Ci-dessous sont présentées les modifications introduites à la date donnée. L’ancien texte est en rouge, le texte introduit à cette date est en vert.
| 187 | 187 |
#### Article 10 |
| 188 | 188 | |
| 189 | 189 |
Les agents de la commission sont nommés par le président. |
| 190 | 190 | |
| 191 | 191 |
Ceux des agents qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées aux articles 19 et 25 ou à établir un rapport en application du cinquième alinéa de l'article 22-1 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi. |
| 291 | 291 |
#### Article 20 |
| 292 | 292 | |
| 293 | 293 |
I.-Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi. |
| 294 | 294 | |
| 295 | 295 |
II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou , si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe : |
| 296 | 296 | |
| 297 | 297 |
1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ; |
| 298 | 298 | |
| 299 | 299 |
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ; |
| 300 | 300 | |
| 301 | 301 |
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ; |
| 302 | 302 | |
| 303 | 303 |
4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données. |
| 304 | 304 | |
| 305 | 305 |
Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises. |
| 306 | 306 | |
| 307 | 307 |
Le délai de président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'extrême urgence. |
| 308 | ||
| 309 | 307 |
d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure. |
| 310 | 308 | |
| 311 | 309 |
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité. |
| 312 | 310 | |
| 313 | 311 |
III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou , le cas échéant en complément d'une mise en demeure prévue après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : |
| 314 | 312 | |
| 315 | 313 |
1° Un rappel à l'ordre ; |
| 316 | 314 | |
| 317 | 315 |
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; |
| 318 | 316 | |
| 319 | 317 |
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ; |
| 320 | 318 | |
| 321 | 319 |
4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ; |
| 322 | 320 | |
| 323 | 321 |
5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ; |
| 324 | 322 | |
| 325 | 323 |
6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ; |
| 326 | 324 | |
| 327 | 325 |
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. |
| 328 | 326 | |
| 329 | 327 |
Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement. |
| 328 | ||
| 329 |
IV.-Lorsque la formation restreinte a été saisie, le président de celle-ci peut enjoindre au mis en cause de produire les éléments demandés par la Commission nationale de l'informatique et des libertés, en cas d'absence de réponse à une précédente mise en demeure, et assortir cette injonction d'une astreinte, dont le montant ne peut excéder 100 € par jour de retard, à la liquidation de laquelle il procède, le cas échéant. |
|
| 330 | ||
| 331 |
Il peut également constater qu'il n'y a plus lieu de statuer. |
|
| 375 |
#### Article 22-1 |
|
| 376 | ||
| 377 |
Le président de la Commission nationale de l'informatique et des libertés peut, lorsqu'il estime que les conditions mentionnées aux deuxième et troisième alinéas sont réunies, engager les poursuites selon une procédure simplifiée. Le président de la formation restreinte ou l'un de ses membres désigné à cet effet statue seul sur l'affaire. |
|
| 378 | ||
| 379 |
Le président de la commission peut engager les poursuites selon la procédure simplifiée lorsqu'il estime que les mesures correctrices prévues aux 1°, 2° et 7° du III de l'article 20 constituent la réponse appropriée à la gravité des manquements constatés, sous réserve que l'amende administrative encourue, mentionnée au 7° du même III, n'excède pas un montant de 20 000 € et que l'astreinte encourue, mentionnée au 2° dudit III, n'excède pas un montant de 100 € par jour de retard à compter de la date fixée par la décision. |
|
| 380 | ||
| 381 |
En outre, le président de la Commission nationale de l'informatique et des libertés ne peut engager les poursuites selon la procédure simplifiée que lorsque l'affaire ne présente pas de difficulté particulière, eu égard à l'existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu'elle présente à trancher. |
|
| 382 | ||
| 383 |
Le président de la formation restreinte ou le membre qu'il a désigné peut, pour tout motif, refuser de recourir à la procédure simplifiée ou l'interrompre. Dans ce cas, le président de la Commission nationale de l'informatique et des libertés reprend la procédure conformément aux exigences et aux garanties prévues à l'article 22. |
|
| 384 | ||
| 385 |
Le président de la formation restreinte ou le membre qu'il a désigné statue sur la base d'un rapport établi par un agent des services de la Commission nationale de l'informatique et des libertés, habilité dans les conditions définies au dernier alinéa de l'article 10 et placé, pour l'exercice de cette mission, sous l'autorité du président de la Commission nationale de l'informatique et des libertés. |
|
| 386 | ||
| 387 |
Le rapport mentionné au cinquième alinéa du présent article est notifié au responsable de traitement ou au sous-traitant, qui est informé du fait qu'il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu. Le président de la formation restreinte ou le membre qu'il a désigné peut solliciter les observations de toute personne pouvant contribuer à son information. Il statue ensuite et ne peut rendre publiques les décisions qu'il prend. |
|
| 388 | ||
| 389 |
La formation restreinte est informée des décisions prises selon la procédure simplifiée par le président de la formation restreinte ou par le membre qu'il a désigné. |
|
| 390 | ||
| 391 |
Lorsque le président de la formation restreinte ou le membre qu'il a désigné a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce. |
|
| 392 | ||
| 393 |
L'astreinte est liquidée et le montant définitif en est fixé par le président de la formation restreinte ou le membre qu'il a désigné. Le dernier alinéa de l'article 22 est applicable aux décisions prises selon la procédure simplifiée. |
|
| 394 | ||
| 395 |
Les modalités de mise en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d'intérêts pour les agents désignés rapporteurs sont fixées par décret en Conseil d'Etat. |
|
| 1511 | 1535 |
## Article 125 |
| 1512 | 1536 | |
| 1513 | 1537 |
La présente loi est applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises, dans sa rédaction résultant de la loi n° 2021-998 du 30 juillet 2021 2022-52 du 24 janvier 2022 relative à la prévention d'actes de terrorisme et au renseignement. responsabilité pénale et à la sécurité intérieure. |