M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement est en réalité satisfait par le règlement général sur la protection des données. En inscrivant le droit à l’oubli pour les mineurs dans son texte, la loi pour une République numérique avait anticipé ce règlement général, mais celui-ci consacre bien un droit à l’oubli pour tous, même si une procédure accélérée est prévue dans le cas des mineurs.
La commission demande donc le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Les dispositions de cet amendement constituent, d’une certaine manière, un acte de « surtransposition ».
Sous réserve de certaines exceptions prévues dans le texte, et dans le cadre de l’offre de services de la société de l’information, le droit à l’oubli sera généralisé à l’ensemble des personnes, et pas seulement aux mineurs. C’est exactement ce que vous proposez dans cet amendement, madame Robert, et c’est la raison pour laquelle mon avis sera défavorable.
L’extension proposée me semble disproportionnée au regard de la nécessaire conciliation que nous devons opérer entre la liberté d’information et le droit à l’effacement des données. Les personnes majeures peuvent s’appuyer sur d’autres motifs pour obtenir l’effacement de leurs données – absence de consentement, illicéité du traitement, etc. –, et ce sans qu’il soit besoin de leur étendre le bénéfice de cette protection, spécifiquement ajoutée pour les mineurs.
Le Gouvernement émet un avis défavorable sur cet amendement.
M. le président. Madame Robert, l’amendement n° 140 est-il maintenu ?
Mme Sylvie Robert. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 140 est retiré.
L’amendement n° 141, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Au début de cet article
Insérer un paragraphe ainsi rédigé :
… – À la seconde phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, après la première occurrence des mots : « celles-ci » sont insérés les mots : « sur l’ensemble des extensions du traitement ».
La parole est à Mme Sylvie Robert.
Mme Sylvie Robert. En 2014, la Cour de justice de l’Union européenne a estimé, dans son arrêt Costeja, qu’un célèbre moteur de recherche entrait dans le champ de la directive de 1995 sur le traitement des données personnelles.
Dès lors qu’ils proposent des contenus publicitaires à partir de l’indexation des sites, les moteurs de recherche réalisent un traitement de données à caractère personnel. Il s’ensuit que la CJUE a reconnu la possibilité pour tout internaute d’obtenir qu’un lien n’apparaisse plus quand son patronyme, et uniquement son patronyme, est saisi sur le moteur de recherche. C’est le droit au déréférencement. Ce droit est naturellement à mettre en balance avec d’autres impératifs, tels que le droit à l’information du public.
Pour autant, une question n’a pas été arbitrée : quelle en est la portée territoriale ? Autrement dit, lorsqu’un moteur de recherche est tenu de déréférencer, doit-il le faire uniquement dans la zone géographique couverte par le texte réglementaire – dans notre cas, l’Union européenne – ou doit-il le faire à l’échelle mondiale, partant du postulat que, Internet étant un monde ouvert, indifférent aux frontières, l’information demeurerait accessible ?
Prenons un exemple concret. Si je demande à un moteur de recherche de déréférencer un lien me concernant et qu’il accède à ma requête, ce lien ne sera plus accessible depuis l’ensemble des extensions européennes de ce site – « .fr », « .it », etc. En revanche, il le demeurera depuis la version américaine du moteur de recherche – donc en « .com ». Le droit au déréférencement est par conséquent aujourd’hui limité territorialement.
D’ailleurs, la CNIL souhaite étendre sa portée. Son raisonnement est que les moteurs de recherche, ayant souvent choisi d’avoir un traitement mondial, doivent, dès lors que le droit au référencement est appliqué, le rendre effectif sur l’ensemble des extensions liées à ce traitement.
Si en passant en un clic d’une extension « .fr » à une extension « .com » vous avez accès au lien censé être désindexé, mes chers collègues, on peut considérer que le droit au déréférencement n’est que parcellaire !
Certes, des questions préjudicielles sur ce point fondamental ont été soumises par le Conseil d’État à la Cour de justice de l’Union européenne. Toutefois, à défaut d’anticiper les décisions de la CJUE en intégrant d’ores et déjà une disposition dans notre ordre juridique interne, nous aimerions au moins connaître la position du Gouvernement sur la question. Celui-ci est-il favorable à ce que le droit au déréférencement ne soit pas limité territorialement ?
Le sujet est essentiel, car le droit au déréférencement est un corollaire du droit à l’oubli, évoqué précédemment.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Comme le droit à l’oubli, le droit au déréférencement sur les moteurs de recherche est l’un des nouveaux droits garantis par le règlement général sur la protection des données. Il a vocation à s’appliquer directement, dans ce cadre, à compter du 25 mai prochain.
Le problème des extensions des noms de domaine sur lequel il s’exerce ne peut être tranché par un simple ajout dans la loi nationale. En effet, les autorités de contrôle européennes sont en train de se forger une doctrine, exprimée au sein du groupe qui les rassemble, et plusieurs contentieux sur ce point sont en cours. Le Conseil d’État, notamment, a adressé à la Cour de justice de l’Union européenne plusieurs questions préjudicielles sur le sujet.
Par conséquent, je vous propose, madame Robert, de ne pas modifier pour le moment la loi Informatique et libertés, et d’en rester au règlement général.
La commission demande donc le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis que la commission, monsieur le président : le Gouvernement sollicite le retrait de cet amendement.
M. le président. Madame Robert, l’amendement n° 141 est-il maintenu ?
Mme Sylvie Robert. Il me semblait important que nous puissions évoquer le droit à l’oubli et le droit au déréférencement dans cet hémicycle. Il y a là un vrai sujet, sur lequel, d’ailleurs, nous aurons l’occasion de revenir dans les mois ou années à venir, que ce soit dans le cadre du présent texte ou à l’occasion de l’examen d’autres dispositions.
Je retire donc mon amendement, monsieur le président.
M. le président. L’amendement n° 141 est retiré.
L’amendement n° 139, présenté par Mme S. Robert et MM. Durain, Sutour, Sueur et Kanner, est ainsi libellé :
Alinéa 2, première phrase
Après le mot :
risque
insérer le mot :
élevé
La parole est à Mme Sylvie Robert.
Mme Sylvie Robert. Cet amendement rédactionnel a pour objet d’encadrer davantage les dérogations prévues au droit à la communication d’une violation de données.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Il me semble qu’il y a erreur ! Si cet amendement était adopté, il faudrait, non plus un simple risque, mais un risque élevé pour pouvoir déroger à l’obligation de notification des failles de sécurité. Cela diminuerait la protection de certains traitements importants pour la sécurité publique.
La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis, monsieur le président : le Gouvernement sollicite le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.
M. le président. Madame Robert, l’amendement n° 139 est-il maintenu ?
Mme Sylvie Robert. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 139 est retiré.
Je mets aux voix l’article 15.
(L’article 15 est adopté.)
Articles additionnels après l’article 15
M. le président. L’amendement n° 1 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :
Après l’article 15
Insérer un article additionnel ainsi rédigé :
Après le premier alinéa de l’article L. 341-4 du code de l’énergie, il est inséré un alinéa ainsi rédigé :
« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »
La parole est à Mme Annie Delmont-Koropoulis.
Mme Annie Delmont-Koropoulis. Les nouveaux dispositifs de comptage mis en place – les compteurs Linky – procèdent, par défaut et sans le consentement des personnes, à des enregistrements de données personnelles.
Le fonctionnement intrinsèque de ces compteurs implique le traitement de données à caractère personnel.
Dès lors, seule la faculté de s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’autodétermination des données personnelles, tel qu’il a été préconisé par le Conseil d’État dans son étude annuelle 2014, Le Numérique et les droits fondamentaux, que les exigences du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Ce règlement consacre le principe selon lequel le consentement des personnes au traitement de leurs données personnelles doit être donné par un acte positif clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.
Un refus de la part de certains utilisateurs que leurs données personnelles soient collectées par les dispositifs de comptage et l’impossibilité, partant, d’installer ces dispositifs chez ces utilisateurs n’entraînera pas une violation de la directive européenne du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité, dès lors que son annexe I n’impose qu’une couverture du territoire national à hauteur de 80 %.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cette question passionnante partage quelque peu la France et pourrait faire l’objet d’un véritable débat… Mais elle ne trouve pas vraiment sa place dans ce texte ; elle en est même très éloignée.
C’est la raison pour laquelle je sollicite le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Madame la sénatrice, comme Mme la rapporteur, je pense que cet amendement est un cavalier, parce qu’il concerne un sujet assez éloigné de l’objet même de ce texte.
Le Gouvernement demande donc le retrait de cet amendement.
M. le président. Madame Delmont-Koropoulis, l’amendement n° 1 rectifié ter est-il maintenu ?
Mme Annie Delmont-Koropoulis. Il sera intéressant de reparler de ce problème, mais, en attendant, je retire cet amendement, monsieur le président.
M. le président. L’amendement n° 1 rectifié ter est retiré.
L’amendement n° 2 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :
Après l’article 15
Insérer un article additionnel ainsi rédigé :
Après le premier alinéa de l’article L. 452-2-1 du code de l’énergie, il est inséré un alinéa ainsi rédigé :
« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »
La parole est à Mme Annie Delmont-Koropoulis.
Mme Annie Delmont-Koropoulis. Cet amendement est très proche du précédent…
M. Jean-Claude Requier. Cette fois, c’est le gaz ! (Sourires.)
Mme Annie Delmont-Koropoulis. Je le retire donc, monsieur le président.
M. le président. L’amendement n° 2 rectifié ter est retiré.
Chapitre VI
Voies de recours
Article 16 A
L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° AA (nouveau) Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;
1° A Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés » ;
1° Le III est ainsi rédigé :
« III. – Cette action peut être exercée en vue soit de la cessation du manquement mentionné au II, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.
« Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 25 mai 2020. » ;
2° Le IV est ainsi modifié :
a) (nouveau) Le 1° est complété par les mots : « et agréées par l’autorité administrative » ;
b) (nouveau) Il est ajouté un alinéa ainsi rédigé :
« L’agrément prévu au 1° est notamment subordonné à l’activité effective et publique de l’association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d’agrément et du retrait de l’agrément sont déterminées par décret en Conseil d’État. » ;
3° Il est ajouté un V ainsi rédigé :
« V. – Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »
M. le président. Je suis saisi de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 101, présenté par le Gouvernement, est ainsi libellé :
I. - Alinéas 7 à 10
Supprimer ces alinéas.
II. – Alinéa 11
Rédiger ainsi cet alinéa :
2° Le IV est complété par un alinéa ainsi rédigé :
III. – Alinéa 12
Rédiger ainsi le début de cet alinéa :
« Lorsque l’action …
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Mesdames, messieurs les sénateurs, le Gouvernement souhaite la suppression de la condition d’agrément qu’a introduite la commission pour les associations souhaitant exercer une action de groupe.
Une telle condition n’est pas prévue à l’article 80 du règlement, qui vise les organismes, organisations ou associations à but non lucratif ayant été valablement constitués conformément au droit d’un État membre. L’amendement tend à poser une exigence supplémentaire qui me semble donc contraire à la lettre du règlement.
En pratique, très peu d’actions de groupe ont été engagées, et depuis que la possibilité en a été introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, aucune ne l’a été en matière de protection des données. La condition supplémentaire, qui est liée à l’agrément préalable, entraverait la possibilité d’exercer ces actions.
Je rappelle que la loi de 2016 a déjà prévu un certain nombre de garde-fous. En effet, pour pouvoir exercer une action de groupe, une association doit être régulièrement déclarée depuis cinq ans au moins et justifier d’un objet statutaire concernant la protection de la vie privée et la protection des données à caractère personnel. Les associations de défense peuvent également exercer une telle action lorsque le traitement de données à caractère personnel affecte des consommateurs.
L’agrément prévu pour ces associations par l’article L. 811-1 du code de la consommation est facultatif. Il y aurait donc, si nous n’avions pas déposé notre amendement, une distorsion entre ces deux types d’association.
J’ajoute enfin que le Gouvernement ne souhaite pas revenir sur la disposition introduite par votre commission, qui a reporté au 25 mai 2020 l’entrée en vigueur de l’action de groupe.
Au total, il nous semble que la crainte d’un déferlement d’actions en réparation apparaît excessive et que le texte est parvenu à un juste équilibre.
Pour l’ensemble de ces raisons, je vous demande donc de bien vouloir adopter cet amendement de suppression, sachant que l’amendement suivant, déposé par M. Durain, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain a le même objet.
M. le président. L’amendement n° 130, présenté par M. Durain, Mme Sylvie Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéas 7 à 10
Supprimer ces alinéas.
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Mme la garde des sceaux a dit l’essentiel. On nous parle d’une multiplication des recours abusifs, d’un déferlement, d’un raz-de-marée de plaideurs virulents ayant des visées politiciennes… Nous ne les avons pas vus à l’œuvre jusqu’à présent ! Il nous semble donc que toutes ces préventions sont superflues et infondées.
C’est pour cette raison que nous demandons la suppression des alinéas 7 à 10 de l’article.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission a accepté le principe de l’extension de l’action de groupe en matière de données personnelles à la réparation des dommages matériels et moraux, ainsi que l’a proposé l’Assemblée nationale.
Cette extension donnera effectivement du sens à l’action de groupe en matière de données personnelles. Une action de groupe limitée à la cessation d’un manquement n’a que peu de sens, comme le Sénat l’avait relevé lors de l’examen de la loi de modernisation de la justice du XXIe siècle. Telle est la véritable raison pour laquelle il n’y a eu aucune action de groupe en la matière depuis 2016.
Dès lors que l’objet de l’action de groupe est étendu à la réparation des dommages, de telles actions risquent au contraire de se multiplier. C’est une grande crainte de nos collectivités territoriales.
De fait, des associations tout à fait respectables nous ont confié leur intention d’en introduire dès le lendemain de l’entrée en vigueur du RGPD, dans la logique des actions qu’elles mènent sur la scène publique et des protestations qu’elles y font entendre. Dès lors, nous avons le devoir de protéger les collectivités territoriales ou les TPE-PME contre les recours abusifs, qui sont très inquiètes, je le répète.
De plus, je ne pense pas que ce soit une demande exorbitante, dans la mesure où c’est déjà le cas en matière de consommation, d’environnement, de santé. Cela permettrait aussi d’unifier le régime de l’action de groupe.
La commission émet donc un avis défavorable sur ces deux amendements.
M. le président. Quel est l’avis du Gouvernement sur l’amendement n° 130 ?
Mme Nicole Belloubet, garde des sceaux. Celui-ci est presque identique à l’amendement du Gouvernement. J’émets donc un avis favorable.
M. le président. Je mets aux voix l’article 16 A.
(L’article 16 A est adopté.)
Article 16
La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :
« Art. 43 quater. – Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII de la présente loi.
« L’agrément prévu au 1° du IV de l’article 43 ter n’est pas requis pour qu’une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »
M. le président. L’amendement n° 25 rectifié, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :
Alinéa 2
Compléter cet alinéa par une phrase ainsi rédigée :
Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées.
La parole est à M. Jean-Pierre Decool.
M. Jean-Pierre Decool. Cet amendement vise à assurer la soutenabilité financière des actions de groupe, telle qu’elle résulte de l’article 16 A du projet de loi, en prévoyant la possibilité pour une association ou une organisation de se faire rembourser les frais engagés pour exercer ses droits et ceux des personnes représentées.
Il s’agit d’affirmer l’effectivité de ce mécanisme d’action de groupe introduit dans le projet de loi en première lecture, à l’Assemblée nationale, en commission.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Il y a une légère confusion de la part des auteurs de l’amendement, puisqu’il s’agit ici non pas de l’action de groupe, mais de l’action individuelle par mandataire.
L’amendement vise à permettre à la CNIL d’imposer à un responsable de traitement dont elle a constaté un manquement aux règles relatives à la protection des données personnelles de rembourser à l’association ou à l’organisation mandatée les frais qu’elle a engagés.
La commission ne peut y être favorable, pour plusieurs raisons : d’une part, la CNIL n’est pas une juridiction, susceptible de condamner aux dépens ; d’autre part, l’examen par la CNIL d’une réclamation n’est pas un procès opposant plusieurs parties, et il n’y a pas de lien d’instance entre l’association auteur de la réclamation et le responsable de traitement, qui justifierait de mettre à la charge de l’un les frais de l’autre.
Nous avons bien étudié la question, et nous sommes parvenus à la conclusion que la CNIL n’avait pas la possibilité de mener ce type d’action.
La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis : le Gouvernement demande le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.
M. le président. Monsieur Decool, l’amendement n° 25 rectifié est-il maintenu ?
M. Jean-Pierre Decool. Non, compte tenu des explications avancées par Mme la rapporteur, je le retire, monsieur le président.
M. le président. L’amendement n° 25 rectifié est retiré.
L’amendement n° 100, présenté par le Gouvernement, est ainsi libellé :
Alinéa 3
Supprimer cet alinéa.
La parole est à Mme la garde des sceaux.
M. le président. L’amendement n° 100 est retiré.
Je mets aux voix l’article 16.
(L’article 16 est adopté.)
Article 17
I. – La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé :
« Art. 43 quinquies. – Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’État d’ordonner la suspension d’un transfert de données, le cas échéant sous astreinte, et assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir dans les mêmes conditions le Conseil d’État aux fins d’ordonner la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation. »
II (nouveau). – L’article 226-22-1 du code pénal est ainsi modifié :
1° Les mots : « , hors les cas prévus par la loi » sont supprimés ;
2° Les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l’informatique et des libertés mentionnées à l’article 70 » sont remplacés par les mots : « l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou des articles 70-25 à 70-27 ». – (Adopté.)
Article 17 bis (nouveau)
En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, toute clause contractuelle liant un responsable de traitement et un tiers est nulle lorsqu’elle a pour effet de contraindre ce tiers à ne pas mettre en œuvre, notamment lors de la configuration d’un terminal, toutes les conditions du consentement de l’utilisateur final tel qu’il est défini au 11 de l’article 4 du même règlement.
La mise en œuvre de ces conditions peut notamment consister à proposer à l’utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d’utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en œuvre par le responsable de traitement en application de l’article 25 du même règlement.