R.G.P.D

LOI n° 2018-493 du 20 juin 2018
relative à la protection des données personnelles

https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte

En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et
publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère
personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les
traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance
publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le
traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en
matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions
conformément à l'article 10 du même règlement ; »
e) Après le f, il est inséré un f bis ainsi rédigé :
« f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures
aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil
du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des
collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes
entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur
accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou
décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions
précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des
libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ; »
f) Au g, après le mot : « certification », sont insérés les mots : «, par des tiers agréés ou accrédités selon les
modalités mentionnées au f bis du présent 2°, » ;
g) A la fin du h, les mots : « d'accès concernant les traitements mentionnés aux articles 41 et 42 » sont
remplacés par les mots : « ou saisines prévues aux articles 41,42 et 70-22 » ;
h) Sont ajoutés des i et j ainsi rédigés :
« i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une
consultation préalable conformément à l'article 70-4 ;
« j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs
publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente
loi ; »
5° Après la première phrase du a du 4°, est insérée une phrase ainsi rédigée :
« Elle peut également être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par
les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de
groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou
au traitement de telles données. » ;
6° Après le même 4°, il est inséré un 5° ainsi rédigé :
« 5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de
la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes
législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France. » ;
7° Au début du vingt-sixième alinéa, est ajoutée la mention : « II.-» ;
8° L'avant-dernier alinéa est supprimé.



Article 2

Le I de l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au 6°, le mot : « ou » est remplacé par le mot : « et » ;
2° Au 7°, après le mot : « numérique », sont insérés les mots : « et des questions touchant aux libertés
individuelles ».



Article 3
L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« L'ordre du jour de la commission réunie en formation plénière est rendu public. » ;
2° Sont ajoutés trois alinéas ainsi rédigés :
«-au 4 de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité,
pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;
«-aux a et h du 3 de l'article 58 du même règlement.
« Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe
les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent
déléguer leur signature. »



Article 4
La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° Au premier alinéa de l'article 17, après le mot : « restreinte », sont insérés les mots : « prend les mesures et
», après le mot : « traitements », sont insérés les mots : « ou des sous-traitants » et, après le mot : « découlant
», sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
précité et » ;
2° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :
« Ses membres délibèrent hors de la présence des agents de la commission, à l'exception de ceux chargés de la
tenue de la séance. » ;



3° Les deux derniers alinéas de l'article 18 sont ainsi rédigés :
« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation
plénière ainsi qu'à celles des réunions de son bureau qui ont pour objet l'exercice des attributions déléguées en
application de l'article 16. Il peut assister aux séances de la formation restreinte, sans être présent au délibéré. Il
est rendu destinataire de l'ensemble des avis et décisions de la commission et de la formation restreinte.
« Sauf en matière de mesures ou de sanctions relevant du chapitre VII, il peut provoquer une seconde
délibération de la commission, qui doit intervenir dans les dix jours suivant la délibération initiale. »



Article 5
L'article 44 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa du I, les mots : « et qui sont à usage professionnel » sont supprimés ;
2° Le II est ainsi modifié :
a) A la première phrase du premier alinéa, les mots : « de locaux professionnels privés » sont remplacés par les
mots : « de ces lieux, locaux, enceintes, installations ou établissements » ;
b) La dernière phrase du dernier alinéa est complétée par les mots : « dont la finalité est l'exercice effectif des
missions prévues au III » ;
3° Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés :
« III.-Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en
application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la
présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander
communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et
en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute
justification utiles et nécessaires à l'accomplissement de leur mission. Ils peuvent accéder, dans des conditions
préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données ainsi qu'en
demander la transcription par tout traitement approprié dans des documents directement utilisables pour les
besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret
professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements
journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.
« Le secret médical est opposable s'agissant des informations qui figurent dans un traitement nécessaire aux fins
de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou
de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles
incluses dans cette catégorie de traitement ne peut alors se faire que sous l'autorité et en présence d'un
médecin. » ;
4° Avant le dernier alinéa du même III, sont insérés deux alinéas ainsi rédigés :
« Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au
premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité
d'emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction.
L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées
conformément au troisième alinéa du présent III. Un décret en Conseil d'Etat, pris après avis de la Commission
nationale de l'informatique et des libertés, précise les conditions dans lesquelles ces membres et agents
procèdent dans ces cas à leurs constatations.
« Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la
commission, être assistés par des experts. » ;
5° Il est ajouté un V ainsi rédigé :
« V.-Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679
du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de
l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans
l'exercice de leur fonction juridictionnelle, par les juridictions. »



Article 6
La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° Après l'article 48, il est inséré un chapitre VII bis, intitulé : « De la coopération » et comprenant les articles 49
à 49-5 tels qu'ils résultent des 2° à 4° du présent article ;
2° L'article 49 est ainsi rédigé :
« Art. 49.-Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen
et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés met en œuvre
des procédures de coopération et d'assistance mutuelle avec les autorités de contrôle des autres Etats membres
de l'Union européenne et réalise avec ces autorités des opérations conjointes.
« La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en
œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.
« La commission peut charger le bureau :
« 1° D'exercer ses prérogatives en tant qu'autorité concernée, au sens du règlement (UE) 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier d'émettre une objection pertinente et
motivée au projet de décision d'une autre autorité de contrôle ;
« 2° Lorsque la commission adopte un projet de décision en tant qu'autorité chef de file ou autorité compétente,
de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges
prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et
d'arrêter la décision au nom de la commission. » ;
3° Après le même article 49, sont insérés des articles 49-1 à 49-4 ainsi rédigés :
« Art. 49-1.-I.-Pour l'application de l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil
du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés coopère avec les autorités de
contrôle des autres Etats membres de l'Union européenne, dans les conditions prévues au présent article.
« II.-Qu'elle agisse en tant qu'autorité de contrôle chef de file ou en tant qu'autorité concernée au sens des
articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la
Commission nationale de l'informatique et des libertés est compétente pour traiter une réclamation ou une
éventuelle violation des dispositions du même règlement affectant par ailleurs d'autres Etats membres. Le
président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de
contrôle conjointes qu'il décide de conduire.
« III.-Lorsqu'une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents
habilités de la commission, agissant en tant qu'autorité de contrôle d'accueil, sont présents aux côtés des
membres et agents des autres autorités de contrôle participant, le cas échéant, à l'opération. A la demande de
l'autorité de contrôle d'un Etat membre, le président de la commission peut habiliter, par décision particulière,
ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à
celles requises des agents de la commission, en application de l'article 19 de la présente loi, à exercer, sous son
autorité, tout ou partie des pouvoirs de vérification et d'enquête dont disposent les membres et les agents de la
commission.
« IV.-Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l'autorité
de contrôle d'un autre Etat membre, le président de la commission se prononce sur le principe et les conditions
de la participation, désigne les membres et agents habilités et en informe l'autorité requérante dans les
conditions prévues à l'article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 précité.
« Art. 49-2.-I.-Les traitements mentionnés à l'article 70-1 font l'objet d'une coopération entre la Commission
nationale de l'informatique et des libertés et les autorités de contrôle des autres Etats membres de l'Union
européenne dans les conditions prévues au présent article.
« II.-La commission communique aux autorités de contrôle des autres Etats membres les informations utiles et
leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des
mesures de consultation, d'inspection et d'enquête.
« La commission répond à une demande d'assistance mutuelle formulée par une autre autorité de contrôle dans
les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations
nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle
n'est pas compétente pour traiter l'objet de la demande ou les mesures qu'elle est invitée à exécuter, ou si une
disposition du droit de l'Union européenne ou du droit français y fait obstacle.
« La commission informe l'autorité de contrôle requérante des résultats obtenus ou, selon le cas, de
l'avancement du dossier ou des mesures prises pour donner suite à la demande.
« La commission peut, pour l'exercice de ses missions, solliciter l'assistance d'une autorité de contrôle d'un autre
Etat membre de l'Union européenne.
« La commission donne les motifs de tout refus de satisfaire à une demande lorsqu'elle estime ne pas être
compétente ou lorsqu'elle considère que satisfaire à la demande constituerait une violation du droit de l'Union
européenne ou du droit français.
« Art. 49-3.-Lorsque la commission agit en tant qu'autorité de contrôle chef de file s'agissant d'un traitement
transfrontalier au sein de l'Union européenne, elle communique sans tarder aux autres autorités de contrôle
concernées le rapport du rapporteur mentionné au premier alinéa de l'article 47 ainsi que l'ensemble des
informations utiles de la procédure ayant permis d'établir le rapport, avant l'éventuelle audition du responsable
de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d'assister, par tout moyen
de retransmission approprié, à l'audition par la formation restreinte du responsable de traitement ou de son
sous-traitant, ou de prendre connaissance d'un procès-verbal dressé à la suite de l'audition.
« Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle
concernées conformément à la procédure définie à l'article 60 du règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 précité. A ce titre, elle se prononce sur la prise en compte des objections
pertinentes et motivées émises par ces autorités et saisit, si elle décide d'écarter l'une des objections, le comité
européen de la protection des données conformément à l'article 65 du même règlement.
« Les conditions d'application du présent article sont définies par décret en Conseil d'Etat, après avis de la
Commission nationale de l'informatique et des libertés.
« Art. 49-4.-Lorsque la commission agit en tant qu'autorité de contrôle concernée, au sens du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi
des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.
« Lorsque ces mesures sont d'objet équivalent à celles définies aux I et II de l'article 45 de la présente loi, le
président décide, le cas échéant, d'émettre une objection pertinente et motivée, selon les modalités prévues à
l'article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Lorsque ces mesures sont d'objet équivalent à celles définies au III de l'article 45 de la présente loi, le
président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation
restreinte qu'il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes
modalités. » ;
4° L'article 49 bis devient l'article 49-5.



Article 7
I.-Le chapitre VII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° L'intitulé est ainsi rédigé : « Mesures et sanctions prises par la formation restreinte de la Commission
nationale de l'informatique et des libertés » ;
2° Les articles 45 à 48 sont ainsi rédigés :
« Art. 45.-I.-Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable
de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer
les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de
la présente loi.
« II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du
règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le
président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est
susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai
qu'il fixe :
« 1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
« 3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la
personne concernée une violation de données à caractère personnel ;
« 4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le
responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a
prises.
« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.
« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de
clôture de la procédure de mise en demeure fait l'objet de la même publicité.
« III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du
règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le
président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui
avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en
demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure
contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du
règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux
demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans
des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000

par jour de retard à compter de la date fixée par la formation restreinte ;
« 3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du
chapitre XIII de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou
définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même
règlement ou de la présente loi ;
« 4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification
ou de retirer la certification accordée ;
« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une
organisation internationale ;
« 6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
« 7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant
excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de
l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de
l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces
plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte
prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les
modalités définies à l'article 60 du même règlement.
« Art. 46.-I.-Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du
Conseil du 27 avril 2016 précité ou de la présente loi entraîne une violation des droits et libertés mentionnés à
l'article 1er de la présente loi et que le président de la commission considère qu'il est urgent d'intervenir, il saisit
la formation restreinte, qui peut, dans le cadre d'une procédure d'urgence contradictoire définie par décret en
Conseil d'Etat, adopter l'une des mesures suivantes :
« 1° L'interruption provisoire de la mise en œuvre du traitement, y compris d'un transfert de données hors de
l'Union européenne, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui
intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII lorsqu'ils sont mis en œuvre
pour le compte de l'Etat ;
« 2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée
maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la
défense ou de ceux relevant du même chapitre XIII lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
« 3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;
« 4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du
respect d'un code de conduite ;
« 5° La suspension provisoire de l'autorisation délivrée sur le fondement du III de l'article 54 de la présente loi ;
« 6° L'injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou de satisfaire aux
demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans le
cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000
€ par jour de retard à compter de la date fixée par la formation restreinte ;
« 7° Un rappel à l'ordre ;
« 8° L'information du Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser
la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l'Etat ou la
défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en œuvre pour le compte de
l'Etat. Le Premier ministre fait alors connaître à la formation restreinte les suites qu'il a données à cette
information au plus tard quinze jours après l'avoir reçue.
« II.-En cas de circonstances exceptionnelles prévues au 1 de l'article 66 du règlement (UE) 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 précité, lorsque la formation restreinte adopte les mesures
provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et
de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données et la
Commission européenne.
« Lorsque la formation restreinte a pris de telles mesures et qu'elle estime que des mesures définitives doivent
être prises, elle met en œuvre les dispositions du 2 de l'article 66 du règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 précité.
« III.-Pour les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 précité, lorsqu'une autorité de contrôle compétente en application du même règlement n'a pas pris de
mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des
personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au
comité européen de la protection des données un avis d'urgence ou une décision contraignante d'urgence dans
les conditions et selon les modalités prévues aux 3 et 4 de l'article 66 dudit règlement.
« IV.-En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la présente loi, le
président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d'ordonner,
le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
« Art. 47.-Les mesures prévues au III de l'article 45 et aux 1° à 7° du I de l'article 46 sont prononcées sur la
base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés,
désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport
est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire
représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne
prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l'audition lui paraît
susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la
commission, les agents des services de celle-ci.
« La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur
insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées.
« Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant
en application de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
précité, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à
ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du
règlement précité ainsi que, le cas échéant, de la mesure prononcée.
« Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal
ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende
administrative s'impute sur l'amende pénale qu'il prononce.
« L'astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.
« Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'Etat étrangères à l'impôt et
au domaine.
« Art. 48.-Lorsqu'un organisme de certification ou un organisme chargé du respect d'un code de conduite a
manqué à ses obligations ou n'a pas respecté les dispositions du règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 précité ou celles de la présente loi, le président de la Commission
nationale de l'informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation
restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 45 à
47, le retrait de l'agrément qui a été délivré à cet organisme. »
II.-A.-Au deuxième alinéa de l'article 226-16 du code pénal, la référence : « I » est remplacée par la référence :
« III ».
B.-Le deuxième alinéa de l'article 226-16 du code pénal demeure applicable, dans sa rédaction antérieure à la
présente loi, aux faits commis avant l'entrée en vigueur de celle-ci.
Chapitre II : Dispositions relatives à certaines catégories de données



Article 8
L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Le I est ainsi rédigé :
« I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou
l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance
syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins
d'identifier une personne physique de manière unique, des données concernant la santé ou des données
concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. » ;
2° Le II est ainsi modifié :
a) A la fin du 7°, les mots : « et dans les conditions prévues à l'article 25 de la présente loi » sont supprimés ;
b) Le 8° est ainsi rédigé :
« 8° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux
dispositions du chapitre IX de la présente loi ; »
c) Sont ajoutés des 9° à 11° ainsi rédigés :
« 9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l'article 11 mis en œuvre
par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au
contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des
missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
« 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et
décisions mentionnés, respectivement, à l'article L. 10 du code de justice administrative et à l'article L. 111-13
du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de
permettre la réidentification des personnes concernées ;
« 11° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche,
mis en œuvre dans les conditions prévues au 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen
et du Conseil du 27 avril 2016 précité, après avis motivé et publié de la Commission nationale de l'informatique
et des libertés rendu selon les modalités prévues à l'article 28 de la présente loi. » ;
3° Le III est ainsi rédigé :
« III.-N'entrent pas dans le champ de l'interdiction prévue au I les données à caractère personnel mentionnées
au même I qui sont appelées à faire l'objet, à bref délai, d'un procédé d'anonymisation préalablement reconnu
conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés. » ;
4° Le IV est ainsi rédigé :
« IV.-De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par
l'intérêt public et autorisés dans les conditions prévues au II de l'article 26. »
Titre II : MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE)
2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016
RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU
TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE
CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE



Article 9
L'article 2 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;
2° L'avant-dernier alinéa est complété par les mots : «, que cet ensemble soit centralisé, décentralisé ou réparti de
manière fonctionnelle ou géographique ».
Chapitre Ier : Champ d'application territorial des dispositions complétant
le règlement (UE) 2016/679



Article 10
Le chapitre Ier de la loi n° 78-17 du 6 janvier 1978 est complété par un article 5-1 ainsi rédigé :
« Art. 5-1.-Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/ CE renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce
règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de
traitement n'est pas établi en France.
« Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les
règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de
traitement, lorsqu'il est établi dans l'Union européenne. »
Chapitre II : Dispositions relatives à la simplification des formalités
préalables à la mise en œuvre des traitements



Article 11
I.-L'article 22 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 22.-Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de
l'informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces
traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données
comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes
physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux
responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement
(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« N'entrent pas dans le champ d'application du premier alinéa du présent article ceux des traitements portant sur
des données à caractère personnel parmi lesquelles figure le numéro d'inscription des personnes au répertoire
national d'identification des personnes physiques ou qui requièrent une consultation de ce répertoire :
« 1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique
public et ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;
« 2° Qui ont exclusivement des finalités de recherche scientifique ou historique ;
« 3° Qui ont pour objet de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de
l'administration électronique définis à l'article 1er de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative
aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités
administratives, mis en œuvre par l'Etat, une personne morale de droit public ou une personne morale de droit
privé gérant un service public.
« Pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, le numéro d'inscription
au répertoire national d'identification des personnes physiques fait préalablement l'objet d'une opération
cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une
fréquence définie par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de
l'informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération
cryptographique ne sont pas soumis au premier alinéa.
« Pour les traitements dont les finalités sont mentionnées au 1°, l'utilisation du code statistique non signifiant
n'est autorisée qu'au sein du service statistique public.
« Pour les traitements dont les finalités sont mentionnées au 2°, l'opération cryptographique et, le cas échéant,
l'interconnexion de deux fichiers par l'utilisation du code spécifique non signifiant qui en est issu ne peuvent être
assurées par la même personne ni par le responsable de traitement.
« A l'exception des traitements mentionnés au deuxième alinéa de l'article 55, le présent article n'est pas
applicable aux traitements de données à caractère personnel dans le domaine de la santé qui sont régis par le
chapitre IX. »
II.-L'article 27 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 27.-Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission
nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour
le compte de l'Etat, agissant dans l'exercice de ses prérogatives de puissance publique, qui portent sur des
données génétiques ou sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité
des personnes. »
III.-Les articles 23 à 25 de la loi n° 78-17 du 6 janvier 1978 précitée sont abrogés.
IV.-L'article 226-16-1 A du code pénal est abrogé.
Chapitre III : Obligations incombant aux responsables de traitement et à
leurs sous-traitants



Article 12
L'article 35 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au début du premier alinéa, est ajoutée la mention : « I.-» ;
2° Sont ajoutés deux alinéas ainsi rédigés :
« Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen
et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi.
« II.-Dans le champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 précité, le sous-traitant respecte les conditions prévues par ce règlement. »
Chapitre IV : Dispositions relatives à certaines catégories particulières de
traitements



Article 13
L'article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en
œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté
connexes ne peuvent être effectués que [dispositions déclarées non conformes à la Constitution par la décision
du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018.] » ;
2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service
public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après
avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement
nécessaire à leur mission » ;
3° Le 3° est ainsi rédigé :
« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et
de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire
exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un
tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite
de ces mêmes finalités ; »
4° Il est ajouté un 5° ainsi rédigé :
« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du
code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation
judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la
réidentification des personnes concernées. »



Article 14
I.-L'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : «
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;
2° Les deuxième à dernier alinéas sont supprimés ;
3° Sont ajoutés deux alinéas ainsi rédigés :
« Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives
à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits
prévus aux articles 15,16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent
sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l'article 89 du
même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et
réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes
conformes à l'état de l'art en matière d'archivage électronique.
« Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et
des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou
partie aux droits prévus aux articles 15,16,18 et 21 du même règlement, en ce qui concerne les autres
traitements mentionnés au premier alinéa du présent article. »
II.-Au 4° du IV de l'article L. 1461-1 du code de la santé publique, le mot : « deuxième » est remplacé par le mot
: « premier ».



Article 15
A la fin de la seconde phrase de l'article L. 212-4-1 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés.

Article 16
I.-Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre IX
« Traitements de données à caractère personnel dans le domaine de la santé
« Section 1
« Dispositions générales
« Art. 53.-Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux
dispositions du présent chapitre, à l'exception des catégories de traitements suivantes :
« 1° Les traitements relevant des 1° à 6° du II de l'article 8 ;
« 2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 6° du
même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif
;
« 3° Les traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes
chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par
les organismes d'assurance maladie complémentaire ;
« 4° Les traitements effectués au sein des établissements de santé par les médecins responsables de
l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé
publique ;
« 5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il
désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même
article L. 6113-8.
« Art. 54.-I.-Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu'en considération de la
finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de
santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public.
« II.-Des référentiels et règlements types, au sens des a bis et b du 2° du I de l'article 11, s'appliquant aux
traitements relevant du présent chapitre sont établis par la Commission nationale de l'informatique et des
libertés, en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de
la santé publique et des organismes publics et privés représentatifs des acteurs concernés.
« Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables
adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de
cette conformité.
« Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à
disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie
privée.
« III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent
être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés.
« IV.-La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même
demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de
données identiques et ayant des catégories de destinataires identiques.
« V.-La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter
de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision
motivée de son président ou lorsque l'Institut national des données de santé est saisi en application du second
alinéa de l'article 61.
« Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la
demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait
l'objet d'un avis préalable en application de la section 2 du présent chapitre et que l'avis ou les avis rendus ne
sont pas expressément favorables.
« Art. 55.-Par dérogation à l'article 54, les traitements de données à caractère personnel dans le domaine de la
santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une
liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission
nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à
une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la
première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV
du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d'inscription des
personnes au répertoire national d'identification des personnes physiques sont mis en œuvre dans les conditions
prévues à l'article 22 de la présente loi.
« Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du
traitement si ce dernier continue à être mis en œuvre au delà de ce délai.
« Art. 56.-Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent
transmettre au responsable de traitement de données autorisé en application de l'article 54 les données à
caractère personnel qu'ils détiennent.
« Lorsque ces données permettent l'identification des personnes, leur transmission doit être effectuée dans des
conditions de nature à garantir leur confidentialité. La Commission nationale de l'informatique et des libertés peut
adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.
« Lorsque le résultat du traitement de données est rendu public, l'identification directe ou indirecte des
personnes concernées doit être impossible.
« Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux
données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13
du code pénal.
« Art. 57.-Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant
fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux
mentionnés à l'article 53.
« Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes
de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus
par écrit.
« Art. 58.-Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos
desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du
règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du
droit qui lui est reconnu par l'article L. 1111-2 du code de la santé publique d'être laissée dans l'ignorance d'un
diagnostic ou d'un pronostic.
« Art. 59.-Sont destinataires de l'information et exercent les droits de la personne concernée par le traitement les
titulaires de l'exercice de l'autorité parentale, pour les mineurs, ou la personne chargée d'une mission de
représentation dans le cadre d'une tutelle, d'une habilitation familiale ou d'un mandat de protection future, pour
les majeurs protégés dont l'état ne leur permet pas de prendre seuls une décision personnelle éclairée.
« Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel
réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l'article L. 1121-1 du code de la santé publique
ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des
personnes mineures, l'information peut être effectuée auprès d'un seul des titulaires de l'exercice de l'autorité
parentale s'il est impossible d'informer l'autre titulaire ou s'il ne peut être consulté dans des délais compatibles
avec les exigences méthodologiques propres à la réalisation de la recherche, de l'étude ou de l'évaluation au
regard de ses finalités. Le présent alinéa ne fait pas obstacle à l'exercice ultérieur, par chaque titulaire de
l'exercice de l'autorité parentale, des droits mentionnés au premier alinéa.
« Pour ces traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de
l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de
l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits.
« Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de
l'exercice de l'autorité parentale soient informés du traitement de données si le fait d'y participer conduit à
révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une
intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité
parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de
famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de
l'assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27
juillet 1999 portant création d'une couverture maladie universelle. Il exerce alors seul ses droits.
« Art. 60.-Une information relative aux dispositions du présent chapitre doit notamment être assurée dans tout
établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la
transmission de données à caractère personnel en vue d'un traitement mentionné au présent chapitre.
« Section 2
« Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le
domaine de la santé
« Art. 61.-Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la
recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des
activités de soins ou de prévention sont soumis à la section 1 du présent chapitre, sous réserve de la présente
section.
« L'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique peut se
saisir ou être saisi, dans des conditions définies par décret en Conseil d'Etat, par la Commission nationale de
l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les
traitements mentionnés au premier alinéa du présent article.
« Art. 62.-Au titre des référentiels mentionnés au II de l'article 54 de la présente loi, des méthodologies de
référence sont homologuées et publiées par la Commission nationale de l'informatique et des libertés. Elles sont
établies en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de
la santé publique et des organismes publics et privés représentatifs des acteurs concernés.
« Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans
autorisation mentionnée à l'article 54 de la présente loi, à la condition que son responsable adresse
préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette
conformité.
« Art. 63.-Dans le cas où la recherche nécessite l'examen des caractéristiques génétiques, le consentement
éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de
données. Le présent article n'est pas applicable aux recherches réalisées en application de l'article L. 1131-1-1
du code de la santé publique.
« Art. 64.-L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés
dans les conditions définies à l'article 54, après avis :
« 1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé
publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine

Google Analytics

Google Analytics is a service used on our website that tracks, reports traffic and measures how users interact with our website content in order for us to improve it and provide better services.

Facebook

Our website allows you to like or share its content on Facebook social network. By activating and using it you agree to Facebook's privacy policy: https://www.facebook.com/policy/cookies/

Twitter

Integrated tweets and share services of Twitter are used on our website. By accepting and using these you agree to Twitter's privacy policy: https://help.twitter.com/en/rules-and-policies/twitter-cookies