login
mot de passe

Mot de passe oublié ?
RETOUR A L'ACCUEIL
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

(Journal Officiel du 7 janvier 1978 )

Article D0

Le président de la République : VALERY GISCARD D'ESTAING. Le premier ministre : RAYMOND BARRE. Le garde des sceaux, ministre de la justice : ALAIN PEYREFITTE. Le ministre de l'intérieur : CHRISTIAN BONNET. Le ministre de la défense : YVON BOURGES. Le ministre délégué à l'économie et aux finances : ROBERT BOULIN. Le ministre de l'équipement et de l'aménagement du territoire : FERNAND ICART. Le ministre de l'éducation : RENE HABY. Le ministre de l'industrie, du commerce et de l'artisanat : RENE MONORY. Le ministre du travail : CHRISTIAN BEULLAC. Le ministre de la santé et de la sécurité sociale : SIMONE VEIL.

Chapitre Ier
Principes et définitions


Article 1er


L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Article 2


Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Article 3


Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés .

Article 4


Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

Article 5


Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives.


Chapitre II
La Commission nationale de l'informatique et des libertés


Article 6


Une Commission nationale de l'informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives. La commission dispose à cet effet d'un pouvoir réglementaire, dans les cas prévus par la présente loi.

Article 7


Les crédits nécessaires à la commission nationale pour l'accomplissement de sa mission sont inscrits au budget du ministère de la justice. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu à la perception des redevances.

Article 8


La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante .

Elle est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :
- deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat ;
- deux membres du Conseil économique et social, élus par cette assemblée ;
- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;
- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;
- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;
- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;
- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.
La commission établit son règlement intérieur.
En cas de partage des voix, celle du président est prépondérante.
Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limité à la période restant à courir.

La qualité de membre de la commission est incompatible :
- avec celle de membre du Gouvernement ;
- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.
La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.
Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

Article 9


Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission.
Il peut, dans les dix jours d'une délibération , provoquer une seconde délibération.

Article 10

(Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

La commission dispose de services qui sont dirigés par le président ou, sur délégation, par un vice-président et placés sous son autorité.
La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi que des articles 40-13 et 40-14.
Les agents de la commission nationale sont nommés par le président ou le vice-président délégué.

Article 11


La commission peut demander aux premiers présidents de cour d'appel ou aux présidents de tribunaux administratifs de déléguer un magistrat de leur ressort, éventuellement assisté d'experts, pour des missions d'investigation et de contrôle effectuées sous sa direction.

Article 12

(Loi n° 92-1336 du 16 décembre 1992 art. 256 et 333 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel prévu ci-après, aux articles 226-13 et 226-14 du code pénal.

Article 13


Dans l'exercice de leurs attributions, les membres de la Commission nationale de l'informatique et des libertés ne reçoivent d'instruction d'aucune autorité.
Les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.


Chapitre III
Formalités préalables à la mise en oeuvre des traitements automatisés


Article 14


La Commission nationale de l'informatique et des libertés veille à ce que les traitements automatisés, publics ou privés, d'informations nominatives, soient effectués conformément aux dispositions de la présente loi .

Article 15


Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l'informatique et des libertés .

Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat.

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

Article 16


Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en oeuvre, faire l'objet d'une déclaration, auprès de la Commission nationale de l'informatique et des libertés.
Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi .
Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 17


Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19.

Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 18


L'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la commission .

Article 19


La demande d'avis ou la déclaration doit préciser :
- la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ;
- les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ;
- le service ou les services chargés de mettre en oeuvre celui-ci ;
- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice de ce droit ;
- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;
- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;
- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;
- les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;
- si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France.

Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée à la connaissance de la commission.
Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique.

Article 20


L'acte réglementaire prévu pour les traitements régis par l'article 15 ci-dessus précise notamment :
- la dénomination et la finalité du traitement ;
- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ;
- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publiés.

Article 21


Pour l'exercice de sa mission de contrôle, la commission :
1° Prend des décisions individuelles ou réglementaires dans les cas prévus par la présente loi ;
2° Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ;
3° Edicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;
4° Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale ;
5° Veille à ce que les modalités de mise en oeuvre du droit d'accès et de rectification indiquées dans les actes et déclarations prévus aux articles 15 et 16 n'entravent pas le libre exercice de ce droit ;
6° Reçoit les réclamations, pétitions et plaintes ;
7° Se tient informée des activités industrielles et de services qui concourent à la mise en oeuvre de l'informatique.

Les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Article 22


La commission met à la disposition du public la liste des traitements qui précise pour chacun d'eux :
- la loi ou l'acte réglementaire décidant de sa création ou la date de sa déclaration ;
- sa dénomination et sa finalité ;
- le service auprès duquel est exercé le droit d'accès prévu au chapitre V ci-dessous ;
- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Sont tenus à la disposition du public, dans les conditions fixées par décret, les décisions, avis ou recommandations de la commission dont la connaissance est utile à l'application ou à l'interprétation de la présente loi .

Article 23


La commission présente chaque année au Président de la République et au Parlement un rapport rendant compte de l'exécution de sa mission. Ce rapport est publié.

Ce rapport décrira notamment les procédures et méthodes de travail suivies par la commission et contiendra en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci.

Article 24


Sur proposition ou après avis de la commission , la transmission entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés régis par l'article 16 ci-dessus peut être soumise à autorisation préalable ou réglementée selon des modalités fixées par décret en Conseil d'Etat, en vue d'assurer le respect des principes posés par la présente loi.


Chapitre IV
Collecte, enregistrement et conservation des informations nominatives


Article 25


La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

Article 26


Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.
Ce droit ne s'applique pas aux traitements limitativement désignés dans l'acte réglementaire prévu à l'article 15.

Article 27


Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences à leur égard d'un défaut de réponse ;
- des personnes physiques ou morales destinataires des informations ;
- de l'existence d'un droit d'accès et de rectification.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

Article 28

(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)

I. - Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.
II. - Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées.
Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en oeuvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

Article 29


Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Article 29-1

(inséré par Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)

Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.
En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 29 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 précitée et n° 79-18 du 3 janvier 1979 précitée.

Article 30


Sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale , les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté.

Jusqu'à la mise en oeuvre du fichier des conducteurs prévu par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, à traiter elles-mêmes les informations mentionnées à l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.

Article 31

(Loi n° 92-1336 du 16 décembre 1992 art. 257 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)

Il est interdit de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes.

Toutefois, les églises et les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre.

Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'Etat.

Article 33


Les dispositions des articles 24, 30 et 31 ne s'appliquent pas aux informations nominatives traitées par les organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent et dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

Article 33-1

(inséré par Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)

Les modalités d'application du présent chapitre sont fixées par décret en Conseil d'Etat pris après avis de la commission.


Chapitre V
Exercice du droit d'accès


Article 34


Toute personne justifiant de son identité a le droit d'interroger les services ou organismes chargés de mettre en oeuvre les traitements automatisés dont la liste est accessible au public en application de l'article 22 ci-dessus en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d'en obtenir communication.

Article 35


Le titulaire du droit d'accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

Une copie est délivrée au titulaire du droit d'accès qui en fait la demande contre perception d'une redevance forfaitaire variable selon la catégorie de traitement dont le montant est fixé par décision de la commission et homologué par arrêté du ministre de l'économie et des finances.

Toutefois, la commission saisie contradictoirement par le responsable du fichier peut lui accorder :
- des délais de réponse ;
- l'autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Article 36


Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le service ou organisme concerné doit délivrer sans frais copie de l'enregistrement modifié.

En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.

Lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement, la redevance versée en application de l'article 35 est remboursée.

Article 37


Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier.

Article 38


Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la commission .

Article 39


En ce qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, la demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.
Il est notifié au requérant qu'il a été procédé aux vérifications.

Article 40


Lorsque l'exercice du droit d'accès s'applique à des informations à caractère médical, celles-ci ne peuvent être communiquées à l'intéressé que par l'intermédiaire d'un médecin qu'il désigne à cet effet.


Chapitre V bis
Traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé


Article 40-1

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Les traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé sont soumis aux dispositions de la présente loi, à l'exception des articles 15, 16, 17, 26 et 27.
Les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients ne sont pas soumis aux dispositions du présent chapitre. Il en va de même des traitements permettant d'effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif.

Article 40-2

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Pour chaque demande de mise en oeuvre d'un traitement de données, un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, institué auprès du ministre chargé de la recherche et composé de personnes compétentes en matière de recherche dans le domaine de la santé, d'épidémiologie, de génétique et de biostatistique, émet un avis sur la méthodologie de la recherche au regard des dispositions de la présente loi, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche, préalablement à la saisine de la Commission nationale de l'informatique et des libertés.
Le comité consultatif dispose d'un mois pour transmettre son avis au demandeur. A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.
Le président du comité consultatif peut mettre en oeuvre une procédure simplifiée.
La mise en oeuvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, le traitement de données est autorisé.

Article 40-3

(Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)


(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre les données nominatives qu'ils détiennent dans le cadre d'un traitement automatisé de données autorisé en application de l'article 40-1.
Lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur transmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 28.
La présentation des résultats du traitement de données ne peut en aucun cas permettre l'identification directe ou indirecte des personnes concernées.
Les données sont reçues par le responsable de la recherche désigné à cet effet par la personne physique ou morale autorisée à mettre en oeuvre le traitement. Ce responsable veille à la sécurité des informations et de leur traitement, ainsi qu'au respect de la finalité de celui-ci.
Les personnes appelées à mettre en oeuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Article 40-4

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Toute personne a le droit de s'opposer à ce que des données nominatives la concernant fassent l'objet d'un traitement visé à l'article 40-1.
Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en oeuvre du traitement de données.
Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

Article 40-5

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Les personnes auprès desquelles sont recueillies des données nominatives ou à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées :
1° De la nature des informations transmises ;
2° De la finalité du traitement de données ;
3° Des personnes physiques ou morales destinataires des données ;
4° Du droit d'accès et de rectification institué au chapitre V ;
5° Du droit d'opposition institué aux premier et troisième alinéas de l'article 40-4 ou, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement.
Toutefois, ces informations peuvent ne pas être délivrées si, pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l'ignorance d'un diagnostic ou d'un pronostic grave.
Dans le cas où les données ont été initialement recueillies pour un autre objet que le traitement, il peut être dérogé à l'obligation d'information individuelle lorsque celle-ci se heurte à la difficulté de retrouver les personnes concernées. Les dérogations à l'obligation d'informer les personnes de l'utilisation de données les concernant à des fins de recherche sont mentionnées dans le dossier de demande d'autorisation transmis à la Commission nationale de l'informatique et des libertés, qui statue sur ce point.

Article 40-6

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Sont destinataires de l'information et exercent les droits prévus aux articles 40-4 et 40-5 les titulaires de l'autorité parentale, pour les mineurs, ou le tuteur, pour les personnes faisant l'objet d'une mesure de protection légale.

Article 40-7

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Une information relative aux dispositions du présent chapitre doit être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données nominatives en vue d'un traitement visé à l'article 40-1.

Article 40-8

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

La mise en oeuvre d'un traitement automatisé de données en violation des conditions prévues par le présent chapitre entraîne le retrait temporaire ou définitif, par la Commission nationale de l'informatique et des libertés, de l'autorisation délivrée en application des dispositions de l'article 40-2.
Il en est de même en cas de refus de se soumettre au contrôle prévu par le 2° de l'article 21.

Article 40-9

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

La transmission hors du territoire français de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 40-2, que si la législation de l'Etat destinataire apporte une protection équivalente à la loi française.

Article 40-10

(inséré par Loi n° 94-548 du 1 juillet 1994 art. 1 Journal Officiel du 2 juillet 1994)

Un décret en Conseil d'Etat précise les modalités d'application du présent chapitre.


Chapitre V ter
Traitement des données personnelles de santé à des fins d'évaluation ou d'analyse des activités de soins et de prévention


Article 40-11

(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

Les traitements de données personnelles de santé qui ont pour fin l'évaluation des pratiques de soins et de prévention sont autorisés dans les conditions prévues au présent chapitre.
Les dispositions du présent chapitre ne s'appliquent ni aux traitements de données personnelles effectuées à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie, ni aux traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale dans les conditions prévues au deuxième alinéa de l'article L. 710-6 du code de la santé publique.

Article 40-12

(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

Les données issues des systèmes d'information visés à l'article L. 710-6 du code de la santé publique, celles issues des dossiers médicaux détenus dans le cadre de l'exercice libéral des professions de santé, ainsi que celles issues des systèmes d'information des caisses d'assurance maladie, ne peuvent être communiquées à des fins statistiques d'évaluation ou d'analyse des pratiques et des activités de soins et de prévention que sous la forme de statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées.
Il ne peut être dérogé aux dispositions de l'alinéa précédent que sur autorisation de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 40-13 à 40-15. Dans ce cas, les données utilisées ne comportent ni le nom, ni le prénom des personnes, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques.

Article 40-13

(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

Pour chaque demande, la commission vérifie les garanties présentées par le demandeur pour l'application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social. Elle s'assure de la nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention. Elle vérifie que les données personnelles dont le traitement est envisagé ne comportent ni le nom, ni le prénom des personnes concernées, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques. En outre, si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l'ensemble des données personnelles dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que des données ainsi réduites.
La commission détermine la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

Article 40-14

(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

La commission dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, ce silence vaut décision de rejet. Les modalités d'instruction par la commission des demandes d'autorisation sont fixées par décret en Conseil d'Etat.
Les traitements répondant à une même finalité portant sur des catérogies de données identiques et ayant des destinataires ou des catégories de destinataires identiques peuvent faire l'objet d'une décision unique de la commission.

Article 40-15

(inséré par Loi n° 99-641 du 27 juillet 1999 art. 41 Journal Officiel du 28 juillet 1999)

Les traitements autorisés conformément aux articles 40-13 et 40-14 ne peuvent servir à des fins de recherche ou d'identification des personnes. Les personnes appelées à mettre en oeuvre ces traitements, ainsi que celles qui ont accès aux données faisant l'objet de ces traitements ou aux résultats de ceux-ci lorsqu'ils demeurent indirectement nominatifs, sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.
Les résultats de ces traitements ne peuvent faire l'objet d'une communication, d'une publication ou d'une diffusion que si l'identification des personnes sur l'état desquelles ces données ont été recueillies est impossible.


Chapitre VI
Dispositions pénales


Article 41

(Loi n° 92-1336 du 16 décembre 1992 art. 258 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Article 42

(Loi n° 92-1336 du 16 décembre 1992 art. 259 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)

Le fait d'utiliser le Répertoire national d'identification des personnes physiques sans l'autorisation prévue à l'article 18 est puni de cinq ans d'emprisonnement et de 2.000.000 F d'amende.

Article 43

(Loi n° 92-1336 du 16 décembre 1992 art. 260 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)

Est puni d'un an d'emprisonnement et de 100.000 F d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :
1° Soit en s'opposant à l'exercice de vérifications sur place ;
2° Soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition les renseignements et documents utiles à la mission qui leur est confiée par la commission ou en dissimulant lesdits documents ou renseignements, ou encore en les faisant disparaître ;
3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne le présentent pas sous une forme directement intelligible.


Chapitre VII
Dispositions diverses


Article 45

(Loi n° 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)

Les dispositions des articles 25, 27, 28, 29, 29-1, 30, 31, 32 et 33 relatifs à la collecte, l'enregistrement et la conservation des informations nominatives sont applicables aux fichiers non automatisés ou mécanographiques autres que ceux dont l'usage relève du strict exercice du droit à la vie privée.

Le premier alinéa de l'article 26 est applicable aux mêmes fichiers, à l'exception des fichiers publics désignés par un acte réglementaire.

Toute personne justifiant de son identité a le droit d'interroger les services ou organismes qui détiennent des fichiers mentionnés au premier alinéa du présent article en vue de savoir si ces fichiers contiennent des informations nominatives le concernant. Le titulaire du droit d'accès a le droit d'obtenir communication de ces informations ; il peut exiger qu'il soit fait application des trois premiers alinéas de l'article 36 de la présente loi relatifs au droit de rectification. Les dispositions des articles 37, 38, 39 et 40 sont également applicables. Un décret en Conseil d'Etat fixe les conditions d'exercice du droit d'accès et de rectification ; ce décret peut prévoir la perception de redevances pour la délivrance de copies des informations communiquées.

Le Gouvernement, sur proposition de la Commission nationale de l'informatique et des libertés, peut décider, par décret en Conseil d'Etat, que les autres dispositions de la présente loi peuvent, en totalité ou en partie, s'appliquer à un fichier ou à des catégories de fichiers non automatisés ou mécanographiques qui présentent, soit par eux-mêmes, soit par la combinaison de leur emploi avec celui d'un fichier informatisé, des dangers quant à la protection des libertés.

Article 46


Des décrets en Conseil d'Etat fixeront les modalités d'application de la présente loi. Ils devront être pris dans un délai de six mois à compter de sa promulgation.

Ces décrets détermineront les délais dans lesquels les dispositions de la présente loi entreront en vigueur. Ces délais ne pourront excéder deux ans à compter de la promulgation de ladite loi.

Article 47

(Loi n° 94-548 du 1 juillet 1994 art. 5 Journal Officiel du 2 juillet 1994)


(Ordonnance n° 96-267 du 28 mars 1996 art. 9 Journal Officiel du 31 mars 1996 en vigueur le 1er mai 1996)


(Loi n° 2001-616 du 11 juillet 2001 art. 75 Journal Officiel du 13 juillet 2001)

La présente loi est applicable à Mayotte et aux territoires d'outre-mer.
Par dérogation aux dispositions du deuxième alinéa de l'article 40-2, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur domicilié dans un territoire d'outre-mer ou à Mayotte. En cas d'urgence, ce délai peut être ramené à un mois.

Article 48


A titre transitoire, les traitements régis par l'article 15 ci-dessus, et déjà créés, ne sont soumis qu'à une déclaration auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 16 et 17.

La commission peut toutefois, par décision spéciale, faire application des dispositions de l'article 15 et fixer le délai au terme duquel l'acte réglementant le traitement doit être pris.

A l'expiration d'un délai de deux ans à compter de la promulgation de la présente loi, tous les traitements régis par l'article 15 devront répondre aux prescriptions de cet article.