 (JORF 24 janvier 2006)

I. - Les déclarations, demandes d?autorisation et demandes d?avis adressées à la Commission nationale de l?informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :

L?identité et l?adresse du responsable du traitement ou, si celui-ci n?est établi ni sur le territoire national ni sur celui d?un autre État membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;
 
La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ;
 
Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d?autres traitements ;
 
Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
 
La durée de conservation des informations traitées ;
 
Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
 
Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
 
La fonction de la personne ou le service auprès duquel s?exerce le droit d?accès prévu à l?article 39, ainsi que les mesures relatives à l?exercice de ce droit ;
 
Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l?indication du recours à un sous-traitant ;
 
10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d?un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l?exclusion des traitements qui ne sont utilisés qu?à des fins de transit sur le territoire français ou sur celui d?un autre État membre de la Communauté européenne au sens des dispositions du 2° du I de l?article 5.

Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum.

II. - Le responsable d?un traitement déjà déclaré ou autorisé informe sans délai la commission :

- de tout changement affectant les informations mentionnées au I ;
- de toute suppression du traitement.

Article 31

I. - La commission met à la disposition du public la liste des traitements automatisés ayant fait l?objet d?une des formalités prévues par les articles 23 à 27, à l?exception de ceux mentionnés au III de l?article 26.
 
Cette liste précise pour chacun de ces traitements :

L?acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
 
La dénomination et la finalité du traitement ;
 
L?identité et l?adresse du responsable du traitement ou, si celui-ci n?est établi ni sur le territoire national ni sur celui d?un autre État membre de la Communauté européenne, celles de son représentant ;
 
La fonction de la personne ou le service auprès duquel s?exerce le droit d?accès prévu à l?article 39 ;
 
Les catégories de données à caractère personnel faisant l?objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;
 
Le cas échéant, les transferts de données à caractère personnel envisagés à destination d?un État non membre de la Communauté européenne.

II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.
 
III. - La Commission nationale de l?informatique et des libertés publie la liste des États dont la Commission des Communautés européennes a établi qu?ils assurent un niveau de protection suffisant à l?égard d?un transfert ou d?une catégorie de transferts de données à caractère personnel.

CHAPITRE V
OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DROITS DES PERSONNES


Section 1 : Obligations incombant aux responsables de traitements

Article 32

I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l?a été au préalable, par le responsable du traitement ou son représentant :

De l?identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
 
De la finalité poursuivie par le traitement auquel les données sont destinées ;
 
Du caractère obligatoire ou facultatif des réponses ;
 
Des conséquences éventuelles, à son égard, d?un défaut de réponse ;
 
Des destinataires ou catégories de destinataires des données ;
 
Des droits qu?elle tient des dispositions de la section 2 du présent chapitre ;
 
Le cas échéant, des transferts de données à caractère personnel envisagés à destination d?un État non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
 
II. - Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

- des moyens dont elle dispose pour s?y opposer.

Ces dispositions ne sont pas applicables si l?accès aux informations stockées dans l?équipement terminal de l?utilisateur ou l?inscription d?informations dans l?équipement terminal de l?utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d?un service de communication en ligne à la demande expresse de l?utilisateur.

III. - Lorsque les données à caractère personnel n?ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l?enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
 
Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l?alinéa précédent ne s?appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l?article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l?obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s?appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l?intérêt de la démarche.
 
IV. - Si les données à caractère personnel recueillies sont appelées à faire l?objet à bref délai d?un procédé d?anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l?informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.
 
V. - Les dispositions du I ne s?appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d?un traitement mis en oeuvre pour le compte de l?Etat et intéressant la sûreté de l?État, la défense, la sécurité publique ou ayant pour objet l?exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.
 
VI. - Les dispositions du présent article ne s?appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d?infractions pénales.

Article 33

Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l?être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

Article 34

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu?elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
 
Des décrets, pris après avis de la Commission nationale de l?informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l?article 8.

Article 35

Les données à caractère personnel ne peuvent faire l?objet d?une opération de traitement de la part d?un sous-traitant, d?une personne agissant sous l?autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.
 
Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.
 
Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l?article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
 
Le contrat liant le sous-traitant au responsable du traitement comporte l?indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Article 36

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l?article 6 qu?en vue d?être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l?article L. 212-4 du code du patrimoine.
 
Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d?archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.
 
Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :