Loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés
(Journal Officiel du 7 janvier 1978 )
Article D0
Le président de la République : VALERY GISCARD D'ESTAING.
Le premier ministre : RAYMOND BARRE. Le garde des sceaux, ministre de
la justice : ALAIN PEYREFITTE. Le ministre de l'intérieur : CHRISTIAN
BONNET. Le ministre de la défense : YVON BOURGES. Le ministre délégué
à l'économie et aux finances : ROBERT BOULIN. Le ministre
de l'équipement et de l'aménagement du territoire : FERNAND
ICART. Le ministre de l'éducation : RENE HABY. Le ministre de l'industrie,
du commerce et de l'artisanat : RENE MONORY. Le ministre du travail :
CHRISTIAN BEULLAC. Le ministre de la santé et de la sécurité
sociale : SIMONE VEIL.
Chapitre Ier
Principes et définitions
Article 1er
L'informatique doit être au service de chaque citoyen. Son développement
doit s'opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l'identité humaine, ni
aux droits de l'homme, ni à la vie privée, ni aux libertés
individuelles ou publiques.
Article 2
Aucune décision de justice impliquant une appréciation sur
un comportement humain ne peut avoir pour fondement un traitement automatisé
d'informations donnant une définition du profil ou de la personnalité
de l'intéressé.
Aucune décision administrative ou privée impliquant une
appréciation sur un comportement humain ne peut avoir pour seul
fondement un traitement automatisé d'informations donnant une définition
du profil ou de la personnalité de l'intéressé.
Article 3
Toute personne a le droit de connaître et de contester les informations
et les raisonnements utilisés dans les traitements automatisés
dont les résultats lui sont opposés .
Article 4
Sont réputées nominatives au sens de la présente
loi les informations qui permettent, sous quelque forme que ce soit, directement
ou non, l'identification des personnes physiques auxquelles elles s'appliquent,
que le traitement soit effectué par une personne physique ou par
une personne morale.
Article 5
Est dénommé traitement automatisé d'informations
nominatives au sens de la présente loi tout ensemble d'opérations
réalisées par des moyens automatiques, relatif à
la collecte, l'enregistrement, l'élaboration, la modification,
la conservation et la destruction d'informations nominatives ainsi que
tout ensemble d'opérations de même nature se rapportant à
l'exploitation de fichiers ou bases de données et notamment les
interconnexions ou rapprochements, consultations ou communications d'informations
nominatives.
Chapitre II
La Commission nationale de l'informatique et des libertés
Article 6
Une Commission nationale de l'informatique et des libertés est
instituée. Elle est chargée de veiller au respect des dispositions
de la présente loi, notamment en informant toutes les personnes
concernées de leurs droits et obligations, en se concertant avec
elles et en contrôlant les applications de l'informatique aux traitements
des informations nominatives. La commission dispose à cet effet
d'un pouvoir réglementaire, dans les cas prévus par la présente
loi.
Article 7
Les crédits nécessaires à la commission nationale
pour l'accomplissement de sa mission sont inscrits au budget du ministère
de la justice. Les dispositions de la loi du 10 août 1922 relative
au contrôle financier ne sont pas applicables à leur gestion.
Les comptes de la commission sont présentés au contrôle
de la Cour des comptes.
Toutefois, les frais entraînés par l'accomplissement de
certaines des formalités visées aux articles 15, 16, 17
et 24 de la présente loi peuvent donner lieu à la perception
des redevances.
Article 8
La Commission nationale de l'informatique et des libertés est une
autorité administrative indépendante .
Elle est composée de dix-sept membres nommés pour cinq
ans ou pour la durée de leur mandat :
- deux députés et deux sénateurs élus, respectivement
par l'Assemblée nationale et par le Sénat ;
- deux membres du Conseil économique et social, élus par
cette assemblée ;
- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade
au moins égal à celui de conseiller, élus par l'assemblée
générale du Conseil d'Etat ;
- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un
grade au moins égal à celui de conseiller, élus par
l'assemblée générale de la Cour de cassation ;
- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un
grade au moins égal à celui de conseiller-maître,
élus par l'assemblée générale de la Cour des
comptes ;
- deux personnes qualifiées pour leur connaissance des applications
de l'informatique, nommées par décret sur proposition respectivement
du président de l'Assemblée nationale et du président
du Sénat ;
- trois personnalités désignées en raison de leur
autorité et de leur compétence par décret en Conseil
des ministres.
La commission élit en son sein, pour cinq ans, un président
et deux vice-présidents.
La commission établit son règlement intérieur.
En cas de partage des voix, celle du président est prépondérante.
Si, en cours de mandat, le président ou un membre de la commission
cesse d'exercer ses fonctions, le mandat de son successeur est limité
à la période restant à courir.
La qualité de membre de la commission est incompatible :
- avec celle de membre du Gouvernement ;
- avec l'exercice de fonctions ou la détention de participation
dans les entreprises concourant à la fabrication de matériel
utilisé en informatique ou en télécommunication ou
à la fourniture de services en informatique ou en télécommunication.
La commission apprécie dans chaque cas les incompatibilités
qu'elle peut opposer à ses membres.
Sauf démission, il ne peut être mis fin aux fonctions de
membre qu'en cas d'empêchement constaté par la commission
dans les conditions qu'elle définit.
Article 9
Un commissaire du Gouvernement, désigné par le Premier ministre,
siège auprès de la commission.
Il peut, dans les dix jours d'une délibération , provoquer
une seconde délibération.
Article 10
(Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28
juillet 1999)
La commission dispose de services qui sont dirigés par le président
ou, sur délégation, par un vice-président et placés
sous son autorité.
La commission peut charger le président ou le vice-président
délégué d'exercer ses attributions en ce qui concerne
l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi
que des articles 40-13 et 40-14.
Les agents de la commission nationale sont nommés par le président
ou le vice-président délégué.
Article 11
La commission peut demander aux premiers présidents de cour d'appel
ou aux présidents de tribunaux administratifs de déléguer
un magistrat de leur ressort, éventuellement assisté d'experts,
pour des missions d'investigation et de contrôle effectuées
sous sa direction.
Article 12
(Loi n° 92-1336 du 16 décembre 1992 art. 256 et 333 Journal
Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)
Les membres et les agents de la commission sont astreints au secret
professionnel pour les faits, actes ou renseignements dont ils ont pu
avoir connaissance en raison de leurs fonctions, dans les conditions prévues
à l'article 413-10 du code pénal et, sous réserve
de ce qui est nécessaire à l'établissement du rapport
annuel prévu ci-après, aux articles 226-13 et 226-14 du
code pénal.
Article 13
Dans l'exercice de leurs attributions, les membres de la Commission nationale
de l'informatique et des libertés ne reçoivent d'instruction
d'aucune autorité.
Les informaticiens appelés, soit à donner les renseignements
à la commission, soit à témoigner devant elle, sont
déliés en tant que de besoin de leur obligation de discrétion.
Chapitre III
Formalités préalables à la mise en oeuvre des traitements
automatisés
Article 14
La Commission nationale de l'informatique et des libertés veille
à ce que les traitements automatisés, publics ou privés,
d'informations nominatives, soient effectués conformément
aux dispositions de la présente loi .
Article 15
Hormis les cas où ils doivent être autorisés par la
loi, les traitements automatisés d'informations nominatives opérés
pour le compte de l'Etat, d'un établissement public ou d'une collectivité
territoriale, ou d'une personne morale de droit privé gérant
un service public, sont décidés par un acte réglementaire
pris après avis motivé de la Commission nationale de l'informatique
et des libertés .
Si l'avis de la commission est défavorable, il ne peut être
passé outre que par un décret pris sur avis conforme du
Conseil d'Etat ou, s'agissant d'une collectivité territoriale,
en vertu d'une décision de son organe délibérant
approuvée par décret pris sur avis conforme du Conseil d'Etat.
Si, au terme d'un délai de deux mois renouvelable une seule fois
sur décision du président, l'avis de la commission n'est
pas notifié, il est réputé favorable.
Article 16
Les traitements automatisés d'informations nominatives effectués
pour le compte de personnes autres que celles qui sont soumises aux dispositions
de l'article 15 doivent, préalablement à leur mise en oeuvre,
faire l'objet d'une déclaration, auprès de la Commission
nationale de l'informatique et des libertés.
Cette déclaration comporte l'engagement que le traitement satisfait
aux exigences de la loi .
Dès qu'il a reçu le récépissé délivré
sans délai par la commission, le demandeur peut mettre en oeuvre
le traitement. Il n'est exonéré d'aucune de ses responsabilités.
Article 17
Pour les catégories les plus courantes de traitements à
caractère public ou privé, qui ne comportent manifestement
pas d'atteinte à la vie privée ou aux libertés, la
commission nationale de l'informatique et des libertés établit
et publie des normes simplifiées inspirées des caractéristiques
mentionnées à l'article 19.
Pour les traitements répondant à ces normes, seule une
déclaration simplifiée de conformité à l'une
de ces normes est déposée auprès de la commission.
Sauf décision particulière de celle-ci, le récépissé
de déclaration est délivré sans délai. Dès
réception de ce récépissé, le demandeur peut
mettre en oeuvre le traitement. Il n'est exonéré d'aucune
de ses responsabilités.
Article 18
L'utilisation du répertoire national d'identification des personnes
physiques en vue d'effectuer des traitements nominatifs est autorisée
par décret en Conseil d'Etat pris après avis de la commission
.
Article 19
La demande d'avis ou la déclaration doit préciser :
- la personne qui présente la demande et celle qui a pouvoir de
décider la création du traitement ou, si elle réside
à l'étranger, son représentant en France ;
- les caractéristiques, la finalité et, s'il y a lieu, la
dénomination du traitement ;
- le service ou les services chargés de mettre en oeuvre celui-ci
;
- le service auprès duquel s'exerce le droit d'accès défini
au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice
de ce droit ;
- les catégories de personnes qui, à raison de leurs fonctions
ou pour les besoins du service, ont directement accès aux informations
enregistrées ;
- les informations nominatives traitées, leur origine et la durée
de leur conservation ainsi que leurs destinataires ou catégories
de destinataires habilités à recevoir communication de ces
informations ;
- les rapprochements, interconnexions ou toute autre forme de mise en
relation de ces informations ainsi que leur cession à des tiers
;
- les dispositions prises pour assurer la sécurité des traitements
et des informations et la garantie des secrets protégés
par la loi ;
- si le traitement est destiné à l'expédition d'informations
nominatives entre le territoire français et l'étranger,
sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations
partiellement effectuées sur le territoire français à
partir d'opérations antérieurement réalisées
hors de France.
Toute modification aux mentions énumérées ci-dessus,
ou toute suppression de traitement, est portée à la connaissance
de la commission.
Peuvent ne pas comporter certaines des mentions énumérées
ci-dessus les demandes d'avis relatives aux traitements automatisés
d'informations nominatives intéressant la sûreté de
l'Etat, la défense et la sécurité publique.
Article 20
L'acte réglementaire prévu pour les traitements régis
par l'article 15 ci-dessus précise notamment :
- la dénomination et la finalité du traitement ;
- le service auprès duquel s'exerce le droit d'accès défini
au chapitre V ci-dessous ;
- les catégories d'informations nominatives enregistrées
ainsi que les destinataires ou catégories de destinataires habilités
à recevoir communication de ces informations.
Des décrets en Conseil d'Etat peuvent disposer que les actes
réglementaires relatifs à certains traitements intéressant
la sûreté de l'Etat, la défense et la sécurité
publique ne seront pas publiés.
Article 21
Pour l'exercice de sa mission de contrôle, la commission :
1° Prend des décisions individuelles ou réglementaires
dans les cas prévus par la présente loi ;
2° Peut, par décision particulière, charger un ou plusieurs
de ses membres ou de ses agents, assistés, le cas échéant,
d'experts, de procéder, à l'égard de tout traitement,
à des vérifications sur place et de se faire communiquer
tous renseignements et documents utiles à sa mission ;
3° Edicte, le cas échéant, des règlements types
en vue d'assurer la sécurité des systèmes ; en cas
de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité
pouvant aller jusqu'à la destruction des supports d'informations
;
4° Adresse aux intéressés des avertissements et dénonce
au parquet les infractions dont elle a connaissance, conformément
à l'article 40 du code de procédure pénale ;
5° Veille à ce que les modalités de mise en oeuvre du
droit d'accès et de rectification indiquées dans les actes
et déclarations prévus aux articles 15 et 16 n'entravent
pas le libre exercice de ce droit ;
6° Reçoit les réclamations, pétitions et plaintes
;
7° Se tient informée des activités industrielles et
de services qui concourent à la mise en oeuvre de l'informatique.
Les ministres, autorités publiques, dirigeants d'entreprises,
publiques ou privées, responsables de groupements divers et plus
généralement les détenteurs ou utilisateurs de fichiers
nominatifs ne peuvent s'opposer à l'action de la commission ou
de ses membres pour quelque motif que ce soit et doivent au contraire
prendre toutes mesures utiles afin de faciliter sa tâche.
Article 22
La commission met à la disposition du public la liste des traitements
qui précise pour chacun d'eux :
- la loi ou l'acte réglementaire décidant de sa création
ou la date de sa déclaration ;
- sa dénomination et sa finalité ;
- le service auprès duquel est exercé le droit d'accès
prévu au chapitre V ci-dessous ;
- les catégories d'informations nominatives enregistrées
ainsi que les destinataires ou catégories de destinataires habilités
à recevoir communication de ces informations.
Sont tenus à la disposition du public, dans les conditions fixées
par décret, les décisions, avis ou recommandations de la
commission dont la connaissance est utile à l'application ou à
l'interprétation de la présente loi .
Article 23
La commission présente chaque année au Président
de la République et au Parlement un rapport rendant compte de l'exécution
de sa mission. Ce rapport est publié.
Ce rapport décrira notamment les procédures et méthodes
de travail suivies par la commission et contiendra en annexe toutes informations
sur l'organisation de la commission et de ses services, propres à
faciliter les relations du public avec celle-ci.
Article 24
Sur proposition ou après avis de la commission , la transmission
entre le territoire français et l'étranger, sous quelque
forme que ce soit, d'informations nominatives faisant l'objet de traitements
automatisés régis par l'article 16 ci-dessus peut être
soumise à autorisation préalable ou réglementée
selon des modalités fixées par décret en Conseil
d'Etat, en vue d'assurer le respect des principes posés par la
présente loi.
Chapitre IV
Collecte, enregistrement et conservation des informations nominatives
Article 25
La collecte de données opérée par tout moyen frauduleux,
déloyal ou illicite est interdite.
Article 26
Toute personne physique a le droit de s'opposer, pour des raisons légitimes,
à ce que des informations nominatives la concernant fassent l'objet
d'un traitement.
Ce droit ne s'applique pas aux traitements limitativement désignés
dans l'acte réglementaire prévu à l'article 15.
Article 27
Les personnes auprès desquelles sont recueillies des informations
nominatives doivent être informées :
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences à leur égard d'un défaut
de réponse ;
- des personnes physiques ou morales destinataires des informations ;
- de l'existence d'un droit d'accès et de rectification.
Lorsque de telles informations sont recueillies par voie de questionnaires,
ceux-ci doivent porter mention de ces prescriptions.
Ces dispositions ne s'appliquent pas à la collecte des informations
nécessaires à la constatation des infractions.
Article 28
(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril
2000)
I. - Au-delà de la durée nécessaire à la
réalisation des finalités pour lesquelles elles ont été
collectées ou traitées, les informations ne peuvent être
conservées sous une forme nominative qu'en vue de leur traitement
à des fins historiques, statistiques ou scientifiques. Le choix
des informations qui seront ainsi conservées est opéré
dans les conditions prévues à l'article 4-1 de la loi n°
79-18 du 3 janvier 1979 sur les archives.
II. - Les informations ainsi conservées, autres que celles visées
à l'article 31, ne peuvent faire l'objet d'un traitement à
d'autres fins qu'à des fins historiques, statistiques ou scientifiques,
à moins que ce traitement n'ait reçu l'accord exprès
des intéressés ou ne soit autorisé par la commission
dans l'intérêt des personnes concernées.
Lorsque ces informations comportent des données mentionnées
à l'article 31, un tel traitement ne peut être mis en oeuvre,
à moins qu'il n'ait reçu l'accord exprès des intéressés,
ou qu'il n'ait été autorisé, pour des motifs d'intérêt
public et dans l'intérêt des personnes concernées,
par décret en Conseil d'Etat sur proposition ou avis conforme de
la commission.
Article 29
Toute personne ordonnant ou effectuant un traitement d'informations nominatives
s'engage de ce fait, vis-à-vis des personnes concernées,
à prendre toutes précautions utiles afin de préserver
la sécurité des informations et notamment d'empêcher
qu'elles ne soient déformées, endommagées ou communiquées
à des tiers non autorisés.
Article 29-1
(inséré par Loi n° 2000-321 du 12 avril 2000 art. 5
Journal Officiel du 13 avril 2000)
Les dispositions de la présente loi ne font pas obstacle à
l'application, au bénéfice de tiers, des dispositions du
titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses
mesures d'amélioration des relations entre l'administration et
le public et diverses dispositions d'ordre administratif, social et fiscal
et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979
précitée.
En conséquence, ne peut être regardé comme un tiers
non autorisé au sens de l'article 29 le titulaire d'un droit d'accès
aux documents administratifs ou aux archives publiques exercé conformément
aux lois n° 78-753 du 17 juillet 1978 précitée et n°
79-18 du 3 janvier 1979 précitée.
Article 30
Sauf dispositions législatives contraires, les juridictions et
autorités publiques agissant dans le cadre de leurs attributions
légales ainsi que, sur avis conforme de la commission nationale
, les personnes morales gérant un service public peuvent seules
procéder au traitement automatisé des informations nominatives
concernant les infractions, condamnations ou mesures de sûreté.
Jusqu'à la mise en oeuvre du fichier des conducteurs prévu
par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances
sont autorisées, sous le contrôle de la commission, à
traiter elles-mêmes les informations mentionnées à
l'article 5 de ladite loi et concernant les personnes visées au
dernier alinéa dudit article.
Article 31
(Loi n° 92-1336 du 16 décembre 1992 art. 257 Journal Officiel
du 23 décembre 1992 en vigueur le 1er mars 1994)
Il est interdit de mettre ou conserver en mémoire informatisée,
sauf accord exprès de l'intéressé, des données
nominatives qui, directement ou indirectement, font apparaître les
origines raciales ou les opinions politiques, philosophiques ou religieuses
ou les appartenances syndicales ou les moeurs des personnes.
Toutefois, les églises et les groupements à caractère
religieux, philosophique, politique ou syndical peuvent tenir registre
de leurs membres ou de leurs correspondants sous forme automatisée.
Aucun contrôle ne peut être exercé, de ce chef, à
leur encontre.
Pour des motifs d'intérêt public, il peut aussi être
fait exception à l'interdiction ci-dessus sur proposition ou avis
conforme de la commission par décret en Conseil d'Etat.
Article 33
Les dispositions des articles 24, 30 et 31 ne s'appliquent pas aux informations
nominatives traitées par les organismes de la presse écrite
ou audiovisuelle dans le cadre des lois qui les régissent et dans
les cas où leur application aurait pour effet de limiter l'exercice
de la liberté d'expression.
Article 33-1
(inséré par Loi n° 2000-321 du 12 avril 2000 art. 5
Journal Officiel du 13 avril 2000)
Les modalités d'application du présent chapitre sont fixées
par décret en Conseil d'Etat pris après avis de la commission.
Chapitre V
Exercice du droit d'accès
Article 34
Toute personne justifiant de son identité a le droit d'interroger
les services ou organismes chargés de mettre en oeuvre les traitements
automatisés dont la liste est accessible au public en application
de l'article 22 ci-dessus en vue de savoir si ces traitements portent
sur des informations nominatives la concernant et, le cas échéant,
d'en obtenir communication.
Article 35
Le titulaire du droit d'accès peut obtenir communication des informations
le concernant. La communication, en langage clair, doit être conforme
au contenu des enregistrements.
Une copie est délivrée au titulaire du droit d'accès
qui en fait la demande contre perception d'une redevance forfaitaire variable
selon la catégorie de traitement dont le montant est fixé
par décision de la commission et homologué par arrêté
du ministre de l'économie et des finances.
Toutefois, la commission saisie contradictoirement par le responsable
du fichier peut lui accorder :
- des délais de réponse ;
- l'autorisation de ne pas tenir compte de certaines demandes manifestement
abusives par leur nombre, leur caractère répétitif
ou systématique.
Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des
informations mentionnées au premier alinéa du présent
article, et même avant l'exercice d'un recours juridictionnel, il
peut être demandé au juge compétent que soient ordonnées
toutes mesures de nature à éviter cette dissimulation ou
cette disparition.
Article 36
Le titulaire du droit d'accès peut exiger que soient rectifiées,
complétées, clarifiées, mises à jour ou effacées
les informations le concernant qui sont inexactes, incomplètes,
équivoques, périmées ou dont la collecte, ou l'utilisation,
la communication ou la conservation est interdite.
Lorsque l'intéressé en fait la demande, le service ou
organisme concerné doit délivrer sans frais copie de l'enregistrement
modifié.
En cas de contestation, la charge de la preuve incombe au service auprès
duquel est exercé le droit d'accès sauf lorsqu'il est établi
que les informations contestées ont été communiquées
par la personne concernée ou avec son accord.
Lorsque le titulaire du droit d'accès obtient une modification
de l'enregistrement, la redevance versée en application de l'article
35 est remboursée.
Article 37
Un fichier nominatif doit être complété ou corrigé
même d'office lorsque l'organisme qui le tient acquiert connaissance
de l'inexactitude ou du caractère incomplet d'une information nominative
contenue dans ce fichier.
Article 38
Si une information a été transmise à un tiers, sa
rectification ou son annulation doit être notifiée à
ce tiers, sauf dispense accordée par la commission .
Article 39
En ce qui concerne les traitements intéressant la sûreté
de l'Etat, la défense et la sécurité publique, la
demande est adressée à la commission qui désigne
l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat,
à la Cour de cassation ou à la Cour des comptes pour mener
toutes investigations utiles et faire procéder aux modifications
nécessaires. Celui-ci peut se faire assister d'un agent de la commission.
Il est notifié au requérant qu'il a été procédé
aux vérifications.
Article 40
Lorsque l'exercice du droit d'accès s'applique à des informations
à caractère médical, celles-ci ne peuvent être
communiquées à l'intéressé que par l'intermédiaire
d'un médecin qu'il désigne à cet effet.
Chapitre V bis
Traitements automatisés de données nominatives ayant pour
fin la recherche dans le domaine de la santé
Article 40-1
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Les traitements automatisés de données nominatives ayant
pour fin la recherche dans le domaine de la santé sont soumis aux
dispositions de la présente loi, à l'exception des articles
15, 16, 17, 26 et 27.
Les traitements de données ayant pour fin le suivi thérapeutique
ou médical individuel des patients ne sont pas soumis aux dispositions
du présent chapitre. Il en va de même des traitements permettant
d'effectuer des études à partir des données ainsi
recueillies si ces études sont réalisées par les
personnels assurant ce suivi et destinées à leur usage exclusif.
Article 40-2
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Pour chaque demande de mise en oeuvre d'un traitement de données,
un comité consultatif sur le traitement de l'information en matière
de recherche dans le domaine de la santé, institué auprès
du ministre chargé de la recherche et composé de personnes
compétentes en matière de recherche dans le domaine de la
santé, d'épidémiologie, de génétique
et de biostatistique, émet un avis sur la méthodologie de
la recherche au regard des dispositions de la présente loi, la
nécessité du recours à des données nominatives
et la pertinence de celles-ci par rapport à l'objectif de la recherche,
préalablement à la saisine de la Commission nationale de
l'informatique et des libertés.
Le comité consultatif dispose d'un mois pour transmettre son avis
au demandeur. A défaut, l'avis est réputé favorable.
En cas d'urgence, ce délai peut être ramené à
quinze jours.
Le président du comité consultatif peut mettre en oeuvre
une procédure simplifiée.
La mise en oeuvre du traitement de données est ensuite soumise
à l'autorisation de la Commission nationale de l'informatique et
des libertés, qui dispose, à compter de sa saisine par le
demandeur, d'un délai de deux mois, renouvelable une seule fois,
pour se prononcer. A défaut de décision dans ce délai,
le traitement de données est autorisé.
Article 40-3
(Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet
1994)
(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril
2000)
Nonobstant les règles relatives au secret professionnel, les
membres des professions de santé peuvent transmettre les données
nominatives qu'ils détiennent dans le cadre d'un traitement automatisé
de données autorisé en application de l'article 40-1.
Lorsque ces données permettent l'identification des personnes,
elles doivent être codées avant leur transmission. Toutefois,
il peut être dérogé à cette obligation lorsque
le traitement de données est associé à des études
de pharmacovigilance ou à des protocoles de recherche réalisés
dans le cadre d'études coopératives nationales ou internationales
; il peut également y être dérogé si une particularité
de la recherche l'exige. La demande d'autorisation comporte la justification
scientifique et technique de la dérogation et l'indication de la
période nécessaire à la recherche. A l'issue de cette
période, les données sont conservées et traitées
dans les conditions fixées à l'article 28.
La présentation des résultats du traitement de données
ne peut en aucun cas permettre l'identification directe ou indirecte des
personnes concernées.
Les données sont reçues par le responsable de la recherche
désigné à cet effet par la personne physique ou morale
autorisée à mettre en oeuvre le traitement. Ce responsable
veille à la sécurité des informations et de leur
traitement, ainsi qu'au respect de la finalité de celui-ci.
Les personnes appelées à mettre en oeuvre le traitement
de données ainsi que celles qui ont accès aux données
sur lesquelles il porte sont astreintes au secret professionnel sous les
peines prévues à l'article 226-13 du code pénal.
Article 40-4
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Toute personne a le droit de s'opposer à ce que des données
nominatives la concernant fassent l'objet d'un traitement visé
à l'article 40-1.
Dans le cas où la recherche nécessite le recueil de prélèvements
biologiques identifiants, le consentement éclairé et exprès
des personnes concernées doit être obtenu préalablement
à la mise en oeuvre du traitement de données.
Les informations concernant les personnes décédées,
y compris celles qui figurent sur les certificats des causes de décès,
peuvent faire l'objet d'un traitement de données, sauf si l'intéressé
a, de son vivant, exprimé son refus par écrit.
Article 40-5
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Les personnes auprès desquelles sont recueillies des données
nominatives ou à propos desquelles de telles données sont
transmises sont, avant le début du traitement de ces données,
individuellement informées :
1° De la nature des informations transmises ;
2° De la finalité du traitement de données ;
3° Des personnes physiques ou morales destinataires des données
;
4° Du droit d'accès et de rectification institué au
chapitre V ;
5° Du droit d'opposition institué aux premier et troisième
alinéas de l'article 40-4 ou, dans le cas prévu au deuxième
alinéa de cet article, de l'obligation de recueillir leur consentement.
Toutefois, ces informations peuvent ne pas être délivrées
si, pour des raisons légitimes que le médecin traitant apprécie
en conscience, le malade est laissé dans l'ignorance d'un diagnostic
ou d'un pronostic grave.
Dans le cas où les données ont été initialement
recueillies pour un autre objet que le traitement, il peut être
dérogé à l'obligation d'information individuelle
lorsque celle-ci se heurte à la difficulté de retrouver
les personnes concernées. Les dérogations à l'obligation
d'informer les personnes de l'utilisation de données les concernant
à des fins de recherche sont mentionnées dans le dossier
de demande d'autorisation transmis à la Commission nationale de
l'informatique et des libertés, qui statue sur ce point.
Article 40-6
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Sont destinataires de l'information et exercent les droits prévus
aux articles 40-4 et 40-5 les titulaires de l'autorité parentale,
pour les mineurs, ou le tuteur, pour les personnes faisant l'objet d'une
mesure de protection légale.
Article 40-7
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Une information relative aux dispositions du présent chapitre
doit être assurée dans tout établissement ou centre
où s'exercent des activités de prévention, de diagnostic
et de soins donnant lieu à la transmission de données nominatives
en vue d'un traitement visé à l'article 40-1.
Article 40-8
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
La mise en oeuvre d'un traitement automatisé de données
en violation des conditions prévues par le présent chapitre
entraîne le retrait temporaire ou définitif, par la Commission
nationale de l'informatique et des libertés, de l'autorisation
délivrée en application des dispositions de l'article 40-2.
Il en est de même en cas de refus de se soumettre au contrôle
prévu par le 2° de l'article 21.
Article 40-9
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
La transmission hors du territoire français de données
nominatives non codées faisant l'objet d'un traitement automatisé
ayant pour fin la recherche dans le domaine de la santé n'est autorisée,
dans les conditions prévues à l'article 40-2, que si la
législation de l'Etat destinataire apporte une protection équivalente
à la loi française.
Article 40-10
(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1
Journal Officiel du 2 juillet 1994)
Un décret en Conseil d'Etat précise les modalités
d'application du présent chapitre.
Chapitre V ter
Traitement des données personnelles de santé à des
fins d'évaluation ou d'analyse des activités de soins et
de prévention
Article 40-11
(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41
Journal Officiel du 28 juillet 1999)
Les traitements de données personnelles de santé qui ont
pour fin l'évaluation des pratiques de soins et de prévention
sont autorisés dans les conditions prévues au présent
chapitre.
Les dispositions du présent chapitre ne s'appliquent ni aux traitements
de données personnelles effectuées à des fins de
remboursement ou de contrôle par les organismes chargés de
la gestion d'un régime de base d'assurance maladie, ni aux traitements
effectués au sein des établissements de santé par
les médecins responsables de l'information médicale dans
les conditions prévues au deuxième alinéa de l'article
L. 710-6 du code de la santé publique.
Article 40-12
(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41
Journal Officiel du 28 juillet 1999)
Les données issues des systèmes d'information visés
à l'article L. 710-6 du code de la santé publique, celles
issues des dossiers médicaux détenus dans le cadre de l'exercice
libéral des professions de santé, ainsi que celles issues
des systèmes d'information des caisses d'assurance maladie, ne
peuvent être communiquées à des fins statistiques
d'évaluation ou d'analyse des pratiques et des activités
de soins et de prévention que sous la forme de statistiques agrégées
ou de données par patient constituées de telle sorte que
les personnes concernées ne puissent être identifiées.
Il ne peut être dérogé aux dispositions de l'alinéa
précédent que sur autorisation de la Commission nationale
de l'informatique et des libertés dans les conditions prévues
aux articles 40-13 à 40-15. Dans ce cas, les données utilisées
ne comportent ni le nom, ni le prénom des personnes, ni leur numéro
d'inscription au Répertoire national d'identification des personnes
physiques.
Article 40-13
(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41
Journal Officiel du 28 juillet 1999)
Pour chaque demande, la commission vérifie les garanties présentées
par le demandeur pour l'application des présentes dispositions
et, le cas échéant, la conformité de sa demande à
ses missions ou à son objet social. Elle s'assure de la nécessité
de recourir à des données personnelles et de la pertinence
du traitement au regard de sa finalité déclarée d'évaluation
ou d'analyse des pratiques ou des activités de soins et de prévention.
Elle vérifie que les données personnelles dont le traitement
est envisagé ne comportent ni le nom, ni le prénom des personnes
concernées, ni leur numéro d'inscription au Répertoire
national d'identification des personnes physiques. En outre, si le demandeur
n'apporte pas d'éléments suffisants pour attester la nécessité
de disposer de certaines informations parmi l'ensemble des données
personnelles dont le traitement est envisagé, la commission peut
interdire la communication de ces informations par l'organisme qui les
détient et n'autoriser le traitement que des données ainsi
réduites.
La commission détermine la durée de conservation des données
nécessaires au traitement et apprécie les dispositions prises
pour assurer leur sécurité et la garantie des secrets protégés
par la loi.
Article 40-14
(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41
Journal Officiel du 28 juillet 1999)
La commission dispose, à compter de sa saisine par le demandeur,
d'un délai de deux mois, renouvelable une seule fois, pour se prononcer.
A défaut de décision dans ce délai, ce silence vaut
décision de rejet. Les modalités d'instruction par la commission
des demandes d'autorisation sont fixées par décret en Conseil
d'Etat.
Les traitements répondant à une même finalité
portant sur des catérogies de données identiques et ayant
des destinataires ou des catégories de destinataires identiques
peuvent faire l'objet d'une décision unique de la commission.
Article 40-15
(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41
Journal Officiel du 28 juillet 1999)
Les traitements autorisés conformément aux articles 40-13
et 40-14 ne peuvent servir à des fins de recherche ou d'identification
des personnes. Les personnes appelées à mettre en oeuvre
ces traitements, ainsi que celles qui ont accès aux données
faisant l'objet de ces traitements ou aux résultats de ceux-ci
lorsqu'ils demeurent indirectement nominatifs, sont astreintes au secret
professionnel sous les peines prévues à l'article 226-13
du code pénal.
Les résultats de ces traitements ne peuvent faire l'objet d'une
communication, d'une publication ou d'une diffusion que si l'identification
des personnes sur l'état desquelles ces données ont été
recueillies est impossible.
Chapitre VI
Dispositions pénales
Article 41
(Loi n° 92-1336 du 16 décembre 1992 art. 258 Journal Officiel
du 23 décembre 1992 en vigueur le 1er mars 1994)
Les infractions aux dispositions de la présente loi sont prévues
et réprimées par les articles 226-16 à 226-24 du
code pénal.
Article 42
(Loi n° 92-1336 du 16 décembre 1992 art. 259 Journal Officiel
du 23 décembre 1992 en vigueur le 1er mars 1994)
Le fait d'utiliser le Répertoire national d'identification des
personnes physiques sans l'autorisation prévue à l'article
18 est puni de cinq ans d'emprisonnement et de 2.000.000 F d'amende.
Article 43
(Loi n° 92-1336 du 16 décembre 1992 art. 260 Journal Officiel
du 23 décembre 1992 en vigueur le 1er mars 1994)
Est puni d'un an d'emprisonnement et de 100.000 F d'amende le fait d'entraver
l'action de la Commission nationale de l'informatique et des libertés
:
1° Soit en s'opposant à l'exercice de vérifications
sur place ;
2° Soit en refusant de communiquer à ses membres, à
ses agents ou aux magistrats mis à sa disposition les renseignements
et documents utiles à la mission qui leur est confiée par
la commission ou en dissimulant lesdits documents ou renseignements, ou
encore en les faisant disparaître ;
3° Soit en communiquant des informations qui ne sont pas conformes
au contenu des enregistrements au moment où la demande a été
formulée ou qui ne le présentent pas sous une forme directement
intelligible.
Chapitre VII
Dispositions diverses
Article 45
(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril
2000)
Les dispositions des articles 25, 27, 28, 29, 29-1, 30, 31, 32 et 33
relatifs à la collecte, l'enregistrement et la conservation des
informations nominatives sont applicables aux fichiers non automatisés
ou mécanographiques autres que ceux dont l'usage relève
du strict exercice du droit à la vie privée.
Le premier alinéa de l'article 26 est applicable aux mêmes
fichiers, à l'exception des fichiers publics désignés
par un acte réglementaire.
Toute personne justifiant de son identité a le droit d'interroger
les services ou organismes qui détiennent des fichiers mentionnés
au premier alinéa du présent article en vue de savoir si
ces fichiers contiennent des informations nominatives le concernant. Le
titulaire du droit d'accès a le droit d'obtenir communication de
ces informations ; il peut exiger qu'il soit fait application des trois
premiers alinéas de l'article 36 de la présente loi relatifs
au droit de rectification. Les dispositions des articles 37, 38, 39 et
40 sont également applicables. Un décret en Conseil d'Etat
fixe les conditions d'exercice du droit d'accès et de rectification
; ce décret peut prévoir la perception de redevances pour
la délivrance de copies des informations communiquées.
Le Gouvernement, sur proposition de la Commission nationale de l'informatique
et des libertés, peut décider, par décret en Conseil
d'Etat, que les autres dispositions de la présente loi peuvent,
en totalité ou en partie, s'appliquer à un fichier ou à
des catégories de fichiers non automatisés ou mécanographiques
qui présentent, soit par eux-mêmes, soit par la combinaison
de leur emploi avec celui d'un fichier informatisé, des dangers
quant à la protection des libertés.
Article 46
Des décrets en Conseil d'Etat fixeront les modalités d'application
de la présente loi. Ils devront être pris dans un délai
de six mois à compter de sa promulgation.
Ces décrets détermineront les délais dans lesquels
les dispositions de la présente loi entreront en vigueur. Ces délais
ne pourront excéder deux ans à compter de la promulgation
de ladite loi.
Article 47
(Loi n° 94-548 du 1 juillet 1994 art. 5 Journal Officiel du 2 juillet
1994)
(Ordonnance n° 96-267 du 28 mars 1996 art. 9 Journal Officiel du 31
mars 1996 en vigueur le 1er mai 1996)
(Loi n° 2001-616 du 11 juillet 2001 art. 75 Journal Officiel du 13
juillet 2001)
La présente loi est applicable à Mayotte et aux territoires
d'outre-mer.
Par dérogation aux dispositions du deuxième alinéa
de l'article 40-2, le comité consultatif dispose d'un délai
de deux mois pour transmettre son avis au demandeur domicilié dans
un territoire d'outre-mer ou à Mayotte. En cas d'urgence, ce délai
peut être ramené à un mois.
Article 48
A titre transitoire, les traitements régis par l'article 15 ci-dessus,
et déjà créés, ne sont soumis qu'à
une déclaration auprès de la Commission nationale de l'informatique
et des libertés dans les conditions prévues aux articles
16 et 17.
La commission peut toutefois, par décision spéciale, faire
application des dispositions de l'article 15 et fixer le délai
au terme duquel l'acte réglementant le traitement doit être
pris.
A l'expiration d'un délai de deux ans à compter de la
promulgation de la présente loi, tous les traitements régis
par l'article 15 devront répondre aux prescriptions de cet article.
|