LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique
Chapitre VII : Mesures d'adaptation de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
1° L'article 8 est ainsi modifié :
a) Au début, il est ajouté un I A ainsi rédigé :
« I A.-La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. » ;
b) La première phrase du premier alinéa du I est supprimée ;
c) Après le même I, il est inséré un I bis ainsi rédigé :
« I bis.-Elle est l'autorité compétente au sens de l'article 26 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), pour l'application du chapitre IV du même règlement. Elle veille, à ce titre, au respect des règles mentionnées au titre IV bis de la présente loi et dispose des pouvoirs mentionnés à l'article 20-1. Ses membres et les agents de ses services habilités dans les conditions définies au second alinéa de l'article 10 peuvent constater les manquements aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité. » ;
2° Le premier alinéa de l'article 16 est complété par une phrase ainsi rédigée : « Elle est également compétente pour prendre les mesures et prononcer les sanctions à l'encontre des organisations altruistes en matière de données reconnues qui ne respectent pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ainsi qu'à l'encontre des plateformes en ligne qui ne respectent pas les obligations issues du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) mentionnées à l'article 124-5 de la présente loi. » ;
3° Après l'article 20, il est inséré un article 20-1 ainsi rédigé :
« Art. 20-1.-I.-Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), les membres et les agents habilités dans les conditions définies au second alinéa de l'article 10 de la présente loi peuvent obtenir communication de tous les documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Le secret ne peut leur être opposé. Ils peuvent, à cette fin, adresser aux personnes de contact, au sens du g du 4 de l'article 19 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, une demande motivée pour obtenir, dans le délai fixé par la demande et qui ne peut être inférieur à sept jours, les informations requises pour vérifier le respect des exigences énoncées au chapitre IV du même règlement.
« II.-Lorsqu'il est constaté qu'une organisation altruiste en matière de données reconnue ne respecte pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés notifie ces constatations à l'organisation concernée et lui donne la possibilité de répondre dans un délai de trente jours à compter de la réception de la notification.
« III.-Si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, le président de la Commission nationale de l'informatique et des libertés peut, après avoir émis la notification prévue au II du présent article, mettre en demeure une organisation altruiste en matière de données reconnue de se conformer, dans le délai qu'il fixe, aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité.
« Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
« IV.-Lorsque l'organisation altruiste en matière de données reconnue ne respecte pas les obligations résultant du chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé la notification prévue au II du présent article ou après avoir prononcé à son encontre la mise en demeure prévue au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° L'une des sanctions énoncées au 5 de l'article 24 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité ;
« 2° Une amende administrative dont le montant tient compte des critères fixés à l'article 34 du même règlement et ne peut excéder les plafonds prévus au 4 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données). » ;
4° Après le titre IV, il est inséré un titre IV bis ainsi rédigé :
« Titre IV BIS
« DISPOSITIONS RELATIVES À L'ALTRUISME EN MATIÈRE DE DONNÉES
« Art. 124-1.-La Commission nationale de l'informatique et des libertés, en tant qu'autorité compétente pour l'enregistrement des organisations altruistes en matière de données, au sens de l'article 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), tient et met à jour le registre public national des organisations altruistes en matière de données reconnues mentionné à l'article 17 du même règlement.
« Art. 124-2.-En tant que responsable du registre mentionné à l'article 124-1, la Commission nationale de l'informatique et des libertés traite, dans les conditions fixées à l'article 19 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, les demandes d'enregistrement formées par les personnes qui remplissent les conditions fixées à l'article 18 du même règlement.
« Un décret en Conseil d'Etat précise les modalités de la procédure d'enregistrement.
« Art. 124-3.-Conformément à l'article 27 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, la Commission nationale de l'informatique et des libertés reçoit et instruit toute réclamation formée par des personnes physiques et morales relevant du champ d'application du chapitre IV du même règlement. Dans un délai raisonnable, elle informe la personne physique ou morale concernée de l'issue réservée à la réclamation et de son droit de former un recours juridictionnel. »
1° Après le I de l'article 8, il est inséré un I ter ainsi rédigé :
« I ter.-Elle est l'une des autorités compétentes au sens de l'article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) et pour son application. Elle veille, à ce titre, au respect des règles mentionnées au titre IV ter de la présente loi. Elle participe au comité européen des services numériques mentionné à l'article 61 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité dans les conditions prévues à l'article 7-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. » ;
2° Après le titre IV, il est inséré un titre IV ter ainsi rédigé :
« Titre IV TER
« DISPOSITIONS APPLICABLES AUX FOURNISSEURS DE PLATEFORMES EN LIGNE RELEVANT DU RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 19 OCTOBRE 2022 RELATIF À UN MARCHÉ UNIQUE DES SERVICES NUMÉRIQUES ET MODIFIANT LA DIRECTIVE 2000/31/ CE (RÈGLEMENT SUR LES SERVICES NUMÉRIQUES)
« Art. 124-4.-Le présent titre s'applique sans préjudice des autres dispositions de la présente loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données).
« Art. 124-5.-La Commission nationale de l'informatique et des libertés, en tant qu'autorité compétente au sens de l'article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), veille au respect par les fournisseurs de plateformes en ligne qui ont leur établissement principal en France ou dont le représentant légal réside ou est établi en France des obligations énoncées :
« 1° Au d du 1 de l'article 26 du même règlement, relatives à l'information des destinataires du service concernant la publicité présentée sur leurs interfaces en ligne ;
« 2° Au 3 du même article 26, relatives à l'interdiction de présentation de publicités fondées sur le profilage sur la base de catégories de données à caractère personnel mentionnées au I de l'article 6 de la présente loi ;
« 3° Au 2 de l'article 28 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, relatives à l'interdiction de la présentation aux mineurs de publicités fondées sur le profilage.
« Elle dispose à ce titre, à l'égard de ces fournisseurs de plateformes en ligne et de toute autre personne agissant pour les besoins de son activité et susceptible de disposer d'informations relatives à un éventuel manquement, des pouvoirs prévus aux articles 19,20,22 et 22-1 de la présente loi. » ;
3° La section 2 du chapitre II du titre Ier est ainsi modifiée :
a) L'intitulé est ainsi rédigé : « Pouvoirs d'enquête » ;
b) Le III de l'article 19 est ainsi modifié :
-à la première phrase du premier alinéa, après l'année : « 2016 », sont insérés les mots : «, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) » ;
-la même première phrase est complétée par les mots : « avant de procéder à la saisie de ceux se rapportant à un manquement susceptible de faire l'objet d'une sanction ou d'une mesure correctrice en application de la section 3 du présent chapitre » ;
-après ladite première phrase, est insérée une phrase ainsi rédigée : « Le procureur de la République ou, s'il a autorisé la visite en application du présent article, le juge des libertés et de la détention est informé de la saisie par tout moyen et peut s'y opposer. » ;
-au début de la deuxième phrase du même premier alinéa, le mot : « Ils » est remplacé par les mots : « Ces membres et agents » ;
-avant la dernière phrase dudit premier alinéa, est insérée une phrase ainsi rédigée : « Ils peuvent demander à tout membre du personnel ou à tout représentant du responsable de traitement ou du fournisseur de plateformes en ligne et à toute autre personne agissant pour les besoins de son activité de fournir des explications sur toute information relative à une infraction présumée et enregistrer leurs réponses, avec leur consentement, à l'aide de tout moyen technique. » ;
-le dernier alinéa est remplacé par deux alinéas ainsi rédigés :
« Il est dressé procès-verbal des vérifications et des visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexée. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et les visites sont effectuées sur place ou sur convocation.
« Les documents saisis en application du présent III sont restitués sur décision du procureur de la République, d'office ou sur requête, dans un délai de six mois à compter de la visite ou, en cas d'engagement d'une procédure visant au prononcé des mesures correctrices et des sanctions prévues à la section 3 du présent chapitre, dans un délai de six mois à compter de la décision rendue par la formation restreinte ou par son président. Si des poursuites sont engagées, la restitution est soumise à l'article 41-4 du code de procédure pénale. » ;
4° L'article 20 est ainsi modifié :
a) Le II devient le III, le III devient le IV et le IV devient le VI ;
b) Le II est ainsi rétabli :
« II.-Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), son président peut accepter des engagements proposés par les fournisseurs de plateformes en ligne et de nature à garantir la conformité du service avec les obligations prévues à l'article 124-5 de la présente loi.
« La proposition d'engagements des fournisseurs de plateforme en ligne est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre ainsi que leur durée, pour permettre à la Commission nationale de l'informatique et des libertés de procéder à son évaluation.
« Au terme de cette évaluation, le président de la Commission nationale de l'informatique et des libertés peut décider de rendre contraignants tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateformes en ligne.
« Un décret en Conseil d'Etat précise la procédure selon laquelle de tels engagements sont proposés au président de la commission, puis acceptés ou rendus contraignants par celui-ci. » ;
c) Le III, tel qu'il résulte du a du présent 4°, est ainsi modifié :
-le premier alinéa est ainsi rédigé :
« III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe. Le responsable de traitement ou son sous-traitant ne respectant pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi peut être mis en demeure : » ;
-au sixième alinéa, la référence : « II » est remplacée par la référence : « III » ;
d) Au premier alinéa du IV, tel qu'il résulte du a du présent 4°, la référence : « II » est remplacée par la référence : « III » ;
e) Après le IV, tel qu'il résulte du a du présent 4°, il est inséré un V ainsi rédigé :
« V.-Lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le service avec les obligations prévues au présent chapitre. Cette injonction est assortie d'un délai d'exécution qui ne peut être inférieur à trois jours. Elle peut être assortie d'une astreinte dont le montant journalier ne peut excéder 5 % des revenus ou du chiffre d'affaires mondial journalier moyen du fournisseur de plateformes en ligne concerné au cours de l'exercice précédent et qui prend effet au terme du délai d'exécution ;
« 3° Une amende administrative ne pouvant excéder 6 % du chiffre d'affaires mondial du fournisseur de plateformes en ligne réalisé au cours de l'exercice précédent.
« Dans le cadre de l'application de l'article 124-5, toute inexécution des demandes de la Commission nationale de l'informatique et des libertés émises en application de l'article 19 ainsi que la transmission d'informations inexactes, incomplètes ou trompeuses est susceptible de faire l'objet des mesures prévues aux 2° et 3° du présent V. Toutefois, le montant maximal de l'amende administrative est ramené à 1 % du chiffre d'affaires mondial.
« Ces mesures sont précédées, lorsqu'elles ne visent pas le responsable de traitement ou le fournisseur de plateformes en ligne lui-même, d'un rappel à l'ordre comportant les informations prévues au dernier alinéa du 2 de l'article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité. » ;
f) Après le premier alinéa du VI, tel qu'il résulte du a du présent 4°, sont insérés trois alinéas ainsi rédigés :
« Lorsque la formation restreinte a été saisie et que le manquement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, son président peut également adopter, après une procédure contradictoire et selon des modalités précisées par décret en Conseil d'Etat, une injonction à caractère provisoire. Cette injonction peut porter sur toute mesure de nature à mettre fin au manquement et être assortie d'une astreinte dont le montant, qui ne peut excéder 100 000 euros par jour de retard à compter de la date figurant dans l'injonction, est fixé en tenant compte de la nature, de la gravité et de la durée du manquement allégué ainsi que des avantages tirés de ce manquement et des manquements commis précédemment.
« L'injonction ainsi adoptée et, le cas échéant, l'astreinte dont elle est assortie prennent fin au plus tard à la date à laquelle se prononce la formation restreinte ou son président sur le fondement du présent article et des articles 21,22 et 23 ou, dans le cas prévu à l'article 22-1, à la date à laquelle sont engagées des poursuites.
« Les astreintes sont liquidées par la formation restreinte, qui en fixe le montant définitif, et recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine. » ;
5° Au premier alinéa de l'article 22, les mots : « au III » sont remplacés par les mots : « aux IV et V » ;
6° Le deuxième alinéa de l'article 22-1 est ainsi modifié :
a) Les mots : « 1°, 2° et 7° du III » sont remplacés par les mots : « 1°, 2° et 7° du IV et 1° et 2° du V » ;
b) Les mots : « même III » sont remplacés par les mots : « IV et au 3° du V du même article 20 » ;
c) Les mots : « au 2° dudit III » sont remplacés par les mots : « au 2° des IV et V dudit article 20 » ;
7° L'article 28 est ainsi modifié :
a) Au deuxième alinéa, la référence : « II » est remplacée par la référence : « III » ;
b) A la première phrase du dernier alinéa, la référence : « III » est remplacée par la référence : « IV ».
II.-Au second alinéa de l'article 226-16 du code pénal, la référence : « III » est remplacée par la référence : « IV ».
« Les titres Ier et II de la présente loi s'appliquent notamment aux traitements de données à caractère personnel de personnes qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union européenne lorsque ces traitements sont liés au suivi du comportement de ces personnes au sein de l'Union européenne, notamment par la collecte de leurs données à caractère personnel en vue de leur rapprochement avec des données liées à leur activité en ligne. »