Après l'article 6-1, sont insérés huit articles ainsi rédigés :
« Art. 6-2.-En vue de faciliter l'introduction des réclamations visées au c du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la commission fournit notamment un formulaire de réclamation pouvant être rempli par voie électronique.
« Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet.
« Art. 6-3.-L'accomplissement des missions de la commission est gratuit pour la personne concernée et pour le délégué à la protection des données.
« Toutefois, lorsqu'une demande est manifestement infondée ou excessive en raison notamment de son caractère répétitif, la commission peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. En cas de contestation, la charge de la preuve du caractère manifestement infondé ou excessif de la demande incombe à la commission.
« Art. 6-4.-Les listes de traitements établies par la commission en application des 4 et 5 de l'article 35 du règlement (UE) 2016/679 du 27 avril 2016 précité et du i du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée sont publiées au Journal officiel de la République française.
« Art. 6-5.-La Commission nationale de l'informatique et des libertés contribue aux activités du comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 précité.
« Art. 6-6.-En application de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 précité, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants soumettent un projet de code de conduite, une modification ou une prorogation d'un code existant à la Commission nationale de l'informatique et des libertés.
« La commission approuve ce projet de code, cette modification ou cette prorogation dans un délai de quatre mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
« Si la commission saisit, en application du 7 de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à la notification de l'avis rendu par ce comité ou, le cas échéant, de la décision prise par la Commission européenne, en application des règles relatives au mécanisme de contrôle de la cohérence. La commission informe le demandeur de cette saisine et des suites de celle-ci.
« Art. 6-7.-Lorsque la Commission nationale de l'informatique et des libertés est saisie d'une demande d'approbation de règles d'entreprises contraignantes mentionnées à l'article 47 du règlement (UE) 2016/679 du 27 avril 2016 précité, elle communique un projet de décision au comité européen de la protection des données mentionné à l'article 68 du même règlement dans un délai de quatre mois. Ce délai peut être prorogé de deux mois supplémentaires sur décision de son président. La commission informe le demandeur de cette transmission.
« Après réception de l'avis du comité européen de la protection des données en vertu de l'article 64 du règlement (UE) 2016/679 du 27 avril 2016 précité ou, le cas échéant, après la mise en œuvre de la procédure de règlement des litiges par le comité en application de l'article 65 du même règlement, la commission se prononce sur la demande dans un délai d'un mois. Lorsque la commission ne s'est pas prononcée dans ce délai, la demande est réputée rejetée.
« Art. 6-8.-I.-Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au f bis du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.
« La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.
« Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.
« II.-Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.
« La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
« Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement précité. La commission informe le demandeur de cette saisine et des suites de celle-ci.
« Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.
« III.-Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.
« Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.
« Art. 6-9.-Si la commission saisit le comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 précité en dehors des délais prévus aux articles 6-6,6-7 et 6-8, elle rend une décision au plus tard un mois après la notification de la décision du comité. »