Voir le sommaire du texte consolidé
Titre IER : DISPOSITIONS COMMUNES (Articles 1 à 70)
Chapitre Ier : La Commission nationale de l'informatique et des libertés (Articles 1 à 60)
Section 1 : Composition et fonctionnement (Articles 1 à 15)
Section 2 : Contrôle de la mise en œuvre des traitements (Articles 16 à 37)
Sous-section 1 : Dispositions générales relatives à l'habilitation (Articles 16 à 22)
Sous-section 2 : Dispositions particulières relatives à l'habilitation des agents, des membres de la commission et les personnes lui prêtant leur concours pour les traitements relevant de l'article 31 de la loi du 6 janvier 1978 (Articles 23 à 24)
Sous-section 3 : Le contrôle sur place (Articles 25 à 32)
Sous-section 4 : Le contrôle en ligne (Article 33)
Sous-section 5 : L'audition sur convocation (Article 34)
Sous-section 6 : Le recours à des experts (Articles 35 à 36)
Sous-section 7 : Secret professionnel (Article 37)
Section 3 : Mesure correctrices et astreintes (Articles 38 à 47-1)
Sous-section 1 : La procédure en matière de mise en demeure (Article 38)
Sous-section 2 : La procédure ordinaire en matière de mesures correctrices prononcées par la formation restreinte (Articles 39 à 45)
Sous-section 3 : La procédure simplifiée (Articles 45-1 à 45-2)
Sous-section 4 : La procédure d'urgence (Articles 46 à 47)
Sous-section 5 : La procédure d'injonction de produire (Article 47-1)
Section 4 : Coopération (Articles 48 à 60)
Sous-section 1 : Dispositions communes (Articles 49 à 50)
Sous-section 2 : La Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle chef de file (Articles 51 à 56)
Sous-section 3 : La Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle concernée (Article 57)
Sous-section 4 : Procédure en cas de circonstances exceptionnelles (Articles 58 à 60)
Chapitre II : Formalités préalables à la mise en œuvre des traitements (Articles 61 à 70)
Titre II : TRAITEMENTS RELEVANT DU RÉGIME DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PRÉVUE PAR LE RÈGLEMENT (UE) 2016/679 DU 27 AVRIL 2016 (Articles 71 à 128)
Chapitre Ier : Dispositions générales (Articles 72 à 76)
Chapitre II : Droits de la personne concernée (Articles 77 à 81)
Chapitre III : Obligations incombant au responsable du traitement et au sous-traitant (Articles 82 à 116)
Section 1 : Obligations générales (Articles 82 à 85)
Section 2 : Traitements de données à caractère personnel dans le domaine de la santé (Articles 86 à 115)
Sous-section 1 : Dispositions générales (Articles 86 à 87)
Sous-section 2 : Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé (Articles 88 à 107)
Paragraphe 1 : Présentation et instruction des demandes d'autorisations de traitements (Articles 88 à 92)
Paragraphe 2 : Composition et fonctionnement du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) (Articles 93 à 100)
Paragraphe 3 : Composition et fonctionnement du comité d'audit du système national des données de santé (Articles 101 à 106)
Paragraphe 4 : Composition et fonctionnement des comités de protection des personnes (Article 107)
Sous-section 3 : Procédures simplifiées (Articles 108 à 110)
Sous-section 4 : Modalités d'information des personnes concernées (Articles 112 à 115)
Section 3 : Traitements aux fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (Article 116)
Chapitre IV : Droits et obligations propres aux traitements dans le secteur des communications électroniques (Articles 117 à 122)
Chapitre V : Dispositions régissant les traitements de données à caractère personnel relatives aux personnes décédées (Articles 123 à 124)
Chapitre VI : Des transferts de données à caractère personnel vers les États n'appartenant pas à l'Union européenne (Articles 125 à 128)
Titre III : DISPOSITIONS APPLICABLES AUX TRAITEMENTS RELEVANT DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL (Articles 129 à 139)
Chapitre Ier : Dispositions générales (Articles 129 à 132)
Chapitre II : Obligations incombant aux autorités compétentes, aux responsables de traitement de données à caractère personnel et aux sous-traitants (Article 133)
Chapitre III : Droits de la personne concernée (Articles 134 à 137)
Chapitre IV : De la coopération (Article 138)
Chapitre V : Transferts de données à caractère personnel vers des États n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des États n'appartenant pas à l'Union européenne (Article 139)
Titre IV : DISPOSITIONS APPLICABLES AUX TRAITEMENTS INTÉRESSANT LA SÛRETÉ DE L'ÉTAT ET LA DÉFENSE (Articles 140 à 151)
Sous-section 1 : Exercice des droits auprès de la Commission nationale de l'informatique et des libertés (Articles 141 à 143)
Sous-section 2 : Exercice des droits auprès du responsable du traitement (Articles 144 à 146)
Sous-section 3 : Information des personnes concernées (Articles 147 à 148)
Sous-section 4 : Conditions d'exercice du droit d'opposition, du droit d'accès et du droit de rectification (Articles 149 à 151)
Titre V : DISPOSITIONS RELATIVES À L'OUTRE-MER (Articles 152 à 155)
Titre VI : DISPOSITIONS DIVERSES ET FINALES (Articles 156 à 160)
Article 119
Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019
La notification d'une violation des données à caractère personnel prévue au deuxième alinéa du II de l'article 83 de la loi du 6 janvier 1978 est adressée à la personne intéressée par tout moyen permettant au fournisseur de services de communications électroniques accessibles au public d'apporter la preuve de l'accomplissement de cette formalité. Cette notification précise la nature de la violation de données à caractère personnel, les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ainsi que les mesures que le fournisseur recommande à la personne intéressée de prendre pour atténuer les conséquences négatives de cette violation.
Cette notification n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que les mesures de protection appropriées au sens de l'article 120 et sur lesquelles elle s'est prononcée dans les conditions prévues aux articles 121 et 122 ont été mises en œuvre par le fournisseur et efficacement appliquées aux données concernées par cette violation.