Mme la présidente. L’amendement n° 6 rectifié bis, présenté par M. Malhuret, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

La parole est à M. Jérôme Bignon.

M. Jérôme Bignon. L’idée est de protéger les élèves en instituant une interdiction de traitement des données à caractère personnel. Cette obligation d’interdiction vise à protéger ces publics fragiles, souvent – on le constate trop fréquemment – imprudents sur les supports numériques avec leurs données personnelles.

En outre, cet amendement tend à renforcer les dispositions prévues par l’article 14 bis du présent projet de loi en inscrivant ces mesures, à la fois, dans le code de l’éducation et dans la loi du 6 janvier 1978.

Mme la présidente. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Comme je l’avais expliqué en première lecture, la rédaction de l’amendement paraît beaucoup trop large, l’interdiction proposée risquant de paralyser l’activité des établissements dont la gestion des élèves et des notes est aujourd’hui très souvent dématérialisée.

Si l’intention de départ est bonne, je ne peux souscrire à cet amendement, dont je demande le retrait.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Une nouvelle fois, je partage l’avis de Mme la rapporteur. J’émets donc un avis défavorable.

Mme la présidente. Je mets aux voix l’amendement n° 6 rectifié bis.

(Lamendement nest pas adopté.)

Mme la présidente. Je mets aux voix l’article 7.

(Larticle 7 est adopté.)

TITRE II

MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Chapitre Ier

Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Chapitre II

Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements

Article 7 (Texte non modifié par la commission)
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 10 bis

Article 9

(Non modifié)

I à III. – (Non modifiés)

IV. – L’article 226-16-1 A du code pénal est abrogé. – (Adopté.)

Chapitre III

Obligations incombant aux responsables de traitement et à leurs sous-traitants

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Article 9
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 11

Article 10 bis

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par une phrase ainsi rédigée : « En particulier, et dans toute la mesure du possible, les données sont chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Mme la présidente. L’amendement n° 17, présenté par M. de Belenet et les membres du groupe La République En Marche, est ainsi libellé :

Supprimer cet article.

La parole est à M. Arnaud de Belenet.

M. Arnaud de Belenet. Cet amendement est défendu.

Mme la présidente. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Cet amendement est contraire à la position de la commission et du Sénat en première lecture : j’émets donc un avis défavorable.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement trouve excessive au regard du RGPD l’obligation qui pèse sur les responsables de traitement et leurs sous-traitants de chiffrer les données de bout en bout, chaque fois que cela est possible.

C’est la raison pour laquelle il a présenté un amendement en ce sens en deuxième lecture à l’Assemblée nationale. Cette obligation qui, je le répète, nous semble excessive au regard du RGPD, peut également se révéler parfois non pertinente pour certains traitements.

En effet, le chiffrement n’est qu’une mesure de sécurité parmi d’autres, comme la « pseudonymisation ». Il ne peut donc pas être imposé systématiquement. Selon nous, il appartient aux responsables de traitement, au regard du principe de responsabilisation et sous le contrôle de la CNIL, d’apprécier laquelle de ces mesures est la plus appropriée.

Par conséquent, je suis favorable à cet amendement de suppression.

Mme la présidente. Je mets aux voix l’amendement n° 17.

(Lamendement nest pas adopté.)

Mme la présidente. Je mets aux voix l’article 10 bis.

(Larticle 10 bis est adopté.)

Chapitre IV

Dispositions relatives à certaines catégories particulières de traitements

Article 10 bis
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 13

Article 11

I. – L’article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° A (Supprimé)

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être mis en œuvre, sous le contrôle de l’autorité publique, que » ;

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice agréées à cette fin dans les conditions fixées par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités. Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;

5° Il est ajouté un II ainsi rédigé :

« II. – Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

« La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. »

II. – Le deuxième alinéa de l’article L. 111-13 du code de l’organisation judiciaire est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des greffiers, des parties et des agents de la police nationale ou de la gendarmerie nationale cités dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions. »

III. – Le troisième alinéa de l’article L. 10 du code de justice administrative est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des parties, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions. »

Mme la présidente. L’amendement n° 18, présenté par M. de Belenet et les membres du groupe La République En Marche, est ainsi libellé :

Alinéa 6, troisième et dernière phrases

Supprimer ces phrases.

La parole est à M. Arnaud de Belenet.

M. Arnaud de Belenet. Madame la présidente, je constate que cet amendement comme les cinq suivants ont été évoqués en commission des lois voilà quinze jours, puis de nouveau aujourd’hui à quatorze heures. Ils ont tous fait l’objet d’un avis défavorable réitéré, à mon grand désespoir.

M. Philippe Dallier. Quel dommage !

M. Arnaud de Belenet. Oui, car ils sont parfois très pertinents !

Comme je ne veux ni alourdir la procédure de manière injustifiée, ni abuser de mon droit d’amendement, ni prolonger excessivement nos débats – je pourrai peut-être, au passage, m’épargner quelques sarcasmes exprimés en off qui me sont désagréables et que je ne suis pas enclin à supporter aujourd’hui –, je retire tous mes amendements.

Mme la présidente. L’amendement n° 18 est retiré.

Je mets aux voix l’article 11.

(Larticle 11 est adopté.)

˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙

Article 11
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 13 ter

Article 13

I. – Le chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« CHAPITRE IX

« Traitements de données à caractère personnel dans le domaine de la santé

« Section 1

« Dispositions générales

« Art. 53. – Outre aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à l’exception des catégories de traitements suivantes :

« 1° Les traitements relevant des 1° à 6° du II de l’article 8 ;

« 2° Les traitements permettant d’effectuer des études à partir des données recueillies en application du 6° du même II lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

« 3° Les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques ;

« 4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du code de la santé publique ;

« 5° Les traitements effectués par les agences régionales de santé, par l’État et par la personne publique qu’il désigne en application du premier alinéa de l’article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8.

« Art. 54. – I. – Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public.

« II. – Des référentiels et règlements types, au sens des a bis et b du 2° du I de l’article 11, s’appliquant aux traitements relevant du présent chapitre sont établis par la Commission nationale de l’informatique et des libertés, en concertation avec l’Institut national des données de santé mentionné à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

« Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.

« Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d’impact sur la vie privée.

« III. – Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés.

« IV. – La Commission nationale de l’informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

« V. – La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l’Institut national des données de santé est saisi en application du second alinéa de l’article 61.

« Lorsque la Commission nationale de l’informatique et des libertés ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée acceptée. Cette disposition n’est toutefois pas applicable si l’autorisation fait l’objet d’un avis préalable en application de la section 2 du présent chapitre et que l’avis ou les avis rendus ne sont pas expressément favorables.

« Art. 55. – Par dérogation à l’article 54, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

« Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques sont mis en œuvre dans les conditions prévues à l’article 22 de la présente loi.

« Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au-delà de ce délai.

« Art. 56. – Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé en application de l’article 54 les données à caractère personnel qu’ils détiennent.

« Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

« Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible.

« Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du code pénal.

« Art. 57. – Toute personne a le droit de s’opposer à ce que des données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l’article 53.

« Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit.

« Art. 58. – Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

« Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l’article L. 1111-2 du code de la santé publique d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic.

« Art. 59. – Sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou la personne chargée d’une mission de représentation dans le cadre d’une tutelle, d’une habilitation familiale ou d’un mandat de protection future, pour les majeurs protégés dont l’état ne leur permet pas de prendre seuls une décision personnelle éclairée.

« Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l’exercice ultérieur, par chaque titulaire de l’exercice de l’autorité parentale, des droits mentionnés au premier alinéa.

« Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

« Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits.

« Art. 60. – Une information relative aux dispositions du présent chapitre doit notamment être assurée dans tout établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement mentionné au présent chapitre.

« Section 2

« Dispositions particulières relatives aux traitements à des fins de recherche, détude ou dévaluation dans le domaine de la santé

« Art. 61. – Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la section 1 du présent chapitre, sous réserve de la présente section.

« L’Institut national des données de santé mentionné à l’article L. 1462-1 du code de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d’État, par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé sur le caractère d’intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.

« Art. 62. – Au titre des référentiels mentionnés au II de l’article 54 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l’informatique et des libertés. Elles sont établies en concertation avec l’Institut national des données de santé mentionné à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

« Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l’article 54 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité.

« Art. 62-1. – Dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n’est pas applicable aux recherches réalisées en application de l’article L. 1131-1-1 du code de la santé publique.

« Art. 63. – L’autorisation du traitement est accordée par la Commission nationale de l’informatique et des libertés dans les conditions définies à l’article 54, après avis :

« 1° Du comité compétent de protection des personnes mentionné à l’article L. 1123-6 du code de la santé publique, pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine mentionnées à l’article L. 1121-1 du même code ;

« 2° Du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité d’expertise sont soumis à l’article L. 1451-1 du code de la santé publique.

« Les dossiers présentés dans le cadre de la présente section, à l’exclusion des recherches impliquant la personne humaine, sont déposés auprès d’un secrétariat unique assuré par l’Institut national des données de santé, qui assure leur orientation vers les instances compétentes.

« Art. 64. – Dans le respect des missions et des pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation ainsi que sur les systèmes composant le système national des données de santé.

« Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d’assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l’Institut national des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, y assiste en tant qu’observateur.

« Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.

« Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

« Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.

« Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.

« Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.

« Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.

« Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit, qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique.

« En cas d’urgence, le directeur général de la Caisse nationale d’assurance maladie peut suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’il dispose d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.

« Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l’audit. »

II. – (Non modifié) Le code de la santé publique est ainsi modifié :

1° Au 7° de l’article L. 1122-1, la référence : « 57 » est remplacée par la référence : « 58 » ;

2° Au treizième alinéa de l’article L. 1123-7, la référence : « au I de l’article 54 » est remplacée par la référence : « à l’article 61 » ;

3° Au second alinéa du IV de l’article L. 1124-1, la référence : « du II de l’article 54 » est remplacée par la référence : « de l’article 63 » ;

4° Au 6° de l’article L. 1461-7, la référence : « 56 » est remplacée par la référence : « 57 » ;

5° La seconde phrase du sixième alinéa de l’article L. 6113-7 est ainsi rédigée : « Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale, en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret. »