L'essentiel :

1. Les trois modifications du règlement intérieur ci-après présentées visent à renforcer la cohérence globale du texte et à clarifier les pratiques internes.
2. La première modification simplifie et actualise la partie du règlement intérieur dédiée aux formalités préalables en matière de protection des données personnelles afin d'alléger les procédures et d'offrir une relation plus souple avec les usagers.
3. La deuxième modification explicite que les doubles séances de l'assemblée plénière sont comptabilisées comme deux séances distinctes pour les vacations.
4. La troisième modification met à jour l'article 23 de la charte de déontologie de la CNIL, afin d'aligner la protection des lanceurs d'alerte sur les dernières évolutions législatives et de renforcer leur sécurité juridique.

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 12 ;
Vu la loi n° 2017-55 du 20 janvier 2017 modifiée portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, notamment son article 14 ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la délibération n° 2021-095 du 17 juin 2021 portant modification du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Sur proposition de Mme Marie-Laure Denis, présidente, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Décide :

Le chapitre III de l'annexe à la délibération n° 2013-175 du 4 juillet 2013 est remplacé par les dispositions suivantes :

« Chapitre III
« Formalités préalables

« La présente section porte sur les formalités préalables, à l'exception des consultations préalables de la Commission en application de l'article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et de l'article 90 de la loi du 6 janvier 1978.

« Art. 20. - Vérification de la régularité des formalités.
« Les services de la Commission vérifient que le dossier de formalités transmis est complet. Tout dossier de formalités incomplet fait l'objet d'une demande de compléments adressée au demandeur par voie postale ou électronique, indiquant les documents ou informations manquants et exigés par la réglementation.
« Les demandes de complément peuvent fixer un délai pour la production de documents ou informations requis. En l'absence de réponse, le dossier peut être clôturé.
« En cas d'erreur sur le régime de formalités appliqué par le responsable de traitement, celui-ci est invité à accomplir la formalité requise.
« Conformément à l'article L. 114-5 du code des relations entre le public et l'administration, les délais ne courent qu'à partir du moment où le dossier est complet.
« Concernant les traitements autorisés par un acte réglementaire unique prévus au IV de l'article 31 de la loi du 6 janvier 1978, le responsable de traitement adresse à la Commission un engagement de conformité pour chacun de ses traitements couverts par l'acte réglementaire unique. L'engagement de conformité peut être accompagné de pièces complémentaires si nécessaire. Si le dossier est complet, les services de la Commission envoient au responsable un récépissé.
« Concernant les déclarations de conformité aux référentiels visées à l'article 66 de la loi du 6 janvier 1978, un récépissé de dépôt de la déclaration est adressé au demandeur.

« Art. 21. - Modalités d'instruction.
« Les services de la Commission instruisent les dossiers de formalités préalables. Dans le cadre de l'instruction d'un dossier, le président, le rapporteur ou les services peuvent adresser une demande de compléments d'informations, demander communication de toutes pièces utiles et entendre toute personne susceptible de fournir les informations nécessaires.
« En cas d'absence de réponse ou si les réponses apportées ne sont pas satisfaisantes, la Commission peut être amenée à refuser la mise en œuvre du traitement, le cas échéant.

« Art. 22. - Modification ou suppression d'un traitement.
« Toute suppression de traitement nécessitant des formalités préalables, à l'exception des consultations préalables de la Commission en application de l'article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et de l'article 90 de la loi du 6 janvier 1978, est portée à la connaissance de la Commission par écrit, y compris par voie électronique, avec la mention de son numéro d'enregistrement ; la Commission adresse alors au responsable de traitement un récépissé de suppression.
« Les modifications de traitement sont portées à la connaissance de la Commission dans les mêmes conditions. Lorsque la Commission considère qu'un traitement relevant de la procédure de demande d'avis ou d'autorisation est affecté par une modification substantielle, le traitement ainsi modifié est de nouveau soumis aux formalités applicables. »

L'article 79 du chapitre XIII de l'annexe à la délibération n° 2013-175 du 4 juillet 2013 est complété par un alinéa ainsi rédigé :
« Une séance de la formation plénière de la commission correspond à une demi-journée indemnisée. Lorsque la formation plénière se réunit une journée entière à l'occasion d'une double-séance, la participation effective des membres de la commission donne lieu au versement de deux demi-journées indemnisées. »

L'article 23 de la charte visée à l'article préliminaire de l'annexe à la délibération n° 2013-175 du 4 juillet 2013 et annexée au règlement intérieur de la commission est abrogé et remplacé par les dispositions suivantes :

« Art. 23. - Protection des lanceurs d'alerte.
« La commission assure la protection des agents qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi, des informations dont ils estiment qu'elles entrent dans le champ d'application de l'alerte au sens des dispositions légales applicables. Aucun agent ne peut faire l'objet de mesures de représailles pour avoir signalé une alerte dans les conditions prévues par lesdites dispositions, y compris lorsque les faits signalés s'avèrent inexacts ou ne donnent lieu à aucune suite.
« Aucune mesure de nature professionnelle, au sens des dispositions légales, ne peut être prise à l'égard d'un agent de la commission pour avoir signalé ou témoigné, de bonne foi, aux autorités judiciaires ou administratives de faits constitutifs d'un délit, d'un crime ou susceptibles d'être qualifiés de conflit d'intérêts dont il aurait eu connaissance dans l'exercice de ses fonctions.
« Une procédure, mise à disposition de tous les agents de la commission, prévoit les modalités de recueil et de traitement de ces signalements, dans le respect des dispositions légales applicables. Elle précise notamment le rôle du référent déontologue dans la procédure de signalement et les conditions dans lesquelles est garantie la stricte confidentialité de l'auteur du signalement, des faits signalés et des personnes visées par le signalement. »

La présidente et le secrétaire général de la Commission nationale de l'informatique et des libertés sont chargés, chacun en ce qui le concerne, de l'exécution de la présente décision, qui sera publiée au Journal officiel de la République française