Après le chapitre Ier du titre VI du décret du 20 octobre 2005 susvisé, il est inséré un chapitre Ier bis intitulé : « Procédure d'information sur les mesures de protection appropriées » au sein duquel sont insérés les articles 91-3 à 91-5 ainsi rédigés :
« Art. 91-3.-Constitue une mesure de protection appropriée, au sens de l'article 34 bis de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.
« Art. 91-4.-Pour informer la Commission nationale de l'informatique et des libertés des mesures de protection qu'il met en œuvre et qu'il a appliquées au cas particulier, le fournisseur lui adresse, par tout moyen permettant d'apporter la preuve de leur notification, les informations suivantes :
« 1° Les nom, prénom, adresse et coordonnées téléphoniques du responsable du traitement ;
« 2° La description des mesures de protection ;
« 3° Les dispositions prévues et appliquées pour conférer une pleine efficacité à ces mesures ;
« 4° Le cas échéant, les références du dossier de formalités accomplies auprès de la commission préalablement à la mise en œuvre du traitement considéré ;
« 5° L'accomplissement ou non de la formalité de notification prévue à la personne intéressée par l'article 91-2 et, dans la négative, les raisons justifiant l'absence de notification. »
« Art. 91-5.-La Commission nationale de l'informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.
« Le silence gardé par la commission au terme de ce délai vaut constat de non-application au cas particulier des mesures de protection appropriées et emporte pour le fournisseur, s'il n'a pas déjà averti la personne intéressée, l'obligation de procéder à la notification prévue à l'article 91-2. Ce délai ne court qu'à compter de la réception complète des informations prévues à l'article 91-4. »
« Si le fournisseur n'a pas déjà averti la personne intéressée de la violation de ces données en application de l'article 91-2, la commission peut en outre, lorsqu'elle estime la violation grave, mettre le fournisseur en demeure de l'informer en application du dernier alinéa du II de l'article 34 bis de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois. »