Maîtriser les droits des personnes

« En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende le fait de procéder à un traitement : »

« 1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ; »

« 2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant. ».

« Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. »

« Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa. ».

« Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. ».

« Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

« La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 € d'amende lorsqu'elle a été commise par imprudence ou négligence. »

« Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit. ».

« Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un État n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. ».

« Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données. ».

« Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles. ».

« Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section. »

« Les peines encourues par les personnes morales sont : »

« 1º L'amende, suivant les modalités prévues par l'article 131-38 ; »

« 2º Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l'article 131-39. »

« L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise. ».

« Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés : »

« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ; »

« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ; »

« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible. ».

« Le procureur de la République avise le président de la Commission nationale de l'informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date. »

« La juridiction d'instruction ou de jugement peut appeler le président de la Commission nationale de l'informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l'audience. ».

« Lorsque cette information est exigée par la loi, est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel : »

« 1° De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant : »

« a) De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; »

« b) De la finalité poursuivie par le traitement auquel les données sont destinées ; »

« c) Du caractère obligatoire ou facultatif des réponses ; »

« d) Des conséquences éventuelles, à son égard, d'un défaut de réponse ; »

« e) Des destinataires ou catégories de destinataires des données ; »

« f) De ses droits d'opposition, d'interrogation, d'accès et de rectification ; »

« g) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; »

« 2° Lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives : »

« a) A l'identité du responsable du traitement et, le cas échéant, à celle de son représentant ; »

« b) A la finalité poursuivie par le traitement auquel les données sont destinées ; »

« c) Au caractère obligatoire ou facultatif des réponses ; »

« d) Aux droits d'opposition, d'interrogation, d'accès et de rectification des personnes auprès desquelles sont recueillies les données ; »

« 3° De ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques : »

« a) De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; »

« b) Des moyens dont elle dispose pour s'y opposer ; »

« 4° De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n'ont pas été recueillies auprès d'elle, les informations énumérées au 1° et au 2° dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. ».

« Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas répondre aux demandes d'une personne physique justifiant de son identité qui ont pour objet : »

« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ; »

« 2° Les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; »

« 3° Le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne ; »

« 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ; »

« 5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. »

« Est puni de la même peine le fait de refuser de délivrer, à la demande de l'intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d'une somme qui ne peut excéder le coût de la reproduction. »

« Les contraventions prévues par le présent article ne sont toutefois pas constituées si le refus de réponse est autorisé par la loi soit afin de ne pas porter atteinte au droit d'auteur, soit parce qu'il s'agit de demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique, soit parce que les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. ».

« Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas procéder, sans frais pour le demandeur, aux opérations demandées par une personne physique justifiant de son identité et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est l'héritière, lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite. ».

« Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des contraventions prévues par la présente section. »

« La récidive des contraventions prévues par la présente section est réprimée conformément aux articles 132-11 et 132-15. ».