Accueil > Documents parlementaires > Projets de loi > Etude d'impact
Version PDF
Retour vers le dossier législatif

arianne_couleur

ETUDE D’IMPACT

PROJET DE LOI

relatif à la protection des données personnelles

NOR : JUSC1732261L/Bleue-1

12 décembre 2017

TABLE DES MATIÈRES

Introduction générale 11

Tableau récapitulatif des textes d’application du projet de loi 16

Tableau synoptique des consultations obligatoires 18

Article 1er

MISSIONS DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES 19

1. Etat des lieux et diagnostic 19

2. Objectifs poursuivis et nécessité de légiferer 24

3. Options envisagées 25

4. Analyse des impacts de la disposition envisagée 28

5. Consultation et modalités d’application 30

Articles 2 et 3

COMMISSAIRE DU GOUVERNEMENT ET MEMBRES DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES 31

1. ETAT DES LIEUX ET DIAGNOSTIC 31

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER 33

3. OPTIONS 34

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 36

4.1. IMPACTS JURIDIQUES 36

4.2. IMPACTS SUR LES PARTICULIERS 36

5. Consultation 36

Article 4

POUVOIRS DE CONTRÔLE DE LA CNIL 37

1. Etat des lieux et diagnostic 37

1.1. Etat des lieux 37

1.2. Cadre constitutionnel 38

1.3. Cadre conventionnel 38

1.4 Éléments de droit comparé 40

2. Objectifs poursuivis et necessite de légiferer 40

2.1. Objectifs poursuivis 40

2.2. Nécessité de légiférer 40

3. Options 40

4. analyse des impacts de la disposition envisagée 44

5. Consultation et modalités d’application 44

Article 5

PROCÉDURE DE COOPÉRATION DE LA CNIL AVEC LES AUTRES AUTORITÉS DE CONTRÔLE 45

1. Etat des lieux et diagnostic 45

1.1. Etat des lieux 45

1.2. Cadre constitutionnel 45

1.3. Cadre conventionnel 47

1.4 Éléments de droit comparé 48

2. Objectifs poursuivis et nécessite de legiferer 48

2.1. Objectifs poursuivis 48

2.2. Nécessité de legiferer 48

3. Options 48

4. Analyse des impacts de la disposition envisagée 51

5. Consultation et modalités d’application 51

Article 6

MESURES CORRECTRICES ET SANCTIONS 53

1. Etat des lieux et diagnostic 53

1.1. Etat des lieux 53

1.2. Cadre constitutionnel 54

1.3. Cadre conventionnel 55

1.4. Eléments de droit comparé 55

2. Objectifs poursuivis et necessite de légiferer 56

2.1. Objectifs poursuivis 56

2.2. Nécessité de legiferer 57

3. Options 57

4. analyse des impacts de la disposition envisagée 61

4.1. Impacts juridiques 61

4.2. Impacts sur les services judiciaires 61

4.3. Impacts sur les finances publiques 61

4.4. Impacts sur les collectivités territoriales 62

4.5. Impacts sur les particuliers 62

4.6. Impacts sur les entreprises 62

5. Consultations et modalités d’application 62

Article 7

DONNÉES SENSIBLES 64

1. DIAGNOSTIC 64

1.1. ETAT DES LIEUX 64

1.2. CADRE CONSTITUTIONNEL 65

1.3. CADRE CONVENTIONNEL 66

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER 66

2.1. OBJECTIFS POURSUIVIS 66

2.2. NECESSITE DE LEGIFERER 66

3. OPTIONS 67

4. ANALYSE DES IMPACTS DE LA DISPOSITION ENVISAGÉE 68

4.1. IMPACTS JURIDIQUES 68

4.2. IMPACTS SUR LES PARTICULIERS 68

5. Consultation 69

Article 8

CRITERE D’APPLICATION DU DROIT 70

1. Etat des lieux et diagnostic 70

1.1. Etat des lieux 70

1.2. Cadre conventionnel 72

1.3. Eléments de droit comparé 72

2. Objectifs et necessite de legiferer 73

2.1. Objectifs poursuivis 73

2.2. Nécessité de legiferer 74

3. Options 74

4. analyse des impacts de la disposition envisagée 77

4.1. Impacts juridiques 77

4.2. Impacts sur les particuliers 77

4.3. Impact sur les entreprises 77

5. Consultation 77

Article 9

ALLEGEMENT DES FORMALITES PREALABLES 78

1. Etat des lieux et diagnostic 78

1.1. Etat des lieux 78

1.2. Cadre constitutionnel 87

1.3. Cadre conventionnel 87

2.1. Objectifs poursuivis 89

2.2. Nécessité de legiferer 89

3. Options 90

4. Analyse des impacts de la disposition envisagée 94

4.1. Impacts juridiques 94

4.2. Impacts sur les services judiciaires 95

4.3. Impacts sur les collectivités territoriales 95

4.4. Impact sur les entreprises 95

5. Consultations et modalités d’application 96

5.1. Consultations 96

5.2. modalités d’application 97

Article 10

SOUS-TRAITANT 98

1. etat des lieux et Diagnostic 98

1.1. Etat des lieux 98

1.2. Cadre conventionnel 99

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER 99

2.1. Objectifs poursuivis 99

2.2. Nécessité de legiferer 99

3. Options 100

4. ANALYSE DES IMPACTS DE LA DISPOSITION ENVISAGÉE 100

4.1. Impacts juridiques 100

4.2. Impacts sur les particuliers 100

4.3. Impacts sur les collectivités territoriales 101

4.4. Impact sur les entreprises 101

5. Consultation 101

Article 11

DONNEES D’INFRACTION 102

1. Etat des lieux et diagnostic 102

1.1. Etat des lieux 102

1.2. Cadre constitutionnel 102

1.3. Cadre conventionnel 104

1.4. Eléments de droit comparé 105

2. Objectifs et necessite de legiferer 105

2.1. Objectifs poursuivis 105

2.2. Nécessité de legiferer 106

3. Options 107

4. Analyse des Impacts de la disposition envisagée 109

4.1. Impacts juridiques 109

4.2. Impacts sur les services judiciaires 109

4.3. Impacts sur les particuliers 110

4.4. Impact sur les entreprises 110

5. Consultation et modalités d’application 110

Article 12

TRAITEMENTS ARCHIVISTIQUES 111

1. Cadre général 111

1.1. Etat des lieux et diagnostic 111

1.2. Cadre constitutionnel 111

1.3. Cadre conventionnel 112

2. Objectifs et necessite de legiferer 113

2.1. Objectifs poursuivis 113

2.2. Nécessité de legiferer 114

3. Options 115

4. analyse des impacts de la disposition envisagée 116

4.1. Impacts juridiques 116

4.2. Impact sur les finances publiques 116

4.3. Impacts sur les particuliers 116

4.4. Impacts sur les collectivités territoriales 116

4.5. Impact sur les entreprises 116

5. Consultations et modalités d’application 116

Article 13

TRAITEMENTS DE DONNEES DE SANTE 117

1. Etat des lieux et diagnostic 117

1.1. Etat des lieux 117

1.2. Diagnostic 120

2. Objectifs poursuivis et necessite de legiferer 120

2.1. Objectifs poursuivis 120

2.2. Nécessité de légiférer 121

3. Options et dispositif retenus 121

3.1. Options écartées 121

3.2. Option retenue 121

4. Analyse des impacts de la disposition envisagée 122

5. Consultation et modalités d’application 122

ARTICLE 14

DECISION ADMINISTRATIVE AUTOMATISEE 124

1. Etat des lieux et diagnostic 124

1.1. Etat des lieux 124

1.2. Cadre constitutionnel 125

1.3. Cadre conventionnel 125

1.4. Eléments de droit comparé 127

2. Objectifs poursuivis et nécessité de légiférer 127

2.1 Objectifs poursuivis 127

2.2 Nécessité de légiférer 128

3. Options 129

4. Analyse des impacts de la disposition envisagée 130

4.1. Impacts juridiques 130

4.2. Impact sur les finances publiques 130

4.3. Impacts sur les collectivités territoriales 131

4.5. Impact sur l’égalité entre les femmes et les hommes et sur les personnes handicapées 131

5. Consultations 131

Article 15

LIMITATION DES DROITS 132

1. Etat des lieux et diagnostic 132

1.1. Etat des lieux 132

1.2. Cadre conventionnel 133

2. Objectifs poursuvis et necessite de légiferer 134

2.1 Objectifs poursuivis 134

2.2 Nécessité de legiferer 134

3. Options 135

4. Analyse des impacts de la disposition envisagée 136

5. Consultations et modalités d’application 136

Articles 16 et 17

MODALITES D’EXERCICE DES VOIES DE RECOURS 137

1. Etat des lieux et Diagnostic 137

1.1. Etat des lieux 137

1.2. Cadre constitutionnel 139

1.3. Cadre conventionnel 139

1.4. Eléments de droit comparé 141

2. Objectifs et necessite de legiferer 141

2.1 Objectifs poursuivis 141

2.2 Nécessité de legiferer 142

3. Options 142

4. Analyse des impacts des dispositions envisagées 146

4.1. Impacts juridiques 146

4.2. Impacts sur les services judiciaires 146

4.3 Impacts sur les particuliers 146

4.4 Impact sur les entreprises 147

5. Consultations 147

Articles 18 ET 19

PRESENTATION GENERALE ET Définitions 148

1. Etat des lieux et diagnostic 148

1.1. genese de la directive 148

1.1.1. historique de l’elaboration de la directive 148

1.1.2. négociations 149

1.1.2.1.position française lors des negociations 149

1.1.2.2. position des autres états membres lors des negociations 150

1.2. contenu de la directive 151

1.3. conformité au droit national 153

2. objectifs et nécessité de légiférer 154

2.1. objectifs poursuivis 154

2.2 nécessite de légiférer 155

3. options 155

4. analyse des impacts des dispositions envisagées 157

5. consultation et modalités d’application 157

ARTICLE 19 Section 1

DISPOSITIONS GENERALES 159

1. Etat des lieux 159

1.2. Cadre constitutionnel 168

1.3. Cadre conventionnel 168

2. Objectifs poursuivis et necessite de legiferer 170

2.1 Objectifs poursuivis 170

2.2 Nécessité de légiférer 173

3. Options 173

4. analyse des impacts de la disposition envisagée 176

5. CONSULTATION ET MODALITÉS D’APPLICATION 176

ARTICLE 19 Section 2

OBLIGATIONS INCOMBANT AUX AUTORITES COMPETENTES ET AUX RESPONSABLES DE TRAITEMENT 177

1. Etat des lieux et diagnostic 177

1.1. Etat des lieux 177

1.2. Cadre constitutionnel 184

1.3. Cadre conventionnel 184

2. Objectifs poursuivis et necessite de legiferer 185

2.1 Objectifs poursuivis 185

2.2 Nécessité de legiférer 188

3. Options 189

4. analyse des impacts de la disposition envisagée 190

4.1 Impacts juridiques 190

4.2. Impacts sur les services judiciaires et autres traitements existants 190

5. CONSULTATION ET MODALITÉS D’APPLICATION 191

ARTICLE 18 et Article 19 Section 3

DROITS DE LA PERSONNE CONCERNÉE 192

1. Etat des lieux et diagnostic 192

1.2. Cadre constitutionnel 200

1.3. Cadre conventionnel 201

2. Objectifs poursuivis et necessite de legiferer 202

2.1 Objectifs poursuivis 202

2.2 Nécessité de légiférer 204

3. Options 205

4. analyse des Impacts de la disposition envisagée 209

4.1. Impacts juridiques 209

4.2. Impacts sur les services judiciaires et sur les administrations publiques 209

4.3. Impact sur les finances publiques 209

4.4. Impacts sur les particuliers 210

5. CONSULTATION ET MODALITÉS D’APPLICATION 210

ARTICLE 19 SECTION 4

TRANSFERTS INTERNATIONAUX 211

1. Etat des lieux et diagnostic 211

2. Objectifs poursuivis et necessite de legiferer 216

3. Options 216

4. Analyse des impacts des dispositions envisagées 217

5. CONSULTATION ET MODALITÉS D’APPLICATION 217

Article 20 218

1. Etat des lieux et diagnostic 218

1.1. Etat des lieux 218

1.2. Cadre constitutionnel 219

2. Objectifs poursuivis et necessite de legiferer 219

2.1 Objectifs poursuivis 219

2.2 Nécessité de legiferer 220

3. Options 220

4. Analyse des impacts de la disposition envisagée 221

4.1 Impacts juridiques 221

4.2 Impacts sur les particuliers 222

4.3 Impacts sur les entreprises 222

5. Consultation et modalités d’application 222

5.1. Consultation 222

5.2. Modalités d’application 223

Article 22 224

1. Etat de lieux et diagnostic 224

1.1. Etat des lieux 224

1.2 Cadre conventionnel 225

2. Objectifs poursuivis et necessite de legiferer 225

2.1 Objectifs poursuivis 225

2.2 Nécessité de legiferer 225

3. Options 226

4. Analyse des impacts de la disposition envisagée 226

4.1. Impacts juridiques 226

4.2 Impacts sur les particuliers 227

4.3 Impact sur les entreprises 227

5. Consultation 227

Article 23

MODIFICATION DE L’ARTICLE 230-8 DU CODE DE PROCEDURE PENALE 228

1. ETAT DES LIEUX ET DIAGNOSTIC 228

2. OBJECTIFS ET NECESSITE DE LEGIFERER 234

2.1 OBJECTIFS POURSUIVIS 234

2.2 NÉCESSITÉ DE LEGIFERER 234

3. OPTIONS 236

4. ANALYSE DES IMPACTS DE LA DISPOSITION ENVISAGÉE 237

4.1. IMPACTS JURIDIQUES 237

4.2. IMPACTS SUR LES SERVICES JUDICIAIRES 237

4.3. IMPACTS SUR LES PARTICULIERS 237

5. CONSULTATION ET MODALITÉS D’APPLICATION 239

Article 24 240

Annexe

Tableau de concordance entre les dispositions de la directive et celles de la loi de 1978 245

Annexe

Tableau comparatif 363

INTRODUCTION GENERALE

1. Constituant l’une des dimensions du droit au respect de la vie privée, la protection des données à caractère personnel est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8).

La France a toujours été attentive à cette question et a le plus souvent été pionnière. Après avoir été l'un des premiers pays de l'Union européenne à se doter d'une législation globale de protection des données à caractère personnel, avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et d’une autorité de contrôle chargée de veiller à son respect, la Commission nationale de l'informatique et des libertés), notre pays a su, dès 2004 retenir une approche permettant de responsabiliser les organismes mettant en œuvre des traitements de données.

Par le recours au correspondant à la protection des données à caractère personnel ou en confiant de nouvelles missions à la Commission nationale de l'informatique et des libertés comme la certification, l'homologation, la labellisation et la promotion de l'utilisation de technologies protectrices de la vie privée, la France a permis aux différents organismes d'évoluer dans un environnement leur assurant la sécurité juridique tout en protégeant les droits fondamentaux.

2. La protection des données à caractère personnel revêt une dimension particulière depuis l’avènement de l’ère du numérique. Le partage et la collecte de telles données connaissent en effet un développement spectaculaire. C’est par ce biais que les nouvelles technologies transforment aujourd’hui profondément notre l'économie et les rapports sociaux.

Dans le même temps, la protection des données à caractère personnel constitue un motif de préoccupation croissante chez nos concitoyens ; étant entendu qu’une telle préoccupation est largement partagée en Europe. En 2017, 85% des Français se disent ainsi préoccupés par la protection de leurs données personnelles en général, soit une augmentation de quatre points par rapport à 2014. Une question qui suscite encore plus d’inquiétude dès lors qu’il s’agit de la protection des données sur Internet : 90% des personnes interrogées se disent préoccupés pour leurs données mises en ligne, ce qui représente cinq points de progression par rapport à en 20141.

3. Devant de telles transformations, il était nécessaire que l’Union européenne prenne les dispositions nécessaires. Dans ce contexte, la Commission européenne a présenté, en janvier 2012 deux projets distincts définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel2. La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

d’un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679). Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.

Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978. Il renforce ainsi notamment le droit d'information des personnes, qui disposeront d'informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l'oubli », droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d'un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.

Un tel changement de paradigme, reposant sur une logique de responsabilisation des organismes mettant en œuvre des traitements, nécessite une évolution des missions et pouvoirs de l'ensemble des autorités de protection des données de l'Union européenne, la Commission nationale de l'informatique et des libertés en France.

En contrepartie, la Commission nationale de l’informatique et des libertés voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'organisme concerné.

Dans ce nouvel environnement juridique, la Commission nationale de l'informatique et des libertés devra accompagner plus encore les acteurs. Il s’agit également de créer un cadre juridique sécurisé pour les opérateurs compatible avec la volonté d’attractivité économique de notre territoire.

Les autorités de contrôle devront également coopérer afin de parvenir à une position commune unique pour toute l'Union européenne, gage de sécurité juridique pour les responsables de traitement et d’une application uniforme en matière de protection des données.

Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens.

Ce règlement est applicable à compter du 25 mai 2018.

d’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales (directive (UE) 2016/680).

La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’Etat et la défense, qui ne relèvent pas du droit de l’Union.

La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l'Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.

Les principales innovations de la directive consistent en la création :

- d’un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale ;

- d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres Etats membres, vers les Etats tiers et vers des entités privées au sein d'Etats tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré « d’adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

Cette directive doit être transposée d’ici le 6 mai 2018.

4. L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d'autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non». Il précise que « ces activités peuvent également comprendre l'exercice de l'autorité par l'adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d'émeutes», et que « parmi ces activités figure également le maintien de l'ordre public lorsque cette mission est confiée à la police ou à d'autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu'ils relèvent du droit de l'Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d'autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

5. Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen. Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l'évolution technologique et sociétale.

Le rapport annuel du Conseil d'Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l'intérêt général.

De même, le rapport d'information déposé par la Commission des lois constitutionnelles, de la législation et de l'administration générale de la République de l’Assemblée nationale a également révélé l'importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »3.

6. Le présent projet de loi a pour objet d’assurer la mise en conformité de notre droit national avec ces nouvelles exigences. La Commission européenne pouvant saisir la Cour de justice de l’Union européenne pour défaut de transposition ou pour transposition incorrecte à l’expiration du délai de transposition des directives4, il est donc impératif de respecter les délais de transposition des directives pour lesquelles la France est susceptible d’être condamnée à d’importantes pénalités financières en cas de retard de transposition.

7. La présente étude d’impact ne traite pas de l’ensemble des dispositions du règlement qui sont d’application directe5 et ne peuvent être recopiées dans le projet de loi. Ainsi, ne sont pas abordés l’impact des dispositions relatives par exemple au délégué à la protection des données ou les droits nouvellement créés (droit à l’oubli, droit à la portabilité des données) qui devront être mises en œuvre par les responsables de traitements dans le champ d’application du règlement. De même, n’est pas abordée la question de l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information, fixé à 16 ans par le règlement6, le Gouvernement ayant fait le choix de ne pas faire usage de la marge de manœuvre permettant aux Etats membres d’abaisser cet âge jusqu’à 13 ans.

TABLEAU RÉCAPITULATIF DES TEXTES D’APPLICATION DU PROJET DE LOI

ARTICLES

TEXTES D’APPLICATION

ADMINISTRATION COMPETENTE

Article 1er (6°)

Décret en Conseil d'État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère de la Justice

Article 4 (4°)

Décret en Conseil d'État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère de la Justice

Article 5 II (14e alinéa)

Décret en Conseil d'État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère de la Justice

Article 6 III

Décret en Conseil d'État

Ministère de la Justice

Article 9 I, (2e alinéa)

Décret en Conseil d'État pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés

Ministère de la Justice

Article 9 (I, 7e alinéa)

Arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés,

Ministère de l’Economie et des Finances

Article 11 (2°)

Décret en Conseil d'État après avis de la Commission nationale de l’informatique et des libertés

Ministère de la Justice

Article 13 (15e alinéa)

Décret en Conseil d'État

Ministère des Solidarités et de la Santé

Article 13 (19e alinéa)

Arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés

Ministère des Solidarités et de la Santé

Article 13 (42e alinéa)

Décret en Conseil d'État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère des Solidarités et de la Santé

Article 15

Décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère des Armées

Article 19 (30e alinéa)

Décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés

Ministère de la Justice

Article 20

Ordonnance (article 38 de la Constitution)

Ministère de la Justice

Article 24

Arrêté

Ministère de la Justice

TABLEAU SYNOPTIQUE DES CONSULTATIONS OBLIGATOIRES

Articles

Objet de l'article

Consultations menées

Ensemble des dispositions du projet de loi

 

Commission nationale de l’informatique et des libertés

Avis du 30 novembre 2017

Article 6

Article 9

Article 10

Article 12

Article 14

Mesures correctrices et sanctions

Simplification des formalités préalables à la mise en œuvre des traitements

Sous-traitants

Traitements archivistiques

Déclaration administrative automatisée

Conseil national d’évaluation des normes

Avis favorable du 30 novembre 2017

Article 17

Dispositions relatives à l’aménagement d’une voie de recours définie par l’arrêt CJUE –C-362/14

Conseil supérieur des tribunaux administratifs et cours administratives d’appel

Avis favorable du 7 novembre 2017

Article 17

Dispositions relatives à l’aménagement d’une voie de recours définie par l’arrêt CJUE –C-362/14

Commission supérieure du Conseil d’État

Avis favorable du 1er décembre 2017

TITRE IER

DISPOSITIONS COMMUNES AU REGLEMENT (UE) 2016/679 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016 ET A LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016

CHAPITRE IER

DISPOSITIONS RELATIVES A LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES

ARTICLE 1ER

MISSIONS DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES

1. Etat des lieux et diagnostic

1.1. Cadre général

La Commission nationale de l'informatique et des libertés (CNIL), créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a été la première autorité administrative indépendante dont la France s’est dotée et l’une des premières à travers le monde en matière de protection des données à caractère personnel.

La Commission nationale de l'informatique et des libertés occupe un rôle central dans la protection des données à caractère personnel en France. Ses missions, prévues à l’article 11 de loi n°78-17, sont les suivantes :

- information des personnes concernées et des responsables de traitement ;

- fonction consultative auprès du Gouvernement ;

- participation à la définition du cadre normatif sur la protection des données personnelles ;

- mise en conformité des traitements ;

- avis, approbation ou création d'instruments de « droit souple » ;

- certification de méthodologies d'anonymisation, notamment en vue de la réutilisation des bases de données publiques mises en ligne ;

- conduite de la réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies numériques ;

- promotion de l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

1.2. Cadre du droit de l’Union européenne

1.2.1 Le considérant 117 du règlement (UE) 2016/679 et le considérant 75 de la directive (UE) 2016/680 indiquent que l’autorité de contrôle est « un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Cette autorité de contrôle exerce ses missions et pouvoirs en toute indépendance. L’article 41 (3) de la directive prévoit en outre que l’autorité de contrôle instituée au titre du règlement peut également être compétente dans le champ d’application de la directive (UE) 2016/680. Au regard de ces différents éléments, la Commission nationale de l'informatique et des libertés constitue ainsi une autorité de contrôle au sens du « paquet européen » de la protection des données.

1.2.2 Les articles 57 du règlement (UE) 2016/679 et 46 de la directive (UE) 2016/680 prévoient les missions des autorités de contrôle. L’ensemble des missions prévues par la directive se retrouve dans la liste prévue par le règlement à l’exception du g) du 1 de l’article 46 de la directive. Cet exception permet, dans le champ de la directive, à l’autorité de contrôle de vérifier la licéité du traitement et d’informer la personne concernée dans un délai raisonnable de l'issue de la vérification, ou des motifs ayant empêché sa réalisation. D’une manière globale, le règlement est relativement large sur les missions de l’autorité de contrôle dès lors que son article 57(1)v prévoit que cette autorité « s'acquitte de toute autre mission relative à la protection des données ». En ce qui concerne la possibilité pour l’autorité de contrôle de prendre des mesures de droit souple, l’article 35.5 du règlement prévoit que : « L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité ».

Le présent projet de loi modifie l’article 11 de loi n° 78-17 pour confier à la CNIL de nouvelles missions prévues par le règlement, ou compléter certaines missions déjà exercées.

1.2.2.1. Sur les mesures de droit souple 

La Commission nationale de l’informatique et des libertés peut déjà prendre plusieurs mesures de droit souple, ce qui permet de la considérer comme une « autorité de régulation » de la protection des données personnelles. L’article 11 de la loi n° 78-17 prévoit qu’elle peut délivrer des labels7 et d’une manière générale, « pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi »8.

Comme l’indique M. Jean-Marc Sauvé dans l’avant-propos de l’Etude du Conseil d’Etat sur le droit souple : « Il semble, tout au contraire, que le droit souple puisse être l’oxygénation du droit et favoriser sa respiration dans les interstices du corset parfois un peu trop serré des sources traditionnelles de la règle. Il peut accompagner la mise en œuvre du “droit dur“, comme il peut dans certains cas s’y substituer pour la mise en œuvre de politiques publiques suffisamment définies et encadrées par la loi. »9.

Ainsi, les autorités administratives indépendantes utilisent largement le droit souple, sous forme de recommandations ou de lignes directrices, dans le cadre de leur rôle de régulation. 

Pour Mme Isabelle Falque-Pierrotin, présidente de la CNIL10, le droit souple est nécessaire en matière de protection des données à caractère personnel pour trois raisons :

- compte tenu des limites même de la norme générale dans un environnement en pleine mutation ;

- le traitement des données personnelles est de plus en plus déterritorialisé ;

- la protection des données personnelles est en train de changer de paradigme.

Sur ce dernier point, elle indique, à propos du règlement (UE) 2016/679 : « initialement, le régime juridique était fondé sur un système relativement binaire : formalités préalables (déclarations, autorisations, etc.) d’une part ; plaintes, contrôles et éventuellement sanctions, d’autre part. Cependant aujourd’hui, face à l’explosion des données personnelles et à leur circulation généralisée, la protection des données personnelles ne peut plus passer uniquement par ces deux volets sauf à accepter une action de régulation limitée et peu efficiente. »

Parmi les instruments de droit souple, figurent les recommandations qui : « sans être juridiquement contraignantes par elles-mêmes, précisent les conditions d’application de la loi dans un secteur donné. Si, en règle générale, la CNIL examine chaque situation en tenant compte de ses caractéristiques propres, les recommandations visent une approche plus générale de la règle de droit. ».

La labellisation permet quant à elle « à un responsable de traitement qui le souhaite d’obtenir un label “CNIL“, à condition de s’engager à respecter une série d’obligations définies par le régulateur, qui vont au-delà de la loi mais lui permettent en retour de se prévaloir de ce haut niveau de conformité à l’égard de ses clients. »11 Il est également possible de parler de référentiel.

1.2.2.2. Sur les règlements types en vue d’assurer la sécurité des systèmes 

La CNIL établit et publie actuellement, en application du b) de l’article 11 de la loi n° 78-17, des normes destinées à simplifier l’obligation de déclaration prévue à l'article 23 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes.

Ces règlements types ont la même valeur que les recommandations, instrument de droit souple.

1.2.2.3. Sur la certification 

Les certifications, labels et marques permettant d’assurer une certaine transparence des traitements de données à caractère personnel, le processus de délivrance doit lui aussi être transparent (article 42(3) et 43(2)d) du règlement). Ils peuvent parfois être le résultat d’une autorégulation au sein des organismes qui identifient eux-mêmes les limites, la portée de la certification, des labels ou marques.

L’article 42(1) du règlement évoque l’encouragement de la certification par les « États membres, les autorités de contrôle, le comité et la Commission » « […] aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le règlement […]». La certification est en effet volontaire (article 42(3)) et a une durée limitée de 3 ans maximum (article 42(6)).

Ainsi, le règlement confie un pouvoir de certification (directe) aux autorités de contrôle (article 58(3)f). Ce pouvoir de certification permet de certifier des responsables du traitement ou des sous-traitants soumis ou non au règlement (article 42(2)). Il ne s'agit toutefois pas d'un rescrit permettant de certifier le respect du règlement, puisqu' « une certification [...] ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56. » (article 42(4)).

Le règlement prévoit aussi que les autorités de contrôle approuvent les critères de certification et que les États membres veillent à ce que les organismes de certification soient agréés par l’autorité de contrôle et/ou l’organisme national d’accréditation désigné conformément au règlement (CE) n° 765/2008, en France, le Comité Français d’Accréditation (COFRAC) (article 43(1)). Le législateur national est ainsi tenu de retenir une option, peu importe laquelle.

Dans ce cadre, un mécanisme à deux niveaux est également possible : l’organisme d’accréditation accrédite les certificateurs tiers, qui certifient eux-mêmes divers objets. Dans ce cas, le règlement laisse aux États membres un choix de confier ce pouvoir d’agrément / accréditation soit à la Commission nationale de l'informatique et des libertés, soit à l’organisme national d’accréditation, soit aux deux.

1.2.3. Sur le rôle de conseil de la CNIL auprès des pouvoirs publics 

Actuellement, en application du a) du 4 de l’article 11 de la loi n° 78-17 la Commission nationale de l’informatique et des libertés  est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Son avis est également requis dans le cadre des régimes d’autorisation prévus aux articles 26 et 27 de la même loi.

L’article 57 du règlement (UE) 2016/679 prévoit que l’autorité de contrôle « conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement ».

Le projet de loi prévoit ainsi d’étendre le rôle consultatif de la Commission nationale de l'informatique et des libertés aux propositions de loi, sur saisine du président d’une des deux chambres du Parlement.

1.3. Eléments de droit comparé

Certains Etats membres qui ont déjà adopté une loi de mise en conformité au « paquet européen » de la protection des données, ont également doté, à cette occasion, leur autorité de protection des données de nouvelles compétences.

Par exemple, l’article 14 de la loi allemande sur la protection des données à caractère personnel prévoit un certain nombre de missions « en plus des missions listées dans le règlement (UE) 2016/679 »12, telles que :

- promouvoir la sensibilisation et la compréhension du public aux risques, règles, garanties et droits au traitement des données personnelles, en accordant une attention particulière aux mesures spécifiques aux enfants ;

- conseiller le Bundestag allemand, le Bundesrat, le gouvernement fédéral et d'autres institutions et organes sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel ;

- sur demande, fournir des informations concernant l'exercice des droits conférés par la loi allemande relative à la protection des données et, le cas échéant, coopérer avec les autorités des autres États membres à cette fin.

La Belgique13 ainsi que le Luxembourg14 ont présenté des projets de loi spécifiques pour leur autorité de contrôle. Pour la Belgique, il s’agit de passer d’un organe d’avis à une autorité de contrôle et de sanction. Une articulation avec les compétences des entités fédérées est prévue. Le Luxembourg semble opérer un renvoi au règlement (UE) 2016/679 sans doter de missions supplémentaires son autorité de contrôle, dans le domaine couvert par le règlement précité.

L’Irlande semble s’orienter vers la création d’une commission (Data Protection Commission), et non plus un commissaire à la protection des données15.

2. Objectifs poursuivis et nécessité de légiferer

2.1. Objectifs poursuivis

La présente disposition ambitionne de maintenir l’efficacité de l’exercice des missions de la Commission nationale de l'informatique et des libertés dans un environnement juridique renouvelé. Dans le cadre de l’harmonisation des règles relatives aux données à caractère personnel au niveau de l’Union européenne et de concurrence internationale, il s’agit de prendre en compte la question de l’attractivité économique et juridique de notre territoire vis-à-vis des opérateurs qui souhaiteraient s’y implanter.

Les nouvelles missions confiées à la Commission doivent lui permettre de maintenir un standard de la protection des données à caractère personnel des personnes tout en répondant à ces nouvelles exigences en termes d’attractivité économique et juridique.

2.2. Nécessité de légiférer

Le présent article du projet de loi modifie l’article 11 de la loi n°78-17 afin de mettre en conformité le droit national avec le règlement (UE) 2016/679 et de transposer la directive (UE) 2016/680.

Cette disposition procède également à quelques modifications nécessaires au regard de la pratique actuelle de la Commission nationale de l'informatique et des libertés.

3. Options envisagées

3.1. Inscrire la mesure dans un chapitre commun

L’existence de deux textes (règlement et directive) aurait pu conduire le législateur à voter deux lois distinctes ou à prévoir une séparation stricte des missions de « l’autorité de contrôle » selon qu’il s’agit du champ d’application du règlement ou de celui de la directive.

Toutefois, l’article 41 (3) de la directive prévoit que l’autorité de contrôle instituée au titre du règlement peut également être compétente dans le champ d’application de la directive (UE) 2016/680. L’article 1er du projet de loi précise expressément que la CNIL est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679.

En outre, la Commission nationale de l'informatique et des libertés a été instituée en 1978 pour connaître de l’ensemble des traitements de données, quelles que soient leurs finalités. Certains traitements qui ne relèvent pas du droit de l’Union européenne doivent pouvoir également faire l’objet de contrôle de la part de la Commission.

Pour les raisons évoquées précédemment, le Gouvernement a décidé de maintenir une compétence de la Commission nationale de l'informatique et des libertés à l’égard de l’ensemble des traitements, quels que soient les domaines dont ils relèvent.

3.2. Etendue des missions de la Commission nationale de l'informatique et des libertés

3.2.1. Option 1 (écartée) : se borner à une mise en conformité a minima par rapport au règlement et à une transposition de la directive

La Commission nationale de l'informatique et des libertés est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679. Il est proposé de le rappeler par mesure de clarté.

Le règlement confie un pouvoir de certification (directe) aux autorités de contrôle (article 58.3.f16). Le règlement prévoit aussi que les Etats membres peuvent retenir en plus un mécanisme à deux niveaux dans lequel un organisme d’accréditation accrédite les certificateurs tiers, qui certifient eux-mêmes divers objets : dans ce cas, le règlement laisse aux Etats membres un choix de confier ce pouvoir d’agrément / accréditation soit à l’autorité de contrôle, soit à l’organisme national d’accréditation (en France, le Comité Français d’Accréditation (COFRAC)), soit aux deux (article 43.1 du règlement17). Le règlement prévoit donc une marge de manœuvre qui est précisée, de façon souple, par le nouvel alinéa f bis) de l’article 11. Il est précisé que la commission peut établir des exigences supplémentaires aux normes d’accréditation.

Par ailleurs, afin d’être agréés, les organismes de certification doivent démontrer leur indépendance et leur expertise au regard de l’objet de la certification (article 43(2)a du règlement), respecter les critères fixés par l’autorité de contrôle (article 43(2)b)), mettre en œuvre des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification (article 43(2)c)), établir des procédures et des structures pour traiter les réclamations et démontrer que leurs tâches et leurs missions n’entraînent pas de conflits d’intérêts.

L’autorité de contrôle (article 58(2)h)) garde toutefois la possibilité de retirer une certification ou ordonner à l’organisme de certification de retirer une certification, ou lui ordonner de ne pas en délivrer si les exigences applicables à la certification ne sont pas ou plus satisfaites.

La Commission nationale de l'informatique et des libertés doit aussi pouvoir agréer / faire accréditer par le Comité Français d’Accréditation (COFRAC)18 des tiers certificateurs, et concernant les processus d’anonymisation. Il s’agit du renvoi du point 2 g) au point 2 f bis) créé.

Il est proposé d’indiquer, afin de se conformer aux articles 57.1.c19 du règlement et 46.1.c20 de la directive que la Commission nationale de l'informatique et des libertés puisse également être consultée par le Président de l’Assemblée nationale ou par le Président du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données.

Ainsi que souligné ci-dessus, la directive prévoit une mission particulière au g) du 1 de l’article 46 de la directive par rapport au règlement et qui n’est pas déjà prévue par la loi n° 78-17. Cette disposition implique une modification du h) du 1 de l’article 11 de cette loi afin d’inclure cette mission qui permet à la Commission nationale de l'informatique et des libertés de répondre à une demande de la personne concernée en cas de restriction de ses droits.

Le projet de texte propose de ne pas se limiter à ces modifications obligatoires.

3.2.2. Option 2 (retenue) : Confier d’autres missions à la CNIL, en sus de celles nécessaires à la mise en conformité au « paquet européen de protection des données » pour prendre en compte la pratique

En plus des trois missions évoquées ci-dessus, il est proposé de rappeler expressément les mesures de droit souple à la disposition de la Commission nationale de l'informatique et des libertés (lignes directrices, recommandations ou référentiels) destinées à faciliter la mise en conformité et l’évaluation préalable des risques par les responsables de traitement et des sous-traitants. Il est également prévu que la Commission encourage l’élaboration des codes de conduite et homologue et publie des méthodologies de référence destinés à favoriser la conformité des traitements de données de santé.

Ces mesures de droit souple ont vocation à fixer un cadre pour certaines catégories de traitements relativement courants et de faciliter les démarches des organismes, en particulier des PME/PMI21.

Ces mesures doivent permettre d’accompagner les responsables de traitement dans leur démarche de conformité en leur permettant de se « situer » au regard du niveau d’exigence attendu d’eux ; de fonder, le cas échéant, des dispenses d’analyse d’impact, pour des traitements conformes au référentiel22 ; de permettre l’évaluation du risque résiduel après étude d’impact afin d’aider les responsables de traitement à déterminer s’ils sont ou non soumis à l’obligation de consultation préalable de la Commission nationale de l'informatique et des libertés en application de l’article 36 du règlement.

Le 2 b) de l’actuel article 11 est modifié pour supprimer les normes simplifiées, conséquence de la suppression du régime de la déclaration.

En outre, au-delà des mesures de droit souple, la Commission nationale de l'informatique et des libertés disposera de la possibilité d’établir des règlements types pour assurer la sécurité des systèmes de traitement et de régir les traitements des données de santé (chapitre IX). Elle pourra prescrire des règles d’ordre techniques et organisationnelles sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, pour renforcer les conditions de traitement des données biométriques, génétiques et de santé conformément à l’article 9.4 du règlement (UE) 2016/679 et des garanties complémentaires en matière de traitement de données d’infraction conformément à l’article 10 du règlement (UE) 2016/679.

Enfin, la Commission nationale de l'informatique et des libertés pourra présenter des observations toutes les juridictions à l’occasion de litiges relatifs à l’application du règlement et de la loi n°78-17 (cf. infra, articles du projet de loi relatifs aux voies de recours).

4. Analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

La présente disposition modifie la rédaction de l’article 11 de la loi n° 78-17 pour conférer à la Commission nationale de l'informatique et des libertés de nouvelles compétences.

Il en est ainsi des certifications et agréments qu’elle pourra délivrer, le cas échéant, conjointement avec le Comité Français d’Accréditation (COFRAC).

Si la plupart des instruments de droit souple que la Commission nationale de l'informatique et des libertés sera amenée à prendre ne sont dotés d’aucune force contraignante, ils permettent toutefois d’orienter les comportements des responsables de traitement.

Ainsi, une recommandation de la Commission qui se borne à donner une interprétation de la loi n° 78-17 ne constitue pas un acte faisant grief et est, par suite, insusceptible de recours (CE 27 septembre 1989, SA Chopin et Cie, nos 74548, 74549 et 74550)23.

D’autres instruments constituent en revanche des actes juridiques contraignants, tels que les prescriptions techniques et organisationnelles concernant les traitements des données biométriques, génétiques et de santé et les traitements de données d’infraction que la Commission pourra adopter.

La procédure législative est également concernée par ces modifications. En effet, le Président de l’une des deux chambres du Parlement pourra désormais consulter la Commission nationale de l'informatique et des libertés sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données, à l’instar de l’article 4 bis de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires qui prévoit que le président d'une assemblée parlementaire peut saisir le Conseil d'Etat d'une proposition de loi déposée par un membre de cette assemblée, avant l'examen de cette proposition en commission.

Enfin, la capacité de la CNIL d’agir en justice est renforcée dans la mesure où elle pourra présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement (UE) 2016/679 et de la présente loi.

4.2. Impacts sur les particuliers

L’impact de la certification sur les personnes concernées varie selon le label ou la marque.

Ainsi que le précise le considérant 100 du règlement, afin de favoriser la transparence et le respect du règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Un label clair et transparent pourra faciliter l’information des personnes sur le traitement des données à caractère personnel les concernant.

4.3. Impact sur les entreprises

Le renforcement des mesures de droit souple que peut prendre la Commission nationale de l'informatique et des libertés est destiné à garantir une meilleure application du droit de la protection des données à caractère personnel et d’offrir aux responsables de traitement, en particulier pour les PME, un cadre juridique sécurisé.

En effet, les représentants des acteurs du numérique (associations, entreprises) ont indiqué que ne pas se sentir encore prêts pour l’application du règlement et des nouvelles obligations qui leur incomberont. L’action combinée du Gouvernement et de la CNIL devra donc leur permettre de comprendre leurs droits et de mettre en œuvre les obligations prévues par les textes européens.

A cet égard, l’article 40 du règlement prévoit que : « Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises ». De même, en matière de certification, l’article 42 précise que : « Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération. ».

La certification ne diminue pas la responsabilité du responsable de traitement (article 42(4) du règlement). Elle a cependant un impact à l’égard des personnes concernées et du public : les responsables de traitements ou les sous-traitants peuvent voir leur image valorisée. La certification aura un impact différent selon l’organisme concerné. Elle permet toutefois de s’assurer que le niveau de protection des données apporté est plus important, rassurant ainsi sur le risque encouru. A titre d’exemple, dans une étude réalisée en 201624, certains organismes décrivent la norme ISO 27001 (Management de la Sécurité de l'Information) comme ayant permis selon eux d’améliorer la sécurité de leur organisme, leur information en la matière, de gagner un avantage compétitif, d’assurer une conformité légale voire même d’obtenir de nouveaux contrats.

5. Consultation et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du projet de loi renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 1er (6°)

Décret en Conseil d’Etat pris après avis de la Commission nationale de l'informatique et des libertés

La Commission nationale de l'informatique et des libertés agrée des organismes certificateurs le cas échéant, de leur accréditation ou concourt à leur agrément par l'instance nationale d'accréditation, mentionnée à l'article 43(1) b du règlement (UE) 2016/679.

ARTICLES 2 et 3

COMMISSAIRE DU GOUVERNEMENT ET MEMBRES DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES

1. ETAT DES LIEUX ET DIAGNOSTIC

1.1. CADRE GENERAL

Sur la composition de la Commission nationale de l’informatique et des libertés

L’article 13 de la loi n° 78-17 relatif à la composition de la Commission nationale de l'informatique et des libertés prévoit que, parmi ses dix-huit membres, cette dernière compte :

- trois personnalités qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles, nommées par décret ;

- deux personnalités qualifiées pour leur connaissance du numérique, désignées respectivement par le Président de l'Assemblée nationale et par le Président du Sénat.

Avant la loi n° 2004-801 du 6 août 2004, la notion de personnalité qualifiée n’était appliquée qu’aux deux personnes nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat. Les trois autres personnalités étaient désignées, en raison de leur autorité et de leur compétence, par décret en Conseil des ministres.

La substitution du terme « numérique » à celui d’« informatique », plus représentatif de l’évolution des nouvelles technologies, est intervenue suite à un amendement voté dans le cadre du projet de loi pour une République numérique.

Sur le commissaire du Gouvernement auprès de la Commission nationale de l’informatique et des libertés

Le commissaire du Gouvernement représente le Gouvernement auprès de la Commission nationale de l’informatique et des libertés. Le statut et les missions de ce dernier sont prévus à l’article 18 de la loi n° 78-17.

Présent à l'ensemble des séances de la Commission en formation plénière, il a ainsi compétence pour présenter en séance toute observation reflétant le point de vue du gouvernement sur un projet de délibération.

L'ensemble des dispositions relatives au commissaire du Gouvernement (modalités d'information, présence, etc.) vaut pour toutes les délibérations de la Commission, qu'elles concernent des personnes publiques ou des personnes privées. Le commissaire du Gouvernement ne peut pas participer au vote sur la délibération, mais il peut provoquer une nouvelle délibération dans les dix jours. Il assiste enfin aux réunions du bureau, sauf lorsque ce dernier se prononce sur l'éventuelle publicité d'une mise en demeure adoptée par son président.

Les conditions de participation du commissaire du Gouvernent auprès de la Commission nationale de l’informatique et des libertés sont précisées par le décret n° 2005-1309. Son article 77 prévoit notamment que : « Lors de la séance, le rapporteur peut présenter des observations orales sur l'affaire. Le responsable du traitement et, le cas échéant, son conseil sont invités à présenter des observations orales à l'appui de leurs conclusions écrites. Le commissaire du Gouvernement est invité à donner son avis sur l'affaire. La formation restreinte peut entendre toute personne dont elle estime l'audition utile. Dans tous les cas, le responsable du traitement et, le cas échéant, son conseil doivent pouvoir prendre la parole en dernier. Lorsque la formation restreinte s'estime insuffisamment éclairée, elle peut demander au rapporteur de poursuivre ses diligences. La formation restreinte statue hors la présence du rapporteur et du commissaire du Gouvernement. »

1.2. CADRE CONSTITUTIONNEL

Dans sa décision du 19 janvier 2017, le Conseil constitutionnel a rappelé qu’il appartient au législateur de fixer les règles relatives à la composition et les attributions ainsi que la détermination des principes fondamentaux de l’organisation et du fonctionnement des autorités administratives indépendantes.

Le Conseil constitutionnel est par ailleurs vigilant sur les garanties d’impartialité des autorités administratives indépendantes au regard notamment de leurs pouvoirs de sanction. Ainsi, dans sa décision n° 2012-280 QPC du 12 octobre 2012, Société Groupe Canal Plus et autre, le Conseil constitutionnel a rappelé que les dispositions relatives à la composition, aux règles de délibération et aux modalités de saisine de l'Autorité de la concurrence doivent respecter les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.

1.3. CADRE CONVENTIONNEL

L’article 53 (2) du règlement (UE) 2016/679 précise que : « Chaque membre a les qualifications, l'expérience et les compétences nécessaires, notamment dans le domaine de la protection des données à caractère personnel, pour l'exercice de ses fonctions et de ses pouvoirs. »

Le choix d’unifier les connaissances requises pour l’ensemble des personnalités qualifiées des membres de la Commission nationale de l’informatique et des libertés en incluant la protection des libertés individuelles à celles-ci s’accorde parfaitement à cet article.

1.4. ELEMENTS DE DROIT COMPARE

La fonction du commissaire du Gouvernement auprès de la Commission nationale de l’informatique et des libertés, autorité de contrôle en matière de protection des données, constitue une spécificité nationale qui n’a pas d’équivalent dans les autres Etats membres de l’Union européenne.

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER

2.1. OBJECTIFS POURSUIVIS

L’article 2 du projet de loi vise à clarifier les compétences requises pour être une personnalité qualifiée de la Commission nationale de l’informatique et des libertés. Il s’agit également d’une mesure de cohérence entre les personnalités qualifiées désignées par le Président de l'Assemblée nationale et le Président du Sénat et celles désignées par le Gouvernement.

L’article 3 poursuit l’objectif d’alléger la présence du commissaire du Gouvernement aux délibérations de la Commission nationale de l’informatique et des libertés en formation restreinte afin qu’il puisse se consacrer d’autant plus à sa mission d’information auprès des administrations pour que les prescriptions en matière d’informatique et libertés soient correctement comprises et appliquées.

Les modifications apportées par cet article sont également guidées par le souci de rehausser au niveau de la loi les garanties d’impartialité exigées par la jurisprudence constitutionnelle à propos du pouvoir de sanction des autorités administratives indépendantes, avec un double objet :

- prévoir d’une part que le commissaire du Gouvernement, s’il peut être présent aux séances de la formation restreinte compétente pour prononcer des injonctions ou imposer des sanctions, ne peut assister au délibéré qui les suit ;

- exclure d’autre part de ce délibéré les agents de la commission, à la seule exception de ceux chargés du secrétariat de la séance.

2.2. NECESSITE DE LEGIFERER

L’article 2 du projet de loi permet d’unifier le standard de qualifications nécessaires pour être membre de la Commission nationale de l’informatique et des libertés en tant que personnalité qualifiée.

L’article 3 permet de rendre facultative la présence du commissaire du Gouvernement aux délibérations de la Commission nationale de l’informatique et des libertés en formation restreinte uniquement. Cette faculté permettra au commissaire du Gouvernement de consacrer plus de temps à sa mission d’information auprès des administrations pour veiller au respect des délibérations de la Commission nationale de l’informatique et des libertés.

Il s’agit également de tenir compte de la jurisprudence récente du Conseil constitutionnel sur les garanties d’impartialité des autorités administratives indépendantes en prévoyant, dans la loi, que les membres de la CNIL délibèrent hors de la présence des agents de la commission, à l’exception de ceux chargés de la tenue de la séance, et hors de celle du commissaire du Gouvernement.

3. OPTIONS

3.1. ARTICLE 2 : COMPETENCES REQUISES POUR LES PERSONNES QUALIFIEES

3.1.1. Option 1 (écartée) : Maintien du droit existant

Il aurait pu être envisagé de ne pas modifier le droit existant sur les compétences requises des personnalités qualifiées.

La dichotomie de qualifications entre les personnalités qualifiées au sein de la Commission nationale de l’informatique et des libertés, selon qu’elles ont été désignées par les présidents des assemblées parlementaires ou par le Gouvernement, n’apparaît pas satisfaisante car elle pourrait laisser entendre une prédominance du numérique sur la protection des libertés individuelles, ce qui ne correspond pas aux missions de la Commission nationale de l’informatique et des libertés.

3.1.2. Option 2 (retenue) : Unification des connaissances requises pour être désigné en qualité de personne qualifiée

Il n’y a pas lieu de faire de distinction de qualifications selon l’autorité qui désigne la personnalité qualifiée. Par ailleurs, l’ajout de la connaissance des questions touchant aux libertés individuelles comme critère de désignation pour l’ensemble des personnalités qualifiées est cohérent avec les missions de la Commission nationale de l’informatique et des libertés qui protège la vie privée et les données à caractère personnel tout en prenant en compte les évolutions technologiques et leurs impacts (article 11 de la loi n° 78-17).

3.2. ARTICLE 3 : PRECISION DES REGLES RELATIVES AU DELIBERE DE LA COMMISSION

Compte tenu de la jurisprudence récente du Conseil constitutionnel sur les garanties d’impartialité dont doivent disposer les autorités administratives indépendantes dans le cadre de leur pouvoir de sanction, il a été décidé de prévoir expressément dans la loi que, d’une part, les membres de la CNIL délibèrent hors de la présence des agents de la commission à l’exception de ceux chargés de la tenue de la séance, d’autre part, le commissaire du Gouvernement n’assiste pas au délibéré de la formation restreinte de la CNIL.

3.3. ARTICLE 3 : PRESENCE DU COMMISSAIRE DU GOUVERNEMENT AUPRES DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES

3.3.1. Option 1 (écartée) : Suppression de la fonction de Commissaire du Gouvernement

La suppression de la fonction de commissaire du Gouvernement auprès de la Commission nationale de l’informatique et des libertés aurait pu être envisagée à l’occasion du présent projet de loi.

Toutefois, une telle fonction apparaît pertinente. En effet, le commissaire du Gouvernement permet d’informer la Commission nationale de l’informatique et des libertés sur les intentions du Gouvernement afin que celle-ci délibère en toute connaissance de cause.

Sa présence aux délibérations lui permet de comprendre les raisonnements et les motifs des délibérations de la commission afin de s’assurer que les textes règlementaires respecteront les raisonnements de l’autorité de contrôle dégagés lors de ses délibérations.

Ainsi, la présence du commissaire du Gouvernement aux délibérations de la Commission nationale de l’informatique et des libertés contribue ainsi au renforcement de la protection des personnes et des organismes concernés, objectif visé par la garantie d’indépendance accordée aux autorités de contrôle par le « paquet européen ».

Le commissaire du Gouvernement contribue donc indubitablement à la cohérence et à la qualité des prises de décisions de la Commission nationale de l’informatique et des libertés mais aussi à une meilleure protection du droit à la protection des données à caractère personnel et à la vie privée.

La présence du commissaire du Gouvernement est donc également nécessaire pour assurer la présence de la puissance publique pour suivre le fonctionnement d’une activité qui, même si elle est confiée à une autorité indépendante, est susceptible in fine d’engager la responsabilité de l’Etat.

3.3.2. Option 2 (écartée) : Maintien du droit constant

La modification n’est pas strictement nécessaire au bon fonctionnement de la Commission nationale de l’informatique et des libertés.

Toutefois, la participation obligatoire aux délibérations en formation restreinte de la Commission nationale de l’informatique et des libertés fait peser une charge de travail importante sur le commissaire du Gouvernement, alors même que toutes les délibérations de cette formation ne concernent pas l’activité administrative.

3.3.3. Option 3 (retenue) : Rendre facultative la présence du commissaire du Gouvernement aux délibérations de la Commission nationale de l’informatique et des libertés

Il est proposé de rendre facultative la présence du commissaire du Gouvernement aux délibérations de la Commission nationale de l’informatique et des libertés en formation restreinte. Cette faculté permettra au commissaire du Gouvernement de consacrer plus de temps à sa mission d’information auprès des administrations pour veiller au respect des délibérations de la Commission nationale de l’informatique et des libertés.

Son information sur les délibérations de la Commission nationale de l’informatique et des libertés n’est pas mise en cause par la seule faculté et non plus l’obligation d’y assister puisque les délibérations de la commission sont publiées au journal officiel.

Ainsi qu’il a été précédemment, le commissaire du Gouvernement n’assiste pas en revanche au délibéré de la formation restreinte chargée de prononcer des sanctions.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

L’article 2 du projet de loi aura pour effet que les personnalités désignées par les présidents des deux chambres du Parlement le seront au regard de leur connaissance du numérique, mais également des questions touchant aux libertés individuelles.

Concernant l’article 3 du projet de loi, le caractère facultatif et non plus obligatoire de la présence du commissaire du Gouvernement aux séances de la formation restreinte de la Commission nationale de l’informatique et des libertés ou des réunions de son bureau n’aura aucune incidence juridique sur les décisions prises par ces organes. Il en est de même pour la précision dans la loi des garanties d’impartialité déjà présentes dans le décret et respectées par la Commission nationale de l’informatique et des libertés, selon lesquelles la formation restreinte délibère hors la présence des agents de la CNIL et du commissaire du Gouvernement.

4.2. IMPACTS SUR LES PARTICULIERS

L’article 2 du projet de loi améliore la protection des données à caractère personnel. En effet, il sera désormais possible pour les présidents des deux chambres du Parlement de désigner une personnalité qualifiée pour ses connaissances des libertés individuelles ou du numérique, et pas uniquement sur ses connaissances des questions numériques.

5. Consultation

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

ARTICLE 4

POUVOIRS DE CONTRÔLE DE LA CNIL

1. Etat des lieux et diagnostic

1.1. Etat des lieux

1.1.1 Avant l’adoption de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, l’article 21 de la loi n° 78-17 définissait la mission de contrôle de la Commission nationale de l'informatique et des libertés. Cette dernière pouvait notamment : « par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ».

1.1.2 Depuis 2004, il est désormais renvoyé à l’article 44 de la loi n° 78-17 relatif aux contrôles par la Commission nationale de l'informatique et des libertés de la mise en œuvre des traitements25. Cet article contient quatre sous-divisions.

Le I de cet article prévoit les limites de temps et de lieux relatives aux contrôles que les membres et agents et de la commission peuvent effectuer. Il s'agit de contrôles sur place et sur pièce, qui complètent le contrôle a priori, opéré dans le cadre des formalités préalables et permettent soit de constater l'existence de traitements n'ayant pas fait l'objet de telles formalités, soit de s'assurer du respect effectif de la loi par les traitements déclarés ou autorisés. C'est également dans le cadre de ces dispositions que s'exerce le contrôle par la Commission des dispositifs de vidéo protection26. Les contrôles sur place ne sont possibles que dans les lieux ou locaux professionnels privés servant à la mise en œuvre d'un traitement de données personnelles, et non dans les domiciles privés. Les pouvoirs de contrôle incluent la possibilité de recueil et de copie, sur place, de tous les renseignements ou documents utiles. Ce pouvoir de contrôle sur place se double de la possibilité pour les membres et agents de la Commission de procéder à des auditions. Il est également prévu une information préalable du procureur de la République en cas de contrôle.

1.1.3 La loi n° 2011-334 du 29 mars 2011 a modifié le II de l’article 44 de la loi n° 78-17 pour tirer les conséquences de décisions du Conseil d’Etat27, en prévoyant notamment que « Le responsable de locaux professionnels privés est informé de son droit d'opposition à la visite », ainsi que l’intervention du juge des libertés et de la détention. Ainsi, le responsable des locaux – qui n'est pas nécessairement le responsable de traitement – est informé, avant le début du contrôle, de son droit d'opposition et peut s'opposer à la visite des lieux privés, qui est alors subordonnée à l'autorisation préalable du juge des libertés et de la détention. Lorsque l'urgence, la gravité des faits ou le risque de destruction le justifie, la Commission nationale de l'informatique et des libertés peut toutefois être autorisée par le même juge à visiter les locaux sans information préalable des responsables de ces locaux ni possible opposition de leur part.

1.1.4 La loi n° 2014-344 du 17 mars 2014 a modifié le III de l’article 44 de la loi n° 78-17 afin de permettre, en plus des contrôles sur place et sur convocation, des contrôles en ligne, afin notamment de lui permettre de constater d'éventuelles failles dans les données à caractère personnel.

Par ailleurs, pour compléter ce dispositif, le second alinéa de l’article 21 de la loi 78-17 précise que les personnes interrogées dans le cadre des vérifications faites par la commission sont tenues de fournir les renseignement demandés « sauf dans les cas où elles sont astreintes au secret professionnel ». Il est par ailleurs prévu à l’article 44 de cette loi que les agents de la Commission nationale de l'informatique et des libertés ont accès aux « programmes informatiques et aux données » et qu’ils peuvent se faire communiquer « tous documents nécessaires » mais que cependant seul un médecin peut requérir la communication de données médicales individuelles.

1.1.5 Enfin, il est précisé que les traitements intéressant la sûreté de l’Etat peuvent être exclus des opérations de contrôle (article 44-IV de la loi n° 78-17).

En 2016, la Commission nationale de l’informatique et des libertés a opéré 430 contrôles, dont 100 contrôles en ligne et 94 concernaient les dispositifs de vidéo protection28.

1.2. Cadre constitutionnel

Dans sa décision du 29 juillet 2004, le Conseil constitutionnel a examiné la constitutionnalité du dernier alinéa de l’article 21 de la loi n° 78-17. Il a jugé que « dans le silence des dispositions de la loi du 6 janvier 1978 antérieures à la loi déférée, les personnes interrogées par la Commission nationale de l'informatique et des libertés étaient déjà soumises au secret professionnel  » et que « l'invocation injustifiée du secret professionnel pourrait constituer une entrave passible des peines prévues par l'article 51 nouveau de la loi du 6 janvier 1978 »29.

1.3. Cadre conventionnel

En premier lieu, les articles 57 et 58 du règlement (UE) 2016/679 précisent les missions et pouvoirs des autorités de contrôle, en particulier les pouvoirs d’enquête dont elles disposent. Le point 6 de l’article 58 du règlement prévoit que chaque Etat membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux prévus par le règlement.

L'article 90(1) du règlement prévoit en outre une marge de manœuvre pour les États membres en matière d’obligation de secret. Ceux-ci « peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d'autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. ».

Cette disposition permet de maintenir la plupart des dispositions de l’actuel article 44 de la loi n° 78-17, notamment l’accès aux locaux des responsables de traitement et aux données nécessaires à l’accomplissement des missions de la commission.

En deuxième lieu, dans une décision du 6 novembre 2009, le Conseil d’Etat a jugé, au regard de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales que : « si le droit au respect du domicile que ces stipulations protègent s'applique également, dans certaines circonstances, aux locaux professionnels où des personnes morales exercent leurs activités, il doit être concilié avec les finalités légitimes du contrôle, par les autorités publiques, du respect des règles qui s'imposent à ces personnes morales dans l'exercice de leurs activités professionnelles ; que le caractère proportionné de l'ingérence que constitue la mise en œuvre, par une autorité publique, de ses pouvoirs de visite et de contrôle des locaux professionnels résulte de l'existence de garanties effectives et appropriées, compte tenu, pour chaque procédure, de l'ampleur et de la finalité de ces pouvoirs »30.

Cette décision a notamment conduit le législateur à modifier le II de l’article 44 de la loi n° 78-17. Le projet de loi ne modifie pas non plus les garanties qui entourent la procédure de contrôle sur place : droit d'opposition à la visite des lieux, locaux, enceintes, installations ou établissements qui servent à la mise en œuvre des traitements, exclusion des locaux affectés au domicile privé, contrôle du juge des libertés et de la détention et respect des droits de la défense avec la possibilité pour l'occupant des lieux de se faire assister d'un conseil de son choix. La suite de la procédure reste également contradictoire, puisque le responsable de traitement est mis en mesure de produire des observations quant au procès-verbal dressé par les membres ou agents ayant conduit le contrôle.

En dernier lieu, les articles 55 du règlement et 45 de la directive prévoient que les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle. Le considérant 20 du règlement précise : « La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions ».

L’article 4 du projet de loi propose d’apporter cette précision.

1.4 Éléments de droit comparé

Le projet de loi luxembourgeois prévoit une section sur le secret professionnel auquel sont astreints les membres et agents de l’autorité de contrôle, sans apporter de précision sur les secrets professionnels précisément protégés.

Le projet de loi belge précise, à son article 67 §2, que « (…) Les informations concernant des données médicales de nature personnelle ne peuvent être communiquées et utilisées que dans le respect du secret médical. (…)». Des aménagements procéduraux sont également prévus pour le secret professionnel à l’article 78 « (…) Sauf accord écrit de la personne concernée ou autorisation du juge d’instruction, l’inspecteur général et les inspecteurs ne peuvent, sans la présence d’un représentant de l’ordre professionnel, pénétrer dans les locaux d’un professionnel qui est soumis au secret professionnel et pour qui une règlementation légale est prévue concernant des examens sur place et l’accès à leurs locaux professionnels ».

2. Objectifs poursuivis et necessite de légiferer

2.1. Objectifs poursuivis

Les objectifs poursuivis à travers les mesures envisagées par cette disposition du projet de loi sont :

- d’une part, une extension et un renforcement des contrôles a posteriori de la Commission nationale de l'informatique et des libertés ;

- d’autre part, une clarification du régime de l’opposabilité des secrets professionnels lors des demandes de communication effectuées dans le cadre de vérification.

2.2. Nécessité de légiférer

L’article 44 de loi n° 78-17 contient les dispositions détaillant le contrôle a posteriori de la Commission nationale de l'informatique et des libertés. Il se combine actuellement avec les contrôles a priori réalisés par la commission dans le cadre des formalités préalables.

Dès lors que le règlement change de paradigme et que le projet de loi épouse la nouvelle logique de responsabilisation en diminuant de façon importante les formalités préalables, il est nécessaire de modifier certaines dispositions de l’article 44 de loi n° 78-17 afin de renforcer l’effectivité des contrôles de la commission.

3. Options

3.1. Suppression de la précision « usage professionnel » des locaux contrôles

En l’état actuel, les membres de la commission ainsi que les agents habilités ont, en application I de l’article 44 de la loi n° 78-17, accès « aux locaux, enceintes, installations ou établissements servant à la mise en œuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé ». La précision de l’usage professionnel peut conduire à exclure certaines zones telles que des halls d’immeuble ou des couloirs qui comprennent des photocopieuses.

La suppression de la précision concernant l’usage professionnel des locaux au I de l’article 44 de la loi n° 78-17, et l’adaptation du II de cet article, permet d’inclure les parties communes d'immeubles.

Cette modification est permise en application de l'article 58(1)f du règlement qui permet à la Commission nationale de l'informatique et des libertés « d'obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres. ».

Cette suppression permet d’accroître l’efficacité des contrôles sur place effectués par la Commission. Comme indiqué précédemment, cette suppression ne remet pas en cause la protection prévue du domicile privé qui reste garantie.

3.2. Précision relative au régime d’opposabilité des secrets professionnels

3.2.1. Option 1 (écartée) : Maintenir le droit existant

Actuellement, la question de l’opposabilité des secrets protégés par la loi, lors de la demande de communication des documents par les membres et agents de la Commission nationale de l'informatique et des libertés, n’est pas traitée expressément dans la loi n° 78-17. Seul l’article 21 prévoit une protection du secret professionnel des personnes interrogées dans le cadre des vérifications faites par la commission.

L’article 44 de la loi n° 78-17 prévoit que les agents de la Commission nationale de l'informatique et des libertés ont accès aux « programmes informatiques et aux données » et qu’ils peuvent se faire communiquer « tous documents nécessaires », mais que cependant seul un médecin peut requérir la communication de données médicales individuelles.

Cet état du droit peut paraître ambigu. Une première interprétation pourrait indiquer que les agents de contrôle ne peuvent se voir opposer aucun secret, à l’exception du secret médical. Une seconde interprétation conduirait au contraire à considérer qu’en l’absence de disposition prévoyant expressément l’inopposabilité des secrets protégés par la loi aux agents de contrôle, tout secret pourrait leur être opposé (secret bancaire, des affaires, …).

Si aucune difficulté ne semble s’être présentée en pratique, il est toutefois apparu pertinent, compte tenu notamment de l'augmentation du niveau des sanctions prévu par le règlement, d’affirmer expressément l’inopposabilité des principaux secrets auxquels la commission pourrait être confrontée. L’option d’un maintien du droit existant a donc été écartée.

3.2.2. Option 2 (écartée) : Supprimer l’opposabilité du secret médical

Se pose la question de l’opportunité de maintenir l’obligation d’avoir recours à un médecin pour obtenir la communication des données de santé nominatives. Cette procédure, prévue actuellement par le III de l’article 44 de la loi n° 78-1731, peut s’avérer complexe dans la pratique.

L’absence de nécessité du recours à un médecin ne serait pas inédite dans les textes. La levée du secret médical pour des agents de contrôle n’ayant pas la qualité de médecin est ainsi prévue pour des agents dont la santé publique constitue l’objet même de la mission de contrôle32.

La même problématique de l’extension de l’inopposabilité du secret médical à des non-médecins s’est rencontrée pour les agents des autorités régionales de santé. Jusqu’à la loi n° 2016-41 du 26 janvier 2016, l'article L. 1435-6 du code de la santé publique réservait aux agents des autorités régionales de santé ayant la qualité de médecin l'accès aux données à caractère personnel nécessaires à l'accomplissement de leur mission. L'article 193 de la loi du 26 janvier 2016 a ouvert cette possibilité à tous les agents des autorités régionales de santé.

Toutefois, le projet de loi ne propose pas la disparition de l’opposabilité complète du secret médical pour les données de santé.

3.2.3. Option 3 (retenue) : Clarification du régime d’opposabilité des secrets professionnels

Il est proposé de clarifier l’état du droit et d’indiquer expressément que le secret ne peut être opposé aux membres et agents de la commission sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, dans certaines situations, le secret médical.

En ce qui concerne le secret médical attaché aux traitements nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé, il ne sera plus exigé que ce soit seul un médecin qui puisse requérir la communication des données mais que cette communication ne peut être faite que sous l’autorité et en présence de ce dernier. Ainsi, il s’agit d’un allègement de la procédure tout en maintenant une garantie importante relative au secret médical dès lors que l’agent de la commission sera sous la responsabilité fonctionnelle du médecin.

Enfin, il est précisé que seuls les agents et membres habilités au secret de la défense, conformément au code de la défense, ont accès aux documents contenant des informations relevant de ce régime33.

Par ailleurs, le projet de loi rappelle, en application du règlement et de la directive, que la commission n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions, permettant ainsi de préserver le secret de l’instruction.

3.3. Possibilité de faire usage d’une identité d’emprunt 

La loi n° 2014-344 du 17 mars 2014 susmentionnée a modifié le III de l’article 44 de la loi n° 78-17 afin de permettre, en plus des contrôles sur place et sur convocation, des contrôles en ligne. Ces contrôles sont très utiles et sont appelés à se multiplier. Toutefois, lorsque la Commission nationale de l'informatique et des libertés utilise une adresse électronique @cnil.fr pour exercer des droits, le responsable de traitement peut modifier son traitement uniquement pour les besoins du contrôle.

Il s’agit de prévoir l'utilisation par les agents de contrôle d’une identité d'emprunt, en prévoyant la possibilité de créer une fausse identité d’un utilisateur lambda pour un contrôle effectif. Il est précisé que l’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées, afin de prémunir ces contrôles du risque de contestations fondées sur la violation du principe de loyauté dans la collecte des preuves.

Cette mesure est de nature à renforcer l’efficacité des contrôles en ligne. Actuellement, l’autorité des marchés financiers dispose d’une telle possibilité (article L. 621-10-1 du code monétaire et financier34).

Il n’est toutefois pas proposé d’ajouter une disposition sur l’irresponsabilité pénale des agents.

D’une part, parce qu’il n’est pas prévu que les agents de la commission pourront commettre des infractions sur internet, et que le fait d’utiliser une identité d’emprunt pour se connecter à internet ne constitue aucune infraction pénale.

D’autre part, parce que dès lors que la loi permet d’utiliser une identité d’emprunt, à supposer que cela puisse constituer un délit, puisque la loi l’autorise, il ne peut exister aucune responsabilité pénale en application du code pénal.

4. analyse des impacts de la disposition envisagée

La modification de l’article 44 de la loi n° 78-17 permettra d’étendre et de préciser le champ des contrôles possibles de la Commission nationale de l'informatique et des libertés et le cadre dans lesquels ils s’opèrent.

5. Consultation et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 4 (4°)

Décret en conseil d’Etat pris après avis de la Commission nationale de l'informatique et des libertés

Conditions dans lesquelles les membres et agents habilités de la Commission nationale de l’informatique et des libertés procèdent à l’utilisation d’identité d’emprunt.

ARTICLE 5

PROCÉDURE DE COOPÉRATION DE LA CNIL AVEC LES AUTRES AUTORITÉS DE CONTRÔLE

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La loi n° 78-17 du 6 janvier 1978 contient peu de dispositions relatives à la coopération de la Commission nationale de l’informatique et des libertés avec les autorités de contrôle européennes.

L'article 49, tel qu’issu de la loi n° 2004-801 du 6 août 2004 qui transposait la directive 95/46/CE, prévoit que chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre Etat membre et que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Cet article prévoit actuellement que la CNIL peut, à la demande d'une autorité exerçant des compétences analogues dans un autre Etat membre, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions, sauf s'il s'agit d'un traitement de « souveraineté » (traitement qui intéresse la sûreté de l'Etat, la défense ou la sécurité publique) ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté (article 26 de la loi n° 78-17).

1.2. Cadre constitutionnel

Le chapitre VII du règlement (UE) 2016/679 organise une procédure de coopération entre les autorités de contrôle de l’Union européenne. L’article 62.3 prévoit que : « Une autorité de contrôle peut, conformément au droit d'un État membre, et avec l'autorisation de l'autorité de contrôle d'origine, conférer des pouvoirs, notamment des pouvoirs d'enquête, aux membres ou aux agents de l'autorité de contrôle d'origine participant à des opérations conjointes ou accepter, pour autant que le droit de l'État membre dont relève l'autorité de contrôle d'accueil le permette, que les membres ou les agents de l'autorité de contrôle d'origine exercent leurs pouvoirs d'enquête conformément au droit de l'État membre dont relève l'autorité de contrôle d'origine. Ces pouvoirs d'enquête ne peuvent être exercés que sous l'autorité et en présence de membres ou d'agents de l'autorité de contrôle d'accueil. Les membres ou agents de l'autorité de contrôle d'origine sont soumis au droit de l'État membre de l'autorité de contrôle d'accueil. ».

La possibilité de prévoir que des agents d’autorités de contrôle étrangères puissent participer à des opérations conjointes avec des agents de la Commission nationale de l’informatique et des libertés doit s’exercer dans le respect du cadre constitutionnel et des exigences liées à la souveraineté nationale de la France.

Dans sa décision du 17 janvier 198035, le Conseil constitutionnel a jugé, à propos de la convention franco-allemande additionnelle à la Convention européenne d'entraide judiciaire en matière pénale du 20 avril 1959, que : « considérant que la convention franco-allemande n'apporte aucune atteinte à la règle qui découle du principe de la souveraineté nationale, selon laquelle les autorités judiciaires françaises, telles qu'elles sont définies par la loi française, sont seules compétentes pour accomplir en France, dans les formes prescrites par cette loi, les actes qui peuvent être demandés par une autorité étrangère au titre de l'entraide judiciaire en matière pénale; que les garanties de l'indépendance de ces autorités demeurent pour l'accomplissement de ces actes les mêmes que celles dont elles disposent dans l'exécution d'actes analogues demandés par les autorités françaises; que, dans ces conditions, la convention additionnelle n'est pas contraire à l'article 64 de la Constitution ».

Le Conseil constitutionnel a également jugé, à propos de l'accord de Schengen du 14 juin 198536, que : « Considérant que la procédure de poursuite transfrontalière régie par l'article 41 de la convention et dont les modalités d'exercice ont fait l'objet d'une déclaration du Gouvernement de la République sur le fondement du paragraphe 9 de l'article 41, n'est ni générale, ni discrétionnaire ; que cette procédure n'est applicable qu'à des hypothèses où il y a soit des infractions flagrantes d'une particulière gravité, soit une volonté de la part de la personne poursuivie de se soustraire à la justice de son pays ; que les agents poursuivants ne disposent en aucun cas du droit d'interpellation ; que l'entrée dans les domiciles et les lieux non accessibles au public leur est interdite ; considérant qu'en raison des modalités de son exercice, la procédure de poursuite transfrontalière ne procède pas à un "transfert de souveraineté" ; ».

En l’espèce, l’intervention prévue des agents d’autorités de contrôle étrangères est subordonnée à l’acceptation des autorités françaises, sauf cas particuliers : flagrance, volonté d’échapper à sa justice nationale etc. Le respect du droit français est un impératif et les autorités étrangères ne bénéficient pas de tous les pouvoirs : pas d’interpellation par exemple. Il s’agit par ailleurs de cas très particuliers pour la coopération policière comme un fait punissable pouvant donner lieu à extradition.

La convention Schengen n’est pas assimilable à la procédure de coopération entre autorités de contrôle en matière de protection des données prévue par le règlement. Il ne s’agit pas de coopération policière ou judiciaire mais d’agents d’autorité de contrôle. La jurisprudence du Conseil constitutionnel sur l’Accord de Schengen porte sur des arrestations, la poursuite par des agents étrangers au-delà de leurs frontières nationales, mais pas sur une coopération entre autorités administratives indépendantes ou des autorités de contrôle concernant des enquêtes de nature administrative.

Sur ce dernier point, la Cour de cassation a jugé, à propos du mécanisme de coopération entre autorités de la concurrence des Etats membres de l’Union européenne, prévu par le règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité, que les dispositions de l'article 22 de ce règlement ne subordonnent pas l'exécution de la mesure d'enquête sollicitée à l'autorisation préalable d'un juge de l'État pour le compte duquel elle est effectuée, et que l'autorisation et le déroulement de l'enquête sont régis par le droit national applicable dans l'État destinataire de la demande d'assistance sous le contrôle des juridictions compétentes de cet État et qu'il n'appartient pas au juge français d'autoriser ou de contrôler le déroulement de mesures d'enquête sur d'autres territoires que son territoire national37.

Au regard de ces éléments, l’article 5 du projet de loi prévoit de mettre en œuvre un système d’autorisation de l’autorité nationale (accord préalable de la CNIL), et les agents des autorités de contrôle étrangers seront sous le contrôle de la CNIL. Il s’agit d’un double contrôle par la CNIL et du respect de la souveraineté nationale.

La procédure est unifiée et applicable à l’ensemble des Etats membres de l’Union européenne. Le droit national, lors des contrôles opérés par des agents d’autorités de contrôle étrangères, trouvera à s’appliquer (par exemple, l’interdiction de contrôler un domicile).

En outre, ne sont pas concernés par la procédure de coopération les fichiers de souveraineté (intéressant par exemple la défense nationale).

Le projet de loi ne porte donc pas atteinte à la souveraineté nationale.

1.3. Cadre conventionnel

La section 1 du chapitre VII du règlement (articles 60 à 62) est consacrée à la coopération entre les autorités de contrôle. Le considérant 133 précise notamment que : « Les autorités de contrôle devraient s'entraider dans l'accomplissement de leurs missions et se prêter mutuellement assistance afin de faire appliquer le présent règlement et de contrôler son application de manière cohérente dans le marché intérieur. [...] ».

Un mécanisme de contrôle de la cohérence est prévu sous l’égide du comité européen à la protection des données qui regroupera l’ensemble des autorités de contrôle des Etats membres de l’Union européenne et le contrôleur européen à la protection des données.

L'ensemble du chapitre VII du règlement, de par son objectif d'une meilleure coopération et cohérence entre les autorités de contrôle, est très détaillé. Peu de marge de manœuvre sont laissées aux Etats membres sur ce point, sauf en matière de définition des pouvoirs d’enquête qui peuvent être confiés aux membres et agents associés aux opérations conjointes.

1.4 Éléments de droit comparé

Le projet de loi belge apporte des précisions d’ordre procédural sur le mécanisme de coopération (voir en ce sens l’article 67).

Le projet de loi luxembourgeois prévoit la possibilité pour les membres du collège, les membres suppléants et agents de la commission nationale pour la protection des données (CNPD) de communiquer des informations relevant du secret professionnel aux autorités de contrôle des autres États membres, au comité européen à la protection des données et à la Commission européenne les informations nécessaires à ceux-ci pour l’exercice de leur surveillance, à conditions qu’ils tombent sous un secret professionnel équivalent (article 45).

2. Objectifs poursuivis et nécessite de legiferer

2.1. Objectifs poursuivis

La mise en conformité du droit national doit s'inscrire dans les limites de ce que prévoit le règlement (UE) 2016/679 et permettre une coopération efficace entre les autorités de contrôle des Etats membres de l’Union européenne chargées de la protection des données à caractère personnel.

2.2. Nécessité de legiferer

Les relations entre la Commission nationale de l’informatique et des libertés et les autorités de contrôle des autres Etats membres de l’Union européenne nécessitent d’être profondément revues au regard des nouvelles dispositions du règlement (UE) 2016/679.

Des précisions législatives sont nécessaires afin notamment de répartir les rôles entre les formations collégiales de la Commission et son président.

En revanche, l’article 49 bis de la loi n° 78-17, qui concerne les relations entre la CNIL et une autorité de contrôle d’Etats non membres de l’Union européenne, n’est pas modifié par le présent projet de loi.

3. Options

Bien que le règlement soit directement applicable, il est proposé de modifier l’article 49 de la loi n° 78-17 qui figure dans les dispositions communes du projet de loi, pour préciser les modalités de coopération en dehors du champ d’application du règlement.

3.1. Répartition des compétences au sein de la CNIL en ce qui concerne la coopération (article 49-1)

3.1.1. Option 1 (écartée) : Compétence du collège, du bureau ou de la formation restreinte de la CNIL

Le règlement encadre la procédure de coopération dans des délais courts. A ce titre, il s'agit de savoir qui décide d’inviter d’autres autorités de contrôle à participer à des opérations conjointes décidées par la CNIL ou qui détermine l'étendue de la participation des agents de la CNIL auprès des autorités étrangères.

Il a été exclu de confier cette compétence à des organes collégiaux de la Commission (collège, bureau ou formation restreinte) au regard de la nécessaire réactivité que supposent de telles décisions.

3.1.2. Option 2 (retenue) : Compétence du président de la CNIL

Le projet de loi prévoit que c'est le président de la Commission qui invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes, décide de conduire ou se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités, et en informe l’autorité requérante.

Il s’agit de répondre ainsi à la nécessité d’une prise de décision rapide que la convocation d’organes collégiaux (bureau, formation restreinte) ne permettrait pas d’assurer systématiquement.

3.2. Participation des membres et agents des autres autorités de contrôle étrangères (article 49-1)

3.2.1. Option 1 (écartée) : Prévoir une simple participation passive des membres et agents des autorités de contrôle étrangères en cas de contrôle sur le territoire français

L'article 62.3 du règlement permet une marge de manœuvre pour déterminer l'étendue des pouvoirs qui peuvent être octroyés aux membres et agents des autorités de contrôle étrangères.

L’option constituant à limiter le rôle des membres ou agents des autorités de contrôle étrangères à une simple présence passive aux côtés des agents de la CNIL semble contraire à l’esprit du règlement qui invite à envisager une procédure intégrée et renforcée.

3.2.2. Option 2 (retenue) : Permettre au président de la CNIL d’habiliter les agents de l’autorité de contrôle étrangère pour exercer tout ou partie des pouvoirs de vérification et d’enquête des agents de la CNIL

Le projet de loi précise, d'une part, que des membres et agents de la Commission nationale de l’informatique et des libertés doivent être présents aux côtés des agents et membres étrangers lors des contrôles. Ils sont ainsi nécessairement soumis aux obligations qui incombent aux membres et agents de la CNIL.

D'autre part, il permet au président d’habiliter, par décision particulière, ceux des membres ou agents de l’autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la CNIL. Les contrôles auxquels participeront ces agents habilités, qui ne disposeront pas de pouvoirs plus étendus que ceux confiés à leurs homologues français, seront exercés sous l’autorité de la CNIL.

3.3. Cas de coopération lorsque la France est autorité chef de file (article 49-3)

Sur les éléments que la formation restreinte doit transmettre aux autres autorités concernées, il a été retenu que la transmission se fasse avant l’audition éventuelle du responsable de traitement, du sous-traitant ou d'un autre organisme par la formation restreinte.

S’agissant de la procédure contradictoire exigée par l’article 6§1 de la convention européenne des droits de l'homme dans le cadre de la procédure de coopération/ cohérence, le projet de loi prévoit que le contradictoire ait lieu selon les mêmes modalités qu’actuellement, c’est-à-dire avant l’audition par la formation restreinte (possibilité de répondre par écrit au rapport notifié) et au cours de l’audition (par oral). En revanche, après l’audition, s’ouvre une phase de délibéré qui, bien qu’élargie aux autres autorités concernées, reste une phase de délibéré interne à l’administration (une administration elle aussi « élargie »). Autrement dit, il n’est pas nécessaire de soumettre au contradictoire les éventuelles objections pertinentes et motivées ni l’avis ou la décision du comité européen de la protection des données.

Sur la participation des autres autorités à l’audience de la formation restreinte : dès lors qu’il y a codécision, les autorités concernées doivent être mises en mesure d’assister (vidéoconférence) ou de prendre connaissance de la teneur de l’audience de la formation restreinte (grâce à un procès-verbal). En revanche il n’a pas semblé nécessaire de prévoir une participation « active » (possibilité de poser des questions à l’organisme). Le règlement semble en effet ériger l’autorité chef de file en « guichet unique »38, vis-à-vis de l’organisme et de la collégialité des autorités.

Les conditions dans lesquelles le caractère contradictoire de la procédure est garanti à l’égard du ou des responsables de traitement et sous-traitants et les modalités de communication des pièces du dossier durant la procédure seront définies par un décret en Conseil d’Etat.

3.4. Répartition des compétences au sein de la CNIL lorsque la CNIL sera autorité concernée appelée à se prononcer sur un projet de mesure correctrice que lui transmettra une autre autorité chef de file (article 49-4)

Le schéma proposé repose sur deux principes : d'une part, l’aiguillage est centralisé au niveau du président ; d'autre part, les mesures sont ensuite fléchées, en fonction de leur objet, vers l’organe (président ou formation restreinte) qui aurait été compétent pour prendre la mesure équivalente.

Cet aiguillage est conforme au modèle français répartissant le pouvoir décisionnel entre des organes distincts de la CNIL.

Il est a priori nécessaire de prévoir les détails de cette répartition au niveau de la loi. Toutefois, et afin de tenir les délais restreints de réponse à un projet de mesure (4 semaines en application du 3 de l'article 60 du règlement), il conviendra d’envisager, dans le décret d’application, les solutions permettant de donner à la formation restreinte une plus grande souplesse et une plus grande réactivité qu’aujourd’hui.

4. Analyse des impacts de la disposition envisagée

La présente disposition modifie l’article 49 de la loi n°78-17 et créé quatre nouveaux articles qui :

- précise la coopération entre la CNIL et les autorités de contrôle des autres Etats membres de l’Union européenne dans le cadre d’opérations conjointes dans le cadre du champ d’application du règlement (UE) 2016/679 (art. 49-1) ;

- précise la coopération entre la CNIL et les autorités de contrôle des autres Etats membres de l’Union européenne pour les traitements relevant des dispositions de la loi n° 78-17 transposant la directive (UE) 2016/680 (art. 49-2) ;

- précise la procédure lorsque la CNIL agit en tant qu’autorité chef de file (art. 49-3) ;

- précise la répartition des compétences au sein de la CNIL lorsque cette dernière agit en tant qu’autorité concernée par un contrôle mené dans un autre Etat membre de l’Union européenne (art. 49-4).

5. Consultation et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 5

Décret en conseil d’Etat pris après avis de la Commission nationale de l'informatique et des libertés

Conditions d’application de l’article 49-3 de la loi n°78-17.

ARTICLE 6

MESURES CORRECTRICES ET SANCTIONS

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La Commission nationale de l’informatique et des libertés dispose d’un pouvoir de sanction prévu au chapitre VII de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, destiné essentiellement à la mise en conformité des responsables de traitement (articles 45 à 49 bis).

En vertu de l’article 45 de la loi n° 78-17, la procédure de sanction devant la CNIL s’articule entre les pouvoirs d'instruction et de mise en demeure du président de la Commission et les pouvoirs de sanction de la formation restreinte.

Lorsqu'un manquement à la loi est constaté, le président de la CNIL peut mettre en demeure le responsable de traitement de se mettre en conformité (article 45-I). La mise en demeure prescrit alors les mesures à adopter, dans le délai qu'elle fixe et qui ne peut être supérieur à trois mois, renouvelable une fois. La mise en demeure ne présente pas le caractère d'une sanction39. Cette mise en demeure peut être rendue publique sur décision du bureau. Si, à l'expiration du délai ainsi accordé pour se mettre en conformité, le responsable de traitement ne s’est pas conformé à la mise en demeure, le président de la CNIL peut saisir la formation restreinte (composée de six membres élus par leurs pairs), les membres du bureau ne pouvant plus siéger dans cette formation pour prononcer une sanction (article 45-II).

Le président de la Commission peut toutefois saisir directement la formation restreinte, lorsque le manquement ne peut plus faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure. Dans ce cas, qui correspond notamment à des hypothèses de manquements limités dans le temps et n'appelant pas ou plus de mesures de correction, comme des failles de sécurité, la formation restreinte peut prononcer directement une sanction (article 45-I alinéa 7).

Les sanctions peuvent consister en un avertissement, une sanction pécuniaire d'un montant maximal de 3 millions d'euros depuis la loi pour une République numérique du 7 octobre 2016 (contre 150 000 € auparavant), et/ou, le cas échéant, une injonction de cesser le traitement ou un retrait de l'autorisation accordée (article 47). La décision de sanction peut être rendue publique à l'initiative de la formation restreinte (article 46).

Les décisions prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’Etat (article 46) qui statue en premier et dernier ressort (article R. 311-1 4° du code de justice administrative).

L'article 45-III de la loi n° 78-17 prévoit également une procédure d'urgence. Dans ce cas, la formation restreinte peut prendre des mesures adaptées telles que l'interruption de la mise en œuvre du traitement ou le verrouillage des données.

En 2016, sur les 430 contrôles effectués, la CNIL a procédé à 82 mises en demeure et infligé 13 sanctions, dont 4 sanctions financières, toutes publiques et 9 avertissements40.

1.2. Cadre constitutionnel

Le Conseil constitutionnel considère que « le principe de la séparation des pouvoirs, non plus qu'aucun autre principe ou règle de valeur constitutionnelle, ne fait obstacle à ce qu'une autorité administrative indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis ; qu'en particulier, doivent être respectés le principe de la légalité des délits et des peines ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle ; que doivent également être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789 »41.

Le projet de loi maintient l'articulation actuelle entre les pouvoirs d'instruction et de mise en demeure du président de la CNIL et les pouvoirs de sanction de la formation restreinte.

Le Conseil d’Etat a jugé, à cet égard, que cette séparation des fonctions d'enquête et de poursuite de celles de sanction au sein de la CNIL, compte tenu de la distinction organique entre le président d’une part, et la formation restreinte d’autre part, est conforme aux droits et libertés garantis par la Constitution42 et ne méconnaît pas les principes d'indépendance et d'impartialité, faute de séparation des fonctions de poursuite et de sanction au sein de la CNIL43 .

Enfin, il est précisé que la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement de données à caractère personnel effectués par les juridictions agissant dans l’exercice de leur fonction juridictionnelle44. Le principe de séparation des pouvoirs et d’indépendance de l’autorité judiciaire sont ainsi respectés.

1.3. Cadre conventionnel

Le règlement (UE) 2016/679 se caractérise par la mise en place d’une approche de responsabilisation des organismes traitant des données à caractère personnel. Ce règlement prévoit ainsi de passer d’un système de contrôle ex ante de la CNIL à un système de contrôle ex post. Ce changement de paradigme permettra aux autorités de contrôle de concentrer davantage leurs actions sur la mission de sensibilisation et d’accompagnement des responsables de traitement et de disposer de moyens de contrôle et mesures correctrices plus conséquentes et dissuasives en cas de violation constatée des règles applicables.

L’article 58 du règlement (UE) 2016/679 et 47 de la directive (UE) 2016/680 prévoient les pouvoirs des autorités de contrôle45 en précisant leurs pouvoirs d’enquête (article 58.1 du règlement) et les mesures correctrices qu’elles peuvent prendre (article 58.2).

L’article 83 du règlement définit les conditions générales selon lesquelles les autorités de contrôle peuvent imposer des amendes administratives. Celles-ci peuvent s'élever jusqu'à 10 millions euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (20 millions d’euros ou 4 % du chiffre d'affaires en cas de non-respect d’une injonction).

Enfin, l’article 84 du règlement et l’article 57 de la directive prévoient que les Etats membres déterminent le régime des autres sanctions applicables en cas de violations du règlement, en particulier pour les violations qui ne font pas l'objet des amendes administratives, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions doivent être effectives, proportionnées et dissuasives.

En outre, ainsi qu’il a été dit précédemment, le projet de loi ne modifie pas la séparation entre les pouvoirs d'instruction et de mise en demeure du président de la CNIL et les pouvoirs de sanction de la formation restreinte. Cette dernière, qui peut prendre des sanctions, est soumise aux exigences qui découlent de l’article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment en termes de respect des droits de la défense et du caractère contradictoire de la procédure46 .

1.4. Eléments de droit comparé

Certains États membres de l’Union européenne ne permettent pas à leur autorité de protection des données d’adopter des mesures correctrices. L’entrée en vigueur du règlement (UE) 2016/679 conduira ces États à modifier les compétences de leurs autorités de contrôle.

Alors que les autorités de contrôle de l’Allemagne, d’Espagne, de la France, de l’Italie ou du Royaume-Uni peuvent déjà adopter des mesures correctrices, certains Etats membres modifient actuellement les pouvoirs de leurs autorités de contrôle afin de leur attribuer des pouvoirs de sanction à l’image de la Belgique47 et du Luxembourg48.

D’autres États membres complètent les pouvoirs dont disposaient déjà leurs autorités actuellement comme l’Allemagne49 dans le cadre de la loi générale sur la protection des données adoptée en juin 2017 (mais dont les dispositions relatives aux autorités de protection des données relèvent toutefois majoritairement des Länders) ou encore le Royaume-Uni50.

Le projet de loi organique espagnol renvoie expressément aux pouvoirs prévus aux articles 57 et 58 du règlement (UE) 2016/67951. Il n’attribue cependant pas de pouvoirs supplémentaires à l’autorité de protection des données nationale, mais des autorités de protection des données existent au sein des communautés autonomes.

2. Objectifs poursuivis et necessite de légiferer

2.1. Objectifs poursuivis

Le présent projet de loi remplace les articles 45, 46, 47 et 48 de la loi n° 78-17 pour permettre à la CNIL de prendre les mesures correctrices prévues par le règlement (UE) 2016/679 ou par la directive (UE) 2016/680 et compléter celles déjà existantes.

Ces dispositions visent principalement à attribuer à la Commission nationale de l’informatique et des libertés le pouvoir d’adopter les mesures correctrices rendues nécessaires par l’application du règlement, et le changement de paradigme qu’il opère.

Il s’agit de maintenir l’efficacité des mesures correctrices de la Commission nationale de l’informatique et des libertés dans le contexte de responsabilisation des acteurs. Il s’agit également de garantir une protection efficace des personnes concernées face aux traitements qui violeraient les dispositions de la loi ou du règlement européen.

Les mesures correctrices envisagées sont attribuées, selon qu’elles ont ou non le caractère de sanction, au président de la Commission nationale de l’informatique et des libertés ou à la formation restreinte de cette Commission. Elles permettront à la Commission d’agir en vue d’assurer le respect de la protection des données à caractère personnel tout en répondant aux nouvelles exigences du règlement.

2.2. Nécessité de legiferer

Le règlement met en place une approche de responsabilisation. Ce changement de paradigme nécessite, en contrepartie, d’adapter les missions et pouvoirs des autorités de contrôle, en particulier en matière de sanction.

Le texte proposé, en se conformant au règlement, adapte les mesures correctrices, plus conséquentes et dissuasives en cas de violation constatée des règles applicables.

3. Options

3.1. Remplacement de l’article 45 de la loi n° 78-17

3.1.1. Option 1 (écartée) : Ne pas prévoir une répartition des compétences entre le président et la formation restreinte en matière de mesures correctrices

Le règlement ne précise pas la réparation des pouvoirs au sein de l’autorité de contrôle.

Dans ces conditions, il aurait pu être envisagé de renvoyer au règlement intérieur de la Commission nationale de l’informatique et des libertés à la répartition des pouvoirs entre la présidence et la formation restreinte. Ce choix n’a pas été fait dans la loi n° 78-17 par le passé, il n’a pas été fait non plus dans le cadre de la loi n° 2017-55 relative aux autorités administratives indépendantes.

Cette possibilité a également été écartée afin de préserver le droit constant, en respectant ainsi la volonté récemment exprimée du législateur. Il s’agit en effet d’un élément important qui permet de définir le régime de poursuite et de sanction au sein de CNIL au regard des exigences constitutionnelles et conventionnelles précédemment rappelées.

3.1.2. Option 2 (écartée) : Procéder à un simple renvoi au règlement

Un simple renvoi aux dispositions de l’article 58.2 du règlement n’apparaît pas suffisant dans la mesure où ce dernier ne précise pas l’articulation qui doit s’opérer au sein de l’autorité de contrôle entre les fonctions d’instruction et de mise en demeure, et celles de sanction.

En outre, il a été décidé de doter la CNIL des mesures correctrices prévues par le règlement, y compris pour les traitements ne relevant pas de ce dernier (c’est-à-dire ceux relevant du champ d’application de la directive et ou qui sont hors du champ d’application du droit de l’Union européenne).

3.1.3. Option 3 (retenue) : Modification de l’article 45 de la loi n° 78-17 en renforçant les mesures que peut prendre la formation restreinte

Le projet de loi confère à la Commission nationale de l’informatique et des libertés la possibilité de prononcer les mesures correctrices de l’article 58.2 du règlement. Il adapte également la terminologie employée aux termes du règlement. Par exemple, le règlement évoque l’injonction de « mettre en conformité » et non la « mise en demeure ».

Le projet de loi précise la répartition des pouvoirs entre la présidence de la Commission nationale de l’informatique et des libertés et la formation restreinte.

Il attribue au président de la Commission nationale de l’informatique et des libertés un pouvoir d’avertissement du responsable de traitement ou sous-traitant qu’il est susceptible de violer le règlement. Il s’agit d’un avertissement qui n’a pas le caractère de sanction comme c’est le cas actuellement.

La formation restreinte peut, quant à elle, prononcer un « rappel à l’ordre » équivalent de l’actuel « avertissement ».

En outre, dans la mesure où l’article 84 du règlement et l’article 57 de la directive permettent de prévoir des sanctions supplémentaires, dès lors que celles-ci sont proportionnées et dissuasives au sens de ces articles par rapport à l’objectif de mise en conformité aux obligations des responsables de traitement52 il est proposé d’assortir d’une astreinte l’injonction à un responsable de traitement de se mettre en conformité avec la loi ou le règlement (UE) 2016/679 ou de satisfaire aux demandes présentées par une personne concernée en vue d'exercer ses droits. L’astreinte permettra ainsi de faire cesser rapidement l’atteinte aux droits des personnes concernées, alors qu’il pourrait apparaître économiquement rentable à certains organismes de perpétuer des traitements qui ne respectent pas le règlement ou la loi.

D’autres pouvoirs sont ajoutés, comme par exemple la possibilité, non-prévue par le règlement, de retirer la décision d’approbation d’une règle d’entreprise contraignante.

Il est à noter que plusieurs de ces mesures (par exemple le retrait de la certification et le retrait de la décision d’approbation d’une règle d’entreprise contraignante) sont prononcées par la formation restreinte à titre de sanction, sans préjudice de la possibilité pour l’organe qui aura délivré la certification ou la décision d’approbation (formation plénière) de les retirer lorsqu’il constatera (sans visée répressive) que les conditions légales ne seront objectivement plus remplies.

3.2. Remplacement de l’article 46 de la loi n° 78-17 relatif à la procédure d’urgence

3.2.1. Option 1 (écartée) : Ne pas préciser les modalités applicables à la procédure d’urgence

L’articulation entre l’actuelle procédure d’urgence de la loi n° 78-17 devant la formation restreinte et celle prévue à l’article 66 du règlement (qui permet à une autorité de protection des données de se dispenser provisoirement du mécanisme de coopération et de contrôle de cohérence prévu par ce règlement) est apparue complexe.

En effet, ces deux approches diffèrent sur plusieurs points :

- quant à la nature des mesures, puisque l’article 45.II de la loi n° 78-17 prévoit des mesures non-provisoires (comme l’avertissement), alors que l’article 66 du règlement ne permet à l’autorité concernée que de prendre des mesures provisoires ;

- quant au critère de l’urgence, l’article 45 de la loi n° 78-17 mentionne l’urgence à agir en présence d’une violation des droits et libertés, tandis que l’article 66 du règlement évoque des « circonstances exceptionnelles » et une « urgence à intervenir pour protéger les droits des personnes concernées ».

Cette option a donc été écartée.

3.2.2. Option 2 (retenue) : Prévoir une procédure d’urgence propre dans le cadre de la loi nationale

L’option retenue a été de prévoir une procédure d’urgence «  de droit commun » pour les cas n’appelant ni coopération ni cohérence entre autorités de contrôle ou pour les procédures hors du champ d’application du règlement.

Le projet de loi prévoit ainsi de maintenir les mesures que peut prendre actuellement la formation restreinte (1°, 2°, 6° et 7° du I de l’article 46 de la loi n° 78-17), en ajoutant d’autres types de mesures correctrices qui seraient susceptibles d’être prononcées dans le nouveau contexte juridique (suspension de la certification ou d’un agrément, suspension provisoire de l’autorisation délivrée au titre du chapitre IX concernant les traitements de données de santé) ou encore qui apparaissent opportunes (injonction).

Les II et III résultent de la nécessité de mettre en œuvre les paragraphes 2 à 4 de l’article 66 du règlement.

Le IV de l’article 46 proposé reprend l’article 45.III actuel de la loi n° 78-17.

3.3. Modification de l’article 47 de la loi n° 78-17

3.3.1. Option 1 (écartée) : Suppression de la publicité des mesures prises par la formation restreinte

Le second alinéa aurait pu supprimer la publication de la mesure prise par la formation restreinte. Cette option a cependant été écartée en raison du caractère dissuasif de cette mesure et de la sensibilisation qu’apporte une telle publication.

3.3.2. Option 2 (retenue) : Maintien du droit existant

Le projet de loi propose de maintenir le droit existant concernant la procédure de sanction (article 46 de la loi n° 78-17).

Le second alinéa prévoit la publicité de la sanction. Cette publicité n’est pas prévue par le règlement mais est ajoutée compte tenu de la marge de manœuvre précitée de l’article 84 du règlement dès lors que la décision de rendre publique la sanction prononcée a le caractère d’une sanction complémentaire53. Ce pouvoir permet une meilleure harmonisation du droit. Elle permet également la sensibilisation des personnes concernées, des responsables de traitement et sous-traitant permettant à ces publics de prendre des mesures appropriées pour les traitements de données qu’ils opèrent.

3.4. Remplacement de l’article 48 de la loi n° 78-17 pour introduire un mécanisme de retrait d’agrément

3.4.1. Option 1 (écartée) : Se limiter aux manquements des seuls responsables de traitement et sous-traitants

Les articles 45 et 46, tels que proposés par le projet de loi, prévoient des mesures correctrices à l’encontre des responsables de traitement et sous-traitants, ainsi que le garantit le règlement. Il aurait dès lors été possible de ne pas prévoir d’autres possibilités de mises en demeure ou sanction. Cette possibilité a été écartée.

3.4.2. Option 2 (retenue) : Prévoir un mécanisme de retrait d’agrément

Il apparaît nécessaire de prévoir des pouvoirs répressifs contre d’autres types d’opérateurs que le règlement place dans le champ de compétence de la Commission nationale de l’informatique et des libertés, à savoir les organismes de certification de l’article 43 du règlement et les organismes chargés du respect d’un code de conduite de l’article 41 de ce même règlement.

En effet, dans le cadre de la nouvelle logique de responsabilisation prévue par le règlement, ces opérateurs vont jouer un rôle important pour accompagner les responsables de traitement ou sous-traitants. Il est donc apparu pertinent de pouvoir prononcer à leur encontre un retrait d’agrément lorsque ces derniers ont manqué à leur obligation ou n’ont pas respecté les dispositions de la loi ou du règlement.

Pour la procédure, il est renvoyé à celle applicable aux responsables de traitements pour souci de clarté.

4. analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

La présente disposition vise à remplacer et à adapter les articles 45 à 48 de la loi n° 78-17 pour conférer à la Commission nationale de l’informatique et des libertés de nouveaux pouvoirs. Certains d’entre eux ont un impact juridique direct dès lors que ces mesures, même si elles ne présentent pas toutes le caractère de sanction, constituent des décisions susceptibles de recours54.

Le texte proposé permet une meilleure articulation avec les procédures de cohérence, de coopération et d’urgence prévues par le règlement.

4.2. Impacts sur les services judiciaires

Dans la mesure où le règlement est construit sur une logique de renforcement du contrôle a posteriori des autorités de contrôle, accompagné d’un accroissement substantiel du montant des amendes, en contrepartie de l’allègement du contrôle ex ante du fait de la suppression de la plupart des formalités préalables pour les responsables de traitement, une augmentation des recours dirigés contre les décisions prises par la Commission nationale de l’informatique et des libertés au titre de sa mission de contrôle pourrait intervenir.

Toutefois, cette augmentation pourrait rester mesurée au vu du nombre de sanctions infligées par la CNIL en 2016 (13 sanctions, dont 4 sanctions financières et 9 avertissements).

4.3. Impacts sur les finances publiques

Les sanctions envisagées par le règlement étant plus proportionnées aux bénéfices des responsables de traitement, particulièrement les grands groupes multinationaux (jusqu’à 20 millions euros ou 4 % du chiffre d'affaires annuel, contre 3 millions d’euros actuellement) et les sous-traitants étant également passibles de certaines mesures correctrices, elles pourraient avoir un effet positif sur les finances publiques dans certains cas de non-respect du règlement, les sanctions pécuniaires étant recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.

Il est précisé par ailleurs que le projet de loi, maintenant sur ce point l’article 45 de loi n° 78-17, exclut la possibilité de prononcer des sanctions pécuniaires dans le cas de traitements mis en œuvre par l’Etat.

4.4. Impacts sur les collectivités territoriales

Les mesures proposées, qui renforcent les pouvoirs de sanction et les mesures correctrices que peut prendre la Commission nationale de l’informatique et des libertés, peuvent concerner les collectivités territoriales, en tant qu’elles sont responsables de traitement.

Il convient de relever à cet égard que les contrôles opérés concernent majoritairement les opérateurs de secteur privé. Ainsi, en 2016, comme l’année précédente, 70 % des missions de contrôle réalisées ont concerné le secteur privé, 30 % le secteur public. S’agissant plus spécifiquement des contrôles en ligne, ce sont 90 % des vérifications qui ont été menées dans le secteur privé55.

Les sanctions prononcées par la Commission à l’encontre des collectivités territoriales restent également peu nombreuses : un seul avertissement non public à une collectivité territoriale (en raison de données inadéquates, non pertinentes et excessives et un défaut d'information concernant un traitement de gestion des inscriptions scolaires) et deux mises en demeure non publiques à des communes (pour défaut d’information des personnes et défaut de sécurité et de confidentialité en matière de demande d’état civil en ligne, et défaut d’information et d’accord préalable des personnes en matière de dépôt de cookies) en 201556. En revanche, aucune sanction financière n’a été prononcée à l’encontre d’une collectivité territoriale en 2015 et en 2016.

4.5. Impacts sur les particuliers

L’impact des mesures proposées est très important puisqu’elles sont de nature à assurer une réelle effectivité des droits des personnes concernées par des mesures dissuasives et proportionnées. En particulier, l’astreinte envisagée assurera le caractère dissuasif des mesures correctrices dans le temps.

Enfin, la publication des mesures permettra une meilleure information des personnes concernées quant aux comportements relatifs à leurs données.

4.6. Impacts sur les entreprises

Les mesures proposées ont pour objet d’avoir un effet dissuasif sur les entreprises, responsables de traitement, mais également sous-traitants de ces derniers.

Dans le cas d’un avertissement, les entreprises qui seraient susceptibles de violer les dispositions pourraient éviter des amendes administratives importantes, lesquelles sont substantiellement renforcées par le règlement.

5. Consultations et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Le Conseil national d’évaluation des normes a également été consulté, en application de l’article L. 1212-2 du code général des collectivités territoriales, et a rendu un avis favorable lors de sa séance du 30 novembre 2017.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du projet de loi renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 6 (III)

Décret en Conseil d’Etat

Définition de la procédure d’urgence contradictoire.

CHAPITRE II

DISPOSITIONS RELATIVES A CERTAINES CATEGORIES DE DONNEES

ARTICLE 7

DONNÉES SENSIBLES

1. DIAGNOSTIC

1.1. ETAT DES LIEUX

Le premier alinéa de l’article 8 de la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés, issu de la transposition de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, pose le principe de l’interdiction de collecter ou de traiter « des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. ». Il s’agit de données qui touchent à l'intimité de la personne ou sont susceptibles de donner lieu à des discriminations.

Des dérogations à cette interdiction sont toutefois prévues, tenant soit à l'objet du traitement soit au consentement de l'intéressé, pour :

- Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction ne peut être levée par le consentement de la personne concernée (consentement susceptible d'être affecté par un lien de subordination, une situation particulièrement éprouvante ou contrainte, etc.) ;

- Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

- Les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, sous certaines conditions ; il s’agit du cas où la donnée constitue l'objet même de l'association ou de l'organisme avec lequel la personne entretient volontairement une relation ;

- Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

- Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;

- Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

- Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels ;

- Les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé.

Deux autres dérogations sont également prévues : l’une fondée sur « l'anonymisation à bref délai », qui permet, dès lors que les conditions de sécurité sont remplies, de considérer le risque d'exploitation de la donnée sensible comme nul ; l’autre, tenant à « l'intérêt public » du traitement mis en cause, qui peut justifier la collecte et le traitement des données sensibles. Dans ce cas, les traitements doivent être autorisés par la Commission nationale de l’informatique et des libertés sur le fondement des articles 25 ou 26 de la loi n° 78-17 selon les cas de figure.

L’énumération actuelle des données dites « sensibles » à l’article 8 de la loi n° 78-17 ne correspond pas tout à fait aux catégories particulières de données à caractère personnel énoncées à l’article 9 du règlement (UE) 2016/679 ou à celles prévues à l’article 10 de la directive (UE) 2016/680.

Par rapport à la rédaction du premier alinéa de l’article 8 de la loi n° 78-17, les deux textes européens prévoient également, dans le champ des données sensibles, les données génétiques et les données biométriques. Ils contiennent par ailleurs des différences sémantiques : l’origine au singulier et non au pluriel, le terme de « convictions » religieuses ou philosophiques plutôt que celui d’« opinions ». Il en va, enfin de même concernant les données sur « la vie sexuelle ou l’orientation sexuelle », tandis que le droit national mentionne seulement la « vie sexuelle ».

1.2. CADRE CONSTITUTIONNEL

Le Conseil constitutionnel, dans sa décision du 29 juillet 2004, se prononçant sur l’article 8 de la loi n° 78-17, a jugé que ces dispositions se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l'article 8 de la directive 95/46/CE du 24 octobre 1995 sur lesquelles il ne lui appartient pas de se prononcer. Dès lors, et conformément à sa jurisprudence relative à la transposition des directives européenne, le Conseil a jugé conforme à la Constitution l’article 8 de la loi du 6 janvier 1978, après avoir considéré que le grief tiré de l'atteinte au respect de la vie privée, invoqué à l’encontre de la dérogation prévue à l’interdiction de traitement de données sensibles pour les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice, ne peut être utilement présenté devant lui57.

Il a confirmé sa jurisprudence à propos de la dérogation également prévues pour les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé58.

1.3. CADRE CONVENTIONNEL

L'article 6 de la convention n° 108 du Conseil de l'Europe du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, prévoit que : « Les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales ».

Le « paquet européen de protection des données » pose également, de façon similaire pour le règlement (UE) 2016/679 (article 9) et pour la directive UE 2016/680 (article 10), un principe d’interdiction de traitement des données sensibles, assorties de certaines exceptions: « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. […] ».

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER

2.1. OBJECTIFS POURSUIVIS

L’objectif poursuivi par cette disposition est la mise en cohérence de l’ensemble du droit national afin de proposer un cadre juridique unifié pour l’encadrement des traitements des données dites « sensibles ».

2.2. NECESSITE DE LEGIFERER

Il est nécessaire de modifier les dispositions de la loi n° 78-17 qui entrent dans le champ d’application du règlement général de protection des données et de la directive en ajoutant les données génétiques et les données biométriques aux fins d'identifier une personne physique de manière unique à cette liste. Ces données font déjà l’objet d’une protection particulière en droit national de par les formalités préalables qui leur est appliqué (régimes d’autorisation prévus aux articles 25 et 27 de la loi n° 78-17).

Dans un souci de cohérence, il est proposé d’appliquer une énumération unique des données sensibles à l’ensemble du projet de loi.

3. OPTIONS

3.1. Option 1 (écartée) : Ne pas modifier l’énumération des catégories particulières de données pour les traitements qui ne relèvent pas du champ du droit de l’Union européenne

Il pourrait être envisagé de ne modifier la liste des catégories particulières de données que pour les traitements relevant de la directive. Le règlement étant d’application directe, cette définition trouvera à s’appliquer sans nécessité de modifier la loi n° 78-17 pour les traitements entrant dans le champ du règlement.

Ainsi, deux listes distinctes mais proches subsisteraient dans l’ordre juridique interne. Cela créerait une difficulté d’appréhension du droit par les acteurs d’une part, conduirait à une baisse du niveau de protection des données à caractère personnel les plus sensibles dans certains traitements mis en œuvre par l’Etat (défense nationale par exemple) et pour les données sensibles des personnes décédées, d’autre part.

Dans un souci de cohérence du droit de la protection des données à caractère personnel, cette option n’a pas été retenue.

3.2. Option 2 (retenue) : Définition unique des catégories particulières de données pour l’ensemble du droit national

Il est proposé d’augmenter le niveau de protection en intégrant dans le champ des données sensibles les données biométriques et génétiques pour l’ensemble du droit national, y compris pour les traitements ne relevant pas du droit de l’Union européenne.

En effet, la France a toujours protégé ces deux catégories particulières de données (notamment par la mise en place de la formalité préalable d’autorisation) même si elles n’apparaissaient pas dans la liste énoncée au premier alinéa de l’article 8 de la loi n° 78-17. Cette insertion permet d’interdire en principe leur traitement.

Dans un souci de cohérence du droit national, ainsi que de sécurité juridique tant pour les responsables de traitement que pour les personnes concernées, il est proposé d’étendre la qualification de catégorie particulière de données aux données génétiques et biométriques, à l’instar du droit européen applicable, à l’ensemble des dispositions nationales.

Dans la mesure où les données biométriques constituent des données sensibles dont le traitement est en principe interdit, il est apparu nécessaire de maintenir une dérogation à l’interdiction posée au premier alinéa de l’article 8 pour les traitements mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques nécessaires aux contrôles de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents, actuellement autorisés par la CNIL59 sur le fondement de l’article 25 de la loi n° 78-17 abrogé par le présent projet de loi.

La dérogation également prévue pour les traitements mis en œuvre par l’Etat, dans l’exercice de ses prérogatives de puissance publique, portant sur des données génétiques ou biométrique aux fins d’authentification ou d’identification, est quant à elle maintenue (cf. infra, article 9).

Ces dérogations complètent les cas dans lesquels des données sensibles peuvent être exceptionnellement traitées en vertu du deuxième alinéa de l’article 8 de la loi n° 78-17, outre les cas prévus par l’article 9.2 du règlement.

Enfin, la loi n° 2017-86 du 27 janvier 2017 relative à l'égalité et à la citoyenneté a remplacé dans le code pénal et d’autres textes l’expression « en raison de la race » par « en raison de la prétendue race ». Il est apparu cohérent de faire de même pour la notion « d’origine raciale », et de parler de « prétendue origine raciale » dans le cadre de la loi n°78-1760.

4. ANALYSE DES IMPACTS DE LA DISPOSITION ENVISAGÉE

4.1. IMPACTS JURIDIQUES

L’impact juridique est l’insertion de deux nouvelles catégories particulières de données dont le traitement est en principe interdit : les données génétiques et les données biométriques aux fins d'identifier une personne physique de manière unique.

Les modifications sémantiques sont quant à elles mineures et ne devraient pas emporter d’impact juridique par rapport au droit existant. En effet, et à titre d’exemple, si l’article 8 de la loi n° 78-17, dans sa rédaction actuelle, ne mentionne pas expressément l’orientation sexuelle parmi les données sensibles, le juge fait déjà une interprétation extensive des données relatives à la vie sexuelle pour y intégrer cette notion. Ainsi, le Conseil d’Etat a jugé que les données relatives aux signataires de pacte civil de solidarité, si elles n'ont pas pour objet de révéler les orientations sexuelles des personnes concernées, peuvent néanmoins permettre de déduire l'existence d'une vie de couple entre des personnes de même sexe, ce qui justifie la limitation à certaines catégories de tiers de la communication de ces informations61.

4.2. IMPACTS SUR LES PARTICULIERS

Du fait de l’interdiction de principe de traiter ces catégories particulières de données, le droit à la protection des données à caractère personnel est renforcé à l’égard des personnes concernées pour les traitements ne relevant pas du droit de l’Union européenne.

5. Consultation

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

TITRE II

MARGES DE MANOEUVRE PERMISES PAR LE REGLEMENT (UE) 2016/679 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF A LA PROTECTION DES PERSONNES PHYSIQUES A L'EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL ET A LA LIBRE CIRCULATION DE CES DONNEES, ET ABROGEANT LA DIRECTIVE 95/46/CE

CHAPITRE IER

CHAMP D’APPLICATION TERRITORIAL DES DISPOSITIONS COMPLETANT LE REGLEMENT (UE) 2016/679

ARTICLE 8

CRITERE D’APPLICATION DU DROIT

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La question du champ d’application du règlement (UE) 2016/679 constitue l’une des innovations majeures par rapport à la directive 95/46/CE. L’article 3 du règlement prévoit un double champ d’application.

D'une part, il est applicable aux traitements effectués dans le cadre des activités d'un établissement, d'un responsable du traitement ou d'un sous-traitant dès lors que celui-ci se trouve sur le territoire de l'Union, peu importe que le traitement ait lieu ou non dans l'Union. Il s’agit en quelque sorte d’un critère organique (article 3-1).

D'autre part, le règlement est également applicable selon un « critère matériel », peu important que l'établissement soit sur le territoire de l’Union, dès lors que le traitement est effectué à l'égard des résidents européens. Il suffit alors que l’offre de biens ou de services à des personnes concernées se déroule dans l’Union ou que leur comportement dans l’Union soit suivi (article 3-2).

Le règlement a donc une cohérence globale vis-à-vis des responsables de traitements présents dans ou en dehors de l'Union. Il précise à cet égard qu’il « devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données ».

Si le champ d’application du règlement (UE) 2016/679 est déjà défini par celui-ci, en revanche, le champ d’application des marges de manœuvres des États membres octroyées par le règlement doit être défini afin d’éviter des conflits de normes en cas de dispositions divergentes selon les législations nationales.

En effet, se pose la question du critère à retenir pour la législation applicable entre États membres de l’Union en cas de divergences compte tenu des choix différents dans l’exercice des marges de manœuvre permises par le règlement. Cette question n’est pas abordée par ce dernier. Les spécificités nationales peuvent concerner les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, la coopération et la cohérence, ainsi que les situations particulières de traitement des données.

Par exemple, l’article 9(4) du règlement permet une marge de manœuvre plus protectrice en ce qui concerne les traitements de données génétiques, biométriques ou concernant la santé. Si la France est plus protectrice qu’un autre Etat membre, se posera la question du droit applicable au traitement réalisé dans cet autre Etat membre et relatif à un résident en France.

Cette question pose des enjeux en termes de protection des droits fondamentaux des personnes concernées (par exemple s’agissant de l’âge du consentement des mineurs), mais également d’attractivité du territoire dès lors que la législation applicable peut constituer un critère important pour une entreprise qui souhaite s’implanter à l’étranger.

Actuellement, l’article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoit le champ d’application suivant :

« I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

En vertu de cet article, le droit national s’applique lorsque le responsable est établi en France (I-1°) ou à défaut, en absence d’établissement en France ou dans l’Union européenne, lorsque le responsable recourt à des moyens de traitement sur le territoire français (I-2°). Ces critères de détermination du droit applicable ne tiennent pas compte du lieu de résidence de la personne concernée.

L’article 8 du présent projet de loi doit se lire en cohérence avec l’article 3 du règlement précité, directement applicable à compter du 25 mai 2018.

L’article propose ensuite, pour l’application des marges de manœuvres ainsi que les autres dispositions, de retenir le critère de résidence de la personne concernée, à l’exception des traitements mentionnés à l'article 85-2 du règlement, en matière de la liberté d’expression et d’information qui relèveraient du critère d’établissement du responsable de traitement.

1.2. Cadre conventionnel

Le règlement a une cohérence globale vis-à-vis des responsables de traitements présents dans ou en dehors de l'Union. Il précise à cet égard qu’il « devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données » (considérant 14).

En ce qui concerne les marges de manœuvre, le règlement est en revanche silencieux, à l’exception de son considérant 153 qui indique, s’agissant des exemptions au nom de la liberté d’expression et d’information (article 85), que « Dans le cadre du traitement de données à caractère personnel uniquement à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et le droit à la liberté d'expression et d'information, consacré par l'article 11 de la Charte. Tel devrait notamment être le cas des traitements de données à caractère personnel dans le domaine de l'audiovisuel et dans les documents d'archives d'actualités et bibliothèques de la presse. / (…) Lorsque ces exemptions ou dérogations diffèrent d'un État membre à l'autre, le droit de l'État membre dont relève le responsable du traitement devrait s'appliquer. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, telles que le journalisme. ». L’article 85.1 du règlement, en écho à ce considérant, prévoit que les Etats membres peuvent prévoir des exemptions ou dérogations si elles sont nécessaires pour concilier le droit la protection des données et la liberté d’expression et d’information.

C’est la raison pour laquelle le projet de loi réserve en particulier cette situation qui trouvera à s’appliquer par exemple dans le domaine de la presse.

1.3. Eléments de droit comparé

Lors des réunions relatives à la mise en œuvre du règlement qui ont eu lieu à la Commission européenne, sont apparues des positions divergentes entre les Etats membres. Certains ont annoncé qu’ils retiendraient un critère d’établissement unique pour l’ensemble des marges de manœuvres, d’autres semblent privilégier des critères combinant l’établissement et la résidence. Enfin, certains Etat préfèrent ne pas inscrire de critères dans leur projet de loi afin de laisser les règles classiques de conflits de normes s’appliquer.

Par exemple, la loi allemande (section 1 (4))62 semble privilégier formellement un critère d’établissement qui ne serait pas nécessairement celui de l’établissement principal. Outre la situation des organismes publics, la loi allemande est applicable pour les organismes privés si :

- le responsable de traitement ou le sous-traitant traite des données personnelles en Allemagne ;

- les données à caractère personnel sont traitées dans le contexte d’une activité d’un établissement en Allemagne ;

- si le responsable de traitement ou le sous-traitant, bien que n’ayant pas d’établissement dans un Etat membre, relève du champ d’application du règlement.

Or l’article 4 du règlement définit le « traitement » comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

Par conséquent, dès lors qu’un responsable de traitement traite une donnée d’une personne présente en Allemagne (y compris la collecte) alors le droit allemand s’appliquera, ce qui revient à appliquer un critère semblable à celui proposé par le projet de loi.

2. Objectifs et necessite de legiferer

2.1. Objectifs poursuivis

La précision dans la loi du critère d’application a pour objet de garantir une sécurité juridique pour les responsables de traitement afin de connaître quelle est la législation applicable en cas de législation différente entre Etats membres de l’Union européenne. Une telle sécurité juridique participe de l’attractivité du territoire national.

Il s’agit également de garantir la protection des données à caractère personnel des personnes présentes sur le territoire français.

2.2. Nécessité de legiferer

Le règlement ne contient aucune disposition relative aux critères d’applicabilité du droit lorsque des règles nationales précisant des marges de manœuvre permises par le règlement conduisent à des divergences de législation entre Etats membres de l’Union européenne.

Dans ces conditions, la loi nationale pourrait être silencieuse, laissant le soin aux tribunaux d’appliquer le droit applicable en cas de contentieux. Toutefois, cette option ne semble pas satisfaisante au regard, d’une part, du principe de sécurité juridique, d’autre part, des enjeux liés aux droits des personnes concernées.

3. Options

3.1. Inscrire dans la loi un critère d’application

3.1.1. Option 1 (écartée) : Ne rien prévoir dans la loi

Il aurait pu être décidé de ne rien indiquer dans la loi et laisser les juridictions, en cas de contentieux, appliquer les règles classiques en cas de conflit de normes internationales. Cette option ne semblait pas satisfaisante au regard des objectifs de sécurité juridique, ce d’autant que le règlement ne contient aucune disposition sur ce point.

3.1.2. Option 2 (retenue) : Fixer dans la loi des critères d’application

Par souci de sécurité juridique, il a été préféré de prévoir expressément dans la loi les critères d’application en cas de divergences de législations entre Etats membres liées aux marges de manœuvre prévues par le règlement.

A titre d’exemple, s’agissant de la marge de manœuvre permise par l’article 8 du règlement relatif à l’âge du consentement des enfants en ce qui concerne les services de la société de l'information, l'article 3 alinéa 3 du code civil dispose que : « Les lois concernant l'état et la capacité des personnes régissent les Français, même résidant en pays étranger ».

La définition de la majorité, et corrélativement de la minorité, est indubitablement à rattacher à la capacité des personnes. La détermination des actes susceptibles d'être réalisés, par exception, par le mineur semble devoir l'être également. En effet, dans le code civil, l'article 388-2 par exemple relève du titre X relatif à la minorité, la tutelle et l'émancipation, et non du titre IX relatif à l'autorité parentale, bien que l'intervention des administrateurs légaux soit nécessaire. Le critère d'application du droit français fondé sur la nationalité de l'article 3 alinéa 3 du code civil est donc actuellement applicable.

Si l'on souhaite qu'un autre critère lui soit substitué pour la question de la capacité du consentement d'un mineur au traitement des données personnelles, en l’occurrence le critère de la résidence, une disposition légale spécifique est nécessaire pour déroger à ce principe, comme par exemple l'article 311-14 du code civil pour la loi applicable à la filiation.

3.2. Choix du critère d’application

3.2.1. Option 1 (écartée) : critère de l’établissement du responsable de traitement

Les principes du marché intérieur du droit de l’Union européenne conduiraient à privilégier le critère de l'établissement principal du responsable du traitement, c’est-à-dire le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement ait le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal.

Le critère d’établissement aurait pour avantage premier de permettre au responsable de traitement de n’appliquer qu’un seul droit. Cela permet de réduire les charges administratives et la complexité juridique pour ce responsable.

Dans une telle hypothèse, le droit applicable aux personnes concernées pourrait varier en fonction du lieu d'établissement principal du responsable de traitement ou de son sous-traitant.

Cela reviendrait à faire application du droit d’autres Etats membres pour des traitements de données qui touchent des résidents français. Par exemple, si l’Irlande choisit, comme âge de consentement des mineurs en ce qui concerne l’offre directe de services de la société de l’information, l’âge de 13 ans, cette disposition s’appliquerait aux résidents français pour ce qui est de l’utilisation de services tels que Google ou Facebook dont le siège de leur filiale européenne se trouve en Irlande.

3.2.2. Option 3 (retenue) : Lieu de résidence de la personne concernée

Le critère du lieu de la collecte de la donnée est opportun lorsqu’il est préférable d’appliquer le régime national à des domaines spécifiques, notamment lorsque ce droit est plus protecteur.

Ce critère est plus protecteur pour les personnes physiques concernées, qui n’ont alors pas à s’interroger sur le droit applicable dans un autre Etat membre de l’Union, lequel n’est bien souvent pas accessible dans leur langue. Le considérant 14 du règlement précise à cet égard que : « La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. »

En outre, une telle option est plus respectueuse de la souveraineté du droit national : dès lors qu’il s’agit d’une marge de manœuvre, les États membres appliquent leur droit lorsqu’il s’agit d’adapter ou de compléter les droits et obligations prévus par le règlement.

Dans le cas où une autorité de contrôle d’un autre Etat membre de l’Union serait autorité de contrôle chef de file (logique de « guichet unique »), celle-ci serait tenue d’appliquer le droit français s’il s’agit de constater un manquement pour un résident. Le juge du pays de l’autorité de contrôle concernée pourrait ainsi potentiellement se prononcer sur l’application et l’interprétation du droit français.

Dès lors que les Etats membres ne se sont pas entendus sur certaines dispositions et que des marges de manœuvre existent, il est cohérent que chaque Etat puisse appliquer les choix politiques que le législateur national a faits.

3.3. Exclusion pour les traitements relatifs à la liberté d’expression et d’information

3.3.1. Option 1 (écartée) : Aucune dérogation

Il aurait pu être proposé de ne prévoir aucune dérogation pour ce type de traitement, ce qui aurait conduit à faire application du critère du lieu de résidence de la personne comme pour les autres marges de manœuvre.

Cette option a été écartée pour deux raisons.

D’une part, le considérant 153 du règlement précise que « lorsque ces exemptions ou dérogations diffèrent d'un État membre à l'autre, le droit de l'État membre dont relève le responsable du traitement devrait s'appliquer ».

D’autre part, en matière de traitements à des fins journalistiques, il est important que le droit applicable soit celui du lieu d’établissement eu égard aux exigences liées à la liberté de la presse et des médias. Ainsi, une entreprise de presse établie en France n’aura pas à respecter des prescriptions particulières d’un autre Etat membre lorsqu’elle traite des données à caractère personnel.

3.3.2. Option 2 (retenue) : Prévoir une dérogation pour les traitements relatifs à la liberté d’expression et d’information

Prenant en compte le considérant 153 du règlement, le projet de loi prévoit une dérogation au critère de résidence au droit applicable qui dépendra du lieu de l’établissement.

Cette hypothèse a vocation à concerner par exemple les traitements de données à caractère personnel à des fins de journalisme et leur cession à des fins commerciales. A cet titre, la Cour de justice a jugé que : « L’article 9 de la directive 95/46 doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées “aux seules fins de journalisme“ au sens de cette disposition, si lesdites activités ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il appartient à la juridiction nationale d’apprécier »63.

Ainsi, par exemple, un site internet de presse établi en France n’aura pas à respecter des prescriptions particulières d’un autre Etat membre lorsqu’elle traite des données à caractère personnel. Dans le cadre d’une procédure de coopération engagée dans le cadre d’un traitement transfrontalier à l’égard d’un responsable de traitement établi en France, c’est le droit national qui s’appliquerait, notamment s’agissant des pouvoirs de la CNIL. Ainsi, le responsable de traitement pourrait opposer le secret des sources journalistiques qui s’appliquera en France (comme le prévoit l’article 4 du projet de loi), ce qui ne serait pas forcément le cas dans un autre Etat membre de l’Union européenne, l’article 90 du règlement permettant à chaque Etat membre d’adopter des règles spécifiques en matière d’obligations de secret.

4. analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

La disposition proposée permet de garantir une plus grande sécurité et une meilleure accessibilité juridique, tant pour les entreprises et les particuliers, qui connaîtront le critère permettant de définir le droit applicable en cas de législations nationales divergentes au sein de l’Union européenne, que pour les juridictions, appelées à trancher un conflit de normes qui pourrait se présenter dans le cadre de recours dont elles seraient saisies.

4.2. Impacts sur les particuliers

La disposition proposée vise à assurer une protection plus importante des droits des personnes concernées lorsque le législateur ou le pouvoir règlementaire décide de mettre en œuvre une marge de manœuvre.

4.3. Impact sur les entreprises

Pour les responsables de traitement et sous-traitants ayant un établissement en France, cette mesure n’a aucun impact.

Pour les autres responsables de traitement ayant un établissement à l’étranger (sur le territoire de l’Union européenne ou à l’extérieur), il leur appartiendra de respecter les dispositions de la loi française lorsque celle-ci aura prévu d’adapter ou de compléter les droits et obligations prévus par le règlement.

5. Consultation

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

CHAPITRE II

DISPOSITIONS RELATIVES A LA SIMPLIFICATION DES FORMALITES PREALABLES A LA MISE EN OEUVRE DES TRAITEMENTS

ARTICLE 9

ALLEGEMENT DES FORMALITES PREALABLES

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés consacre un chapitre aux formalités préalables à la mise en œuvre des traitements  (Chapitre IV, articles 22 à 31) qui donne un rôle central à la Commission nationale de l’informatique et des libertés.

Pour être mis en œuvre, les traitements doivent soit être déclarés à la Commission nationale de l’informatique et des libertés (article 22) soit autorisés par celle-ci (article 25) soit encore autorisés par arrêté ou décret en Conseil d’Etat après avis de la Commission (article 26 et 27).

Cette gradation dans les formalités préalables tient compte à la fois de la finalité du traitement, de sa sensibilité en termes de type de données traitées et de l'identité de son responsable.

Exemples de traitements soumis aux formalités prévues par les articles 25 à 27 de la loi n° 78-17 :

Loi n° 78-17 actuelle

Exemples

Article 25

 

I. - Sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

 

1° Les traitements, automatisés ou non, mentionnés au 7° du II [statistiques INSEE], au III [données rapidement anonymisées] et au IV [intérêt public] de l'article 8 ;

- Délibération n° 2008-005 du 10 janvier 2008 portant autorisation unique de mise en œuvre par les entreprises ou organismes exploitants de médicaments de traitements automatisés de données à caractère personnel relatifs à la gestion des données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché (n° AU-013) [article 8.IV] ;

- Délibération n° 2013-406 du 19 décembre 2013 autorisant le ministère de l’intérieur à mettre en œuvre un dispositif composé de deux traitements automatisés de données à caractère personnel ayant pour finalités la gestion des candidatures ainsi que le suivi des mandats électoraux et des fonctions électives. [article 8.IV].

2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;

- Délibération n° 2006-131 du 9 mai 2006 portant autorisation de mise en œuvre par l'unité 525 de l'Institut national de la santé et de la recherche médicale INSERM) d'une banque d'ADN et d'ARN de patients présentant une athérosclérose coronarienne ;

- Délibération n° 2015-090 du 12 mars 2015 autorisant le laboratoire TOXGEN à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des données administratives et techniques relatives à l’établissement d’empreintes génétiques dans le cadre des expertises judiciaires. (Combinaison du 25-I-2° et 3°) ;

- Délibération n° 2017-252 du 14 septembre 2017 autorisant le Centre national de la recherche scientifique à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité une étude de la diversité génétique et linguistique de la population du Cap-Vert (Demande d’autorisation n° 1972648).

3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

- Délibération n°2004-095 du 09 décembre 2004 portant autorisation d'un traitement automatisé de données à caractère personnel présenté par le vice-président du Conseil d'État et concernant la gestion des activités contentieuses du Conseil d'Etat, des cours administratives d'appel et des tribunaux administratifs ;

- Délibération n° 2008-491 du 11 décembre 2008 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente (décision d'autorisation unique n° AU-016) ;

- Délibération n° 2016-036 du 11 février 2016 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route, abrogeant la délibération n° 2006-188 du 6 juillet 2006 (décision d'autorisation unique n° AU-010).

4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ;

- Délibération n°2008-008 du 22 janvier 2008 autorisant la mise en œuvre par la Ville de Paris et par la Société des Mobiliers Urbains pour la Publicité et l’Information (SOMUPI) d’un traitement de données à caractère personnel ayant pour finalité la gestion de fichier de personnes à risque dans le cadre du système de location de vélos Vélib’ (autorisations n°1247032 et n° 1247035) ;

- Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit ;

- Délibération n° 2009-359 du 18 juin 2009 portant autorisation unique des traitements automatisés de détection des alertes d'abus de marché mise en œuvre par les organismes du groupe Caisse d'épargne (demande d'autorisation n° 1232905) ;

- Délibération n° 2009-422 du 2 juillet 2009 autorisant la mise en œuvre au sein du groupe Crédit agricole d'un traitement automatisé de données à caractère personnel ayant pour finalité la préqualification et l'aide à la décision en matière d'octroi de crédit aux professionnels (autorisation n° 1291301) ;

- Délibération n° 2009-429 du 2 juillet 2009 portant autorisation unique des traitements de données à caractère personnel mis en œuvre par les sociétés du Groupe des assurances du Crédit mutuel dont la finalité est la lutte contre le blanchiment de capitaux et le financement du terrorisme (demande d'autorisation n° 1360717) ;

- Délibération n° 2014-012 du 16 janvier 2014 autorisant la mise en œuvre par la Banque Populaire Rives de Paris d’un traitement visant la lutte contre la fraude interne.

5° Les traitements automatisés ayant pour objet :

- l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;

- l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;

- Délibération n° 2011-083 du 17 mars 2011 portant autorisation unique de traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux ;

- Délibération n° 2014-526 du 11 décembre 2014 autorisant la mise en œuvre par le Pari Mutuel Urbain (PMU) d’une interconnexion entre ses fichiers ressources humaines et clients afin de lutter contre les conflits d’intérêt.

6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes ;

- Délibération n° 2008-579 du 18 décembre 2008 autorisant l'Association pour la gestion des informations sur le risque en assurance (AGIRA) à traiter les données à caractère personnel relatives aux décès transmises par l'INSEE et portant autorisation unique des traitements automatisés des entreprises d'assurances, des institutions de prévoyance et de leurs unions, et des mutuelles et de leurs unions mis en œuvre aux fins de recherche des assurés et des bénéficiaires de contrats d'assurance sur la vie décédés ;

- Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (AU-49) (Combinaisons des articles 8 (IV), 9 (1°), 25 (I, 1°), 25 (I, 3°), 25 (I, 6°) et 25 (I, 7°)) ;

- Délibération n° 2017-174 du 1er juin 2017 autorisant l’association départementale les pupilles de l’enseignement public de la Vienne à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’accompagnement et le suivi social et médico-social des personnes handicapées(Demande d’autorisation n° 1920331) (25-I-6° et 7°).

7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

- Délibération n°2008-181 du 26 juin 2008 portant autorisation de mise en œuvre par le Ministère du logement et de la ville et par le Ministère de l’écologie, de l’énergie, du développement durable et de l’aménagement du territoire de deux traitements de données à caractère personnel dénommés « DALO » et « DALORIF » ;

- Délibération n°2011-225 du 21 juillet 2011 autorisant l’association La Rose des Vents à mettre en œuvre le traitement des demandes d’hébergement d’urgence et de logement d’insertion.

8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes ;

- Délibération n° 2009-316 du 7 mai 2009 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ;

- Délibération n° 2017-251 du 14 septembre 2017 autorisant la Société Générale à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

9° Par dérogation au 1° du I et aux 1° et 2° du II de l'article 27, les traitements qui portent sur des données à caractère personnel parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui requièrent une consultation de ce répertoire, lorsque ces traitements ont exclusivement des finalités de recherche scientifique ou historique, à la condition que le numéro d'inscription à ce répertoire ait préalablement fait l'objet d'une opération cryptographique lui substituant un code spécifique non signifiant, propre à chaque projet de recherche, ainsi que les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique. L'opération cryptographique et, le cas échéant, l'interconnexion de deux fichiers par l'utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurés par la même personne ni par le responsable de traitement. L'opération cryptographique est renouvelée à une fréquence définie par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.

- Délibération n° 2016-372 du 1er décembre 2016 portant avis sur un projet de décret en Conseil d'Etat portant application des dispositions du I bis de l'article 22 et 9° du I de l'article 25 de la loi du 6 janvier 1978. Il s’agit du décret 2016-1930 du 28 décembre 2016 portant simplification des formalités préalables relatives à des traitements à finalité statistique ou de recherche.

II. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

- Délibération n° 2008-007 du 10 janvier 2008 portant autorisation unique de traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux ;

- Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit.

Article 26

 

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et :

 

1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

- Arrêté du 15 avril 2009 portant création d'un traitement de données à caractère personnel relatif à la délivrance d'habilitations, d'agréments et au suivi de la validité des titres de circulation des personnes exerçant une activité dans les zones d'accès restreint des ports maritimes dénommé « CEZAR (Contrôle d'entrée en zone d'accès restreint) » ;

- Arrêté du 19 mars 2012 portant création d'un traitement de données à caractère personnel relatif au suivi du trafic maritime dénommé « TRAFIC 2000 ».

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

L'avis de la commission est publié avec l'arrêté autorisant le traitement.

- Arrêté du 16 janvier 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé « numérisation des procédures pénales » ;

- Arrêté du 10 décembre 2008 portant création par le ministère de l'intérieur d'un traitement automatisé de données à caractère personnel dénommé « base satellite VV » [relatif au vol et à la mise sous surveillance d’un véhicule] ;

- Arrêté du 22 décembre 2008 portant création d'un traitement automatisé dénommé « GARDIAN » relatif au suivi de la gestion des biens saisis placés en gardiennage.

II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

- Décret n°97-1321 du 30 décembre 1997 relatif aux documents ouvrant droit aux prestations de l'assurance maladie et modifiant le code de la sécurité sociale et le code de la santé publique (deuxième partie : Décrets en Conseil d'Etat).

III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

- Décret n°2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (en son article 2 : fichiers non publiés).

IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

- Arrêté du 2 mars 2007 portant création, à titre expérimental, d'un traitement automatisé de contrôle des données signalétiques des véhicules ;

- Arrêté du 18 mai 2009 portant création d'un traitement automatisé de contrôle des données signalétiques des véhicules ;

- Arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales par leurs fonctionnaires et agents habilités.

Article 27

 

I.- Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

 

1° Sous réserve du I bis de l'article 22 et du 9° du I de l'article 25, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

- Décret n° 2015-691 du 18 juin 2015 autorisant le traitement automatisé de données à caractère personnel dénommé « Piper » (production d'informations sur les personnels relevant du ministère de la défense) ;

- Décret n° 2009-1300 du 26 octobre 2009 autorisant la création d'un traitement automatisé de gestion des personnels des cultes d'Alsace et de Moselle ;

- Décret n° 2017-665 du 27 avril 2017 relatif au traitement de données à caractère personnel de gestion des conditions matérielles d'accueil des demandeurs d'asile, dénommé DNA ;

- Décret n° 2009-1310 du 26 octobre 2009 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers bénéficiaires du dispositif d'aide au retour géré par l'Office français de l'immigration et de l'intégration.

2° Les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.

- Décret n° 2013-147 du 18 février 2013 relatif à l'application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa ;

- Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (TES) ;

- Décret n° 2017-880 du 9 mai 2017 autorisant les traitements de données à caractère personnel destinés à la mise en œuvre de l'allocation personnalisée d'autonomie et de l'aide sociale à l'hébergement.

II.- Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

- Décision du Conseil général des Alpes-Maritimes relative à la mise en œuvre d’un traitement de données à caractère personnel ayant pour finalité de contrôler le revenu de solidarité active ;

- Arrêté du 25 septembre 2008 relatif à la mise en service à la direction générale des finances publiques, à la Caisse nationale des allocations familiales et à la Caisse centrale de mutualité sociale agricole d'une procédure automatisée de transfert des données fiscales.

1° Sous réserve du I bis de l'article 22 et du 9° du I de l'article 25, les traitements mis en œuvre par l'Etat ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

2° Sous réserve du 9° du I de l'article 25, ceux des traitements mentionnés au I :

-qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;

-qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;

-et qui sont mis en œuvre par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques.

- Arrêté du 6 février 2009 portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS).

3° Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;

- Arrêté du 9 juillet 2009 portant création d'un traitement automatisé réalisé à l'occasion du recensement de la population de Nouvelle-Calédonie en 2009 ;

- Arrêté du 20 août 2009 modifiant l'arrêté du 19 juillet 2000 portant création d'un traitement automatisé d'informations individuelles relatif à la constitution et à la mise à jour par l'INSEE du répertoire d'immeubles localisés (RIL) ;

- Arrêté du 23 mars 2010 modifiant l'arrêté du 12 janvier 2004 autorisant la mise en œuvre des phases « saisie et exploitation des données collectées » et « contrôle de la cohérence des réponses aux enquêtes » du traitement « Recensement de la population ».

4° Les traitements mis en œuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique définis à l'article 1er de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques.

- Arrêté du 22 mai 2017 portant création d'un traitement de données à caractère personnel dénommé « Réexamen élevage IED » ;

- Arrêté du 16 juin 2017 autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « Trouver mon master ».

En 2016, la Commission nationale de l’informatique et des libertés a reçu 102 629 dossiers de formalités, dont 54 000 dossiers de formalités simplifiées. Elle a accordé 190 autorisations et a reçu 316 demandes d’autorisation en matière de biométrie64.

1.2. Cadre constitutionnel

Le Conseil constitutionnel s’est prononcé sur le numéro d’inscription des personnes au répertoire national d’identification (NIR) dans une décision du 29 décembre 199865, à propos des traitements de données relatifs à l’assiette, au contrôle et au recouvrement de tous impôts, droits, taxes, redevances ou amendes de façon interconnectée entre trois directions du ministère de l’économie et des finances.

Il a écarté le grief tiré de la méconnaissance des exigences constitutionnelles relatives à la protection de la vie privée et de la liberté individuelle, en estimant que l’utilisation du numéro d’inscription au répertoire national d’immatriculation des personnes physiques a pour finalité d’éviter les erreurs d’identité, lors de la mise en œuvre des traitements de données en vigueur, et ne conduit pas à la constitution de fichiers nominatifs sans rapport direct avec les opérations incombant aux administrations fiscales et sociales.

1.3. Cadre conventionnel

Le règlement (UE) 2016/679 introduit en droit de la protection des données le principe de responsabilisation (« accountability » en anglais). L’article 5(2) du règlement indique ainsi que : « le responsable du traitement est responsable du respect du paragraphe 1[des principes relatifs au traitement des données à caractère personnel] et est en mesure de démontrer que celui-ci est respecté (responsabilité) ».

La logique de la responsabilisation est décrite à l’article 24(1) du règlement qui prévoit que : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. ».

La responsabilité peut également comprendre la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

L’ajout du principe de responsabilisation parmi les principes relatifs au traitement des données à caractère personnel a une incidence importante sur la pratique des responsables de traitements et des sous-traitants. Suivant la logique nouvelle de responsabilisation qu’il introduit, le règlement induit une réduction importante des formalités préalables pour la mise en œuvre de traitements ayant pour contrepartie un renforcement des pouvoirs des autorités de contrôle et du montant des sanctions pécuniaires qu’elles peuvent infliger aux responsables de traitement et sous-traitants (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise).

En d’autres termes, il s’agit du passage d’une logique de déclaration ex ante auprès d’une autorité nationale de protection des données à une logique de responsabilisation des organismes traitant des données qui doivent assurer la protection de telles données dès la conception des outils, réaliser des études d’impact préalables et mettre en place des mécanismes de certification.

Le responsable du traitement et le sous-traitant auront l’obligation de tenir une documentation, en particulier un registre des activités de traitement (article 30 du règlement).

Le règlement maintient toutefois des formalités pour certains types de traitements : analyse d’impact en cas de risque élevé (article 35), consultation préalable de l’autorité de contrôle (article 36) et, le cas échéant, autorisation de celle-ci (article 36(5)) en cas de risque résiduel élevé pour la protection des données. 

La Commission nationale de l’informatique et des libertés a publié une méthode pour les analyses d’impacts66. Le G29, groupe de travail regroupant l’ensemble des autorités de contrôle des Etats de l’Union européenne, a également publié des lignes directrices sur le sujet67.

Enfin, le règlement prévoit la possibilité de maintenir des régimes nationaux plus stricts pour certaines catégories de données : « conditions supplémentaires » pour les données génétiques, biométriques et de santé (art. 9.4) ; « garanties appropriées » pour les données d’infractions (art. 10) ; régime d’« autorisation préalable » pour les traitements effectuées dans le cadre d’une « mission d’intérêt public […] y compris le traitement dans le cadre de la protection sociale et de la santé publique » (art. 36-5) ; « règles plus spécifiques » pour les relations de travail (art. 86), « conditions spécifiques » pour le traitement du numéro d’identification national (art. 87). 2. Objectifs et necessite de legiferer

2.1. Objectifs poursuivis

La modification du régime des formalités préalables prévue par le projet de loi vise à respecter la nouvelle logique du règlement, dans le contexte d’une unification du cadre juridique au sein de l’Union européen, afin d’éviter les écueils du « forum shopping » des entreprises.

Elle répond ainsi à un objectif de simplification administrative pour les entreprises en termes d’allègement des formalités préalables, tout en renforçant la responsabilisation des organismes traitant des données, ainsi que de leurs sous-traitants.

2.2. Nécessité de legiferer

Compte tenu de la logique générale du règlement basée sur une responsabilisation des responsables de traitement et un maintien de garanties en cas de risque élevé pour la protection des données (exigence d’analyse d’impact relative à la protection des données), il apparaît nécessaire de revoir l’ensemble du régime d’autorisation prévu actuellement par la loi n° 78-17, tout en préservant certaines garanties pour des traitements particulièrement sensibles.

En effet, certaines formalités préalables ne respectent ni le texte ni l’esprit du règlement. Le projet de loi doit simplifier les régimes existants en ne laissant subsister que ce qui est couvert par le règlement et nécessité par la nature sensible du traitement.

Il convient ainsi de s’en tenir au « risque élevé » comme critère d’une saisine préalable de la Commission nationale de l'informatique et des libertés. Sauf exception, ce risque devra être apprécié, selon la logique de responsabilisation qui est celle du règlement, par le responsable de traitement et non par matière.

Il est précisé que les traitements relevant de l’article 26 de loi n° 78-17 ne sont pas concernés par les modifications induites par le règlement. Ainsi, demeureront autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté. 

3. Options

3.1. Suppression du régime déclaratoire de l’article 22

3.1.1. Option 1 (écartée) : Maintien d’un tel régime

Ce régime déclaratif qui constitue actuellement la formalité préalable de droit commun, n’apparait plus compatible avec le règlement.

En outre, ainsi qu’a pu le souligner le rapport du Conseil d’Etat sur le numérique et les droits fondamentaux, ce système déclaratif s’expose à différents reproches :

«  Il conduit à transmettre à la CNIL une masse considérable d’informations, d’inégal intérêt en raison des enjeux très variables pour la protection des données personnelles. Si l’obligation de déclaration est assez simple à respecter pour des entreprises ne mettant en œuvre que des traitements courants (par exemple, un fichier du personnel et un fichier des clients), elle peut s’avérer plus lourde pour des acteurs, notamment ceux de l’économie numérique, qui ont une activité intense et évolutive de traitement des données. Les « startups», en particulier, sont susceptibles de voir évoluer au cours de leurs premières années leur modèle d’affaires et, corrélativement, leurs modalités d’utilisation des données personnelles ; en raison de leur petite taille, elles peuvent avoir plus de difficulté à appréhender leurs obligations de déclaration et sont ainsi exposées à une certaine insécurité juridique. Pour autant, l’obligation de déclaration ne met pas à disposition de la CNIL toutes les informations nécessaires pour évaluer le degré de sensibilité d’un traitement ; en particulier, la CNIL n’est informée ni du nombre de personnes dont les données sont traitées, ni du volume des données transmises à des tiers »68.

3.1.2. Option 2 (écartée) : Passage d’un régime de déclaration à celui d’une autorisation de certains traitements

Il aurait pu être envisagé que certains traitements contenant le numéro d'inscription des personnes au répertoire national d'identification (NIR) et soumis actuellement à un régime de déclaration soient basculés dans un régime plus contraignant, à savoir celui de la consultation préalable obligatoire de l’autorité de contrôle.

Cette option est contraire à la logique du règlement.

3.1.3. Option 3 (retenue) : Remplacement des dispositions relatives à la déclaration et abrogation des articles 23 et 24 de la loi de 1978

Le projet de loi abroge le régime déclaratif prévu aux articles 22 à 24 de la loi n° 78-17. Par mesure de lisibilité, l’article 9 du projet de loi rappelle le principe de la consultation préalable qui existe dans le règlement : « Conformément à l’article 36 du règlement (UE) 2016/679, le responsable du traitement consulte la Commission nationale de l’informatique et des libertés préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 dudit règlement indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

Il est en effet important de rappeler cette notion de « risque élevé » d’autant que le projet de loi supprime les autorisations de l’article 25 et la plupart de celles de l’article 27 de la loi n° 78-17 (cf. infra mesure 3.2).

3.2. Suppression des régimes d’autorisation

L’article 25 de la loi n°78-17 prévoit des autorisations préalables de la Commission nationale de l’informatique et des libertés, à l’exclusion des traitements mentionnés aux articles 26 et 27.

3.2.1. Option 1 (écartée) : Maintenir en l’état l’ensemble des régimes d’autorisation

Le règlement ne prévoit pas de possibilité pour les Etats membres de conserver un régime d’autorisation, sauf dans l’hypothèse de l’article 36.5 du règlement ou au titre des conditions supplémentaires pour les données sensibles (art. 9), des garanties complémentaires pour les données d’infraction (art. 10) et des conditions spécifiques du traitement du numéro d’identification national (article 87).

Cette option consistant au maintien d’un régime général d’autorisation auprès de la Commission nationale de l’informatique et des libertés n’a donc pas été retenue.

3.2.2. Option 2 (retenue) : Suppression de la plupart des autorisations (articles 25 et 27)

Le règlement n’oblige pas d’abroger l’ensemble des régimes d’autorisation existants. Le projet de loi épouse la logique du règlement en évitant des obligations supplémentaires inutiles. Toutefois, au regard de l’enjeu de la protection des données, le projet de loi conserve un régime d’autorisation préalable pour deux types de données.

En premier lieu, les traitements mis en œuvre pour le compte de l’Etat qui portent sur des génétiques, ou des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes conservent un régime d’autorisation par décret après avis de la Commission nationale de l’informatique et des libertés.

En effet, les données génétiques constituent des données sensibles en vertu de l’article 9 du règlement. Il s’agit de données « relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question » (art. 4 du règlement).

De telles données peuvent indiquer des prédispositions génétiques concernant des individus et à ce que ces données peuvent être utilisées pour d’autres finalités. Ce type de données ne relève pas uniquement des traitements dans le domaine de la santé (test génétique) qui fait l’objet d’un régime particulier (nouveau chapitre IX), mais peut également être utilisées à des fins d’identification d’une personne (empreintes génétiques), de son ascendance ou descendance (test de paternité) ou de recherche scientifique (étude génétique de populations)69.

De même, la donnée biométrique n’est pas une donnée d’identité comme les autres : elle n’est pas attribuée par un tiers ou choisie par la personne, mais elle est produite par le corps lui-même et le désigne de façon définitive (caractère non révocable). Dans ces conditions, confier ses données biométriques à un tiers n’est pas un acte anodin. La Commission nationale de l’informatique et des libertés est à cet égard très vigilante sur les risques liés à l’usage de la biométrie, en particulier dans le cadre des technologies biométriques « à traces » telles que l’empreinte digitale, dont l’usage, en cas de conservation dans une base centralisée, peut être détourné : usurpation d’identité, violation des données, détournement de leur finalité70. Ce risque est d’autant plus important en cas d’interconnexion de fichiers : compte tenu de l’interopérabilité croissante des technologies d’identification biométrique, le stockage centralisé des données biométriques augmente le risque que des données biométriques soient utilisées pour relier différentes base entre elles71.

Toutefois, le projet de loi prévoit de maintenir le régime d’autorisation à l’égard de ce type de traitement, uniquement lorsqu’ils sont mis en œuvre par l’Etat agissant dans l’exercice de ses prérogatives de puissance publique. Lorsque l’Etat agit comme toute autre personne ou organisme (contrôle d’accès aux locaux de ses services par exemple, comme le ferait tout employeur ou toute entreprise), une autorisation par décret en Conseil d’Etat ne serait plus exigée.

En second lieu, les traitements qui mettent en œuvre le Numéro d'Inscription au Répertoire (NIR) par des personnes publiques ou privées, conservent une formalité préalable.

En effet, le NIR constitue un numéro particulièrement signifiant en ce qu’il comporte 13 caractères permettant de déterminer le sexe, l'année et le mois de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l'indication d'une naissance à l'étranger et enfin le numéro d'ordre qui permet de distinguer les personnes nées au même lieu à la même période. Il s’agit d’un numéro unique et pérenne, qui est susceptible de faire l’objet d’interconnexion dans différents fichiers sociaux, fiscaux…. De très nombreux traitements d’organismes de sécurité sociale (DSS, CNAMTS, CNAV, MDPH…) mais également d’autres organismes utilisent le NIR ainsi que des acteurs privés pour la gestion de la paie, des déclarations sociales, des déclarations d'embauche.

La CNIL contrôle de manière très stricte la pertinence de l’utilisation du NIR. A titre d’exemple, la commission a refusé la création d’un traitement par une société financière spécialisée dans le crédit à la consommation qui souhaitait utiliser le NIR à des fins de détection d’incohérences dans les demandes de crédit72 (en l’espèce, la société souhaitait pouvoir identifier les fausses fiches de paie en généralisant automatiquement le numéro de sécurité sociale à partir des données de d’état civil connues du demandeur de crédit et en comparant de manière automatisée le numéro ainsi généré avec celui figurant sur les feuilles de paie).

Le projet de loi prévoit toutefois un allègement des formalités liées à la mise en œuvre de traitements mettant en œuvre le NIR. Il propose ainsi de prévoir un décret cadre, pris après avis motivé et publié de la commission, pour autoriser l'utilisation du NIR par catégorie de responsables de traitement et pour des finalités précises, dans la même logique que ce prévoyait la loi n° 78-1773, avant sa modification par la loi n° 2004-801 du 6 août 200474.

Cette procédure d’autorisation de traitements utilisant le NIR ne sera pas applicable aux traitements bénéficiant d’ores et déjà d’une absence de formalité ou de formalités allégées75 dès lors que le numéro d'inscription au répertoire national d'identification des personnes physiques fait l'objet préalablement d'une opération cryptographique lui substituant un code statistique non signifiant. Il s’agit des traitements qui ont exclusivement des finalités de statistique publique, de recherche scientifique ou historique ou qui mettent à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique.

Le régime de décret-cadre sera en revanche applicable aux traitements portant sur les alertes sanitaires lorsqu’ils portent sur NIR (cf. infra,).

En dernier lieu, les autres autorisations prévues aux articles 25 et 27 de la loi n° 78-17 sont abrogées. Ces traitements seront soumis au droit commun prévu par le règlement, à savoir, une consultation de la CNIL préalablement au traitement lorsqu’une analyse d’impact révèle que le traitement présenterait un risque élevé si le responsable ne prend pas les mesures pour atténuer ce risque(article 36).

3.3. Dispositions relatives à l’analyse d’impact

3.3.1. Option 1 (écartée) : Apporter une précision

L’article 35 du règlement est d’application directe. Par conséquent le responsable du traitement effectue préalablement à la mise en œuvre du traitement, une analyse d’impact relative à la protection des données. Toutefois, le 10 de l’article 35 du règlement prévoit une marge de manœuvre qu’il serait possible de réserver.

En effet, lorsque le traitement effectué « est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis »- ou à « l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement », a une base juridique nationale, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 (de l’article 35) ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.

Il serait possible de renvoyer à un décret en Conseil d’Etat après avis de la Commission nationale de l’informatique et des libertés pour préciser la liste des traitements spécifiques et ensembles d’opérations de traitement pour lesquels une analyse d’impact est obligatoire.

Or ce renvoi ne semble ni obligatoire ni utile. Par ailleurs, il ne semble pas possible de prévoir en amont cette liste de traitements spécifiques.

3.3.2. Option 2 (retenue) : Ne rien mentionner

Le mécanisme mis en place par l’article 35.10 du règlement semble être le suivant : soit la norme qui met en place un traitement effectué en application des articles 6(1) c) et e) n’a pas fait l’objet d’une analyse d’impact, alors une telle analyse d’impact sera obligatoire avant les activités de traitement ; soit la norme a fait l’objet d’une telle analyse d’impact et par principe, les traitements ne sont pas soumis à une telle analyse sauf – et c’est là la marge de manœuvre – le droit de l’Etat membre l’indique de façon précise pour tel ou tel traitement.

Il semble plus pertinent, dans la logique du règlement (UE) 2016/679, de prévoir que c’est lorsque la norme règlemente le traitement que le législateur ou le pouvoir règlementaire doit s’interroger sur la nécessité ou non de prévoir une nouvelle analyse d’impact.

Par conséquent, la modification de la loi n° 78-17 ne semble pas être l’option pertinente76.

4. Analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

Si le projet de loi supprime la plupart des formalités préalables lorsque les traitements relèvent du champ d’application du règlement (UE) 2016/679, il crée un régime d’autorisation allégé en ce qui concerne les traitements utilisant le Numéro d'Inscription au Répertoire (NIR).

4.2. Impacts sur les services judiciaires

L’allégement des formalités préalables est de nature à réduire le risque contentieux lié au refus d’autorisation de traitement de données par la Commission nationale de l’informatique et des libertés. L’impact pour les services judiciaires devrait toutefois être minime dans la mesure où le nombre de contentieux en la matière est marginal (à titre d’exemple, la Commission a opposé 9 refus à des demandes d’autorisation en matière de biométrie sur les 316 demandes reçues en 2016).

4.3. Impacts sur les collectivités territoriales

Les collectivités territoriales traitent chaque jour de nombreuses données à caractère personnel, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge.

Les collectivités territoriales sont également concernées par l’allègement des formalités préalables, s’agissant en particulier de la suppression des déclarations auprès de la Commission nationale de l’informatique et des libertés et du régime d’autorisation par arrêté des traitements destinés à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, ou de l’assouplissement du régime d’autorisation des traitements utilisant le Numéro d'Inscription au Répertoire (NIR) par un décret-cadre.

En tant que responsables de traitement, les collectivités territoriales sont toutefois soumises à l’obligation de tenir un registre des activités de traitement effectuées sous leur responsabilité. A l’instar des petites et moyennes entreprises (cf. infra), le règlement tient compte toutefois de la situation des petites collectivités territoriales en prévoyant que sont dispensées d’une telle obligation les organisations comptant moins de 250 employés, sauf si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s'il n'est pas occasionnel ou s’il porte sur des données sensibles (article 30.5).

4.4. Impact sur les entreprises

Actuellement, le régime déclaratif présente une certaine lourdeur : la déclaration doit obligatoirement comporter les informations qui conditionnent l'appréciation de la licéité du traitement, notamment l’identité du responsable de traitement, la finalité du traitement, les données collectées, les destinataires, les éventuels transferts des données vers des pays non membres de l'Union européenne et la durée de conservation.

En outre, dans la mesure où la déclaration constitue une formalité préalable obligatoire, cela emporte des conséquences juridiques importantes. Ainsi, dès lors qu'un fichier client informatisé, n'ayant pas été déclaré, n'est pas dans le commerce, sa vente à un tiers a un objet illicite77 .

Le projet de loi allège les formalités préalables auxquelles sont actuellement soumises les entreprises lorsqu’elles souhaitent mettre en œuvre un traitement.

Le responsable de traitement n’a plus d’obligation de déclarer les traitements qu’il souhaite mettre en œuvre ou solliciter l’autorisation préalable de la Commission nationale de l’informatique et des libertés, sauf en cas de risque élevé.

En revanche, les entreprises, en tant que responsables de traitement ou sous-traitants, resteront soumises aux obligations prévues par le règlement (tenue d’un registre d’activités des traitements78, conduite d’une analyse d’impact,…). La situation des petites et moyennes entreprises est toutefois prise en compte. Ainsi, le considérant 13 du règlement précise que : « Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. »79.

En cas de non-respect des obligations prévues par le règlement ou la loi, les entreprises s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (20 millions d’euros ou 4% du chiffre d’affaires en cas de réitération du manquement80.

Selon le syndicat professionnel du numérique (Syntec Numérique), les projets de mise en conformité au règlement européen sur la protection des données vont tirer le secteur de l'édition logicielle et du conseil informatique. Ce syndicat anticipe en 2018 une croissance du chiffre d'affaires du secteur de 3,6%, par rapport à 2017, en partie liée aux budgets engagés par leurs clients pour préparer leur mise en conformité au règlement81.

5. Consultations et modalités d’application

5.1. Consultations

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Le Conseil national d’évaluation des normes a également été consulté, en application de l’article L. 1212-2 du code général des collectivités territoriales et a rendu un avis favorable lors de sa séance du 30 novembre 2017.

5.2. modalités d’application

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du projet de loi renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 9 (I, 2° alinéa)

Décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés

Détermination des catégories de responsables de traitement et des finalités des traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le NIR

Article 9 (I, 7° alinéa

Décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés

Détermination de la fréquence de l’opération cryptographique substituant un code statistique non signifiant au NIR

CHAPITRE III

OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS

ARTICLE 10

SOUS-TRAITANT

1. etat des lieux et Diagnostic

1.1. Etat des lieux

Le chapitre V de la loi du 6 janvier 1978 décrit les obligations qui incombent aux responsables de traitements (article 32 à 37), au-delà du simple respect des droits des personnes concernées consacrées dans le même chapitre (articles 38 à 43ter). Les obligations incombant aux responsables de traitement sont détaillées dans une première section.

Les obligations incombant au sous-traitant, généralement le prestataire technique en charge de la mise en œuvre technique du traitement de données, sont précisées à l’article 35 de la loi n° 78-1782. En vertu de cet article, le sous-traitant est regardé comme étant celui qui traite des données à caractère personnel pour le compte du responsable de traitement (article 3). La principale obligation du sous-traitant, au-delà de ses engagements contractuels, est le respect des conditions de sécurité, posées par l'article 34, sans pour autant que cela décharge le responsable de traitement de sa responsabilité d'y veiller. Les autres obligations pèsent, en droit, sur le responsable de traitement, à charge pour celui-ci d'exiger le respect des garanties posées par la loi par son sous-traitant dans un cadre contractuel.

L'émergence de nouveaux outils numériques, à l'instar du cloud computing, a conduit cependant la Commission européenne comme les autorités de contrôle européennes, chacune en ce qui la concerne, à s'interroger sur les obligations particulières des sous-traitants.

Le règlement (UE) 2016/679 et la directive (UE) 2016/680 qui renforcent les obligations pensant sur les responsables de traitement dans le cadre de la logique de responsabilisation, ont étendu le champ de ces obligations au sous-traitant défini comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »83.

A cet égard, le considérant 81 du règlement précise que : « Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. »

1.2. Cadre conventionnel

Le règlement (UE) 2016/679 et la directive (UE) 2016/680 renforcent la responsabilisation des responsables de traitement ainsi que des sous-traitants. Le chapitre IV du règlement (UE) 2016/679 précise les obligations des responsables de traitement et sous-traitants. L’article 28 du règlement (UE) 2016/679 précise les principales obligations applicables spécifiquement au sous-traitant.

2. OBJECTIFS POURSUIVIS ET NECESSITE DE LEGIFERER

2.1. Objectifs poursuivis

Le projet de loi a pour objectif de clarifier la distinction entre les dispositions d’application de la directive (UE) 2016/680 et les obligations directement applicables du règlement (UE) 2016/680 à la charge des sous-traitants.

En complétant l’article 35 de la loi n° 78-17 par une référence aux obligations prévues par le chapitre IV du règlement (UE) 2016/679 pour les sous-traitants intervenant dans le cadre de traitement relevant de ce règlement, la disposition répond également à l’objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi84.

2.2. Nécessité de legiferer

La disposition proposée résulte d’une nécessité de clarification afin de préciser l’articulation des dispositions nationales de transposition de la directive (UE) 2016/680 (article 22 du projet de loi) avec les obligations du règlement (UE) 2016/680.

3. Options

3.1.1. Option 1 (écartée) : Maintenir uniquement les dispositions de transposition

Il aurait pu être envisagé que seules les dispositions de transposition de la directive (UE) 2016/680 soient présentes dans la loi (article 19 du projet de loi).

Le texte aurait manqué de lisibilité pour les personnes concernées et organismes quant aux obligations des sous-traitants.

3.1.2. Option 2 (écartée) : Etendre les obligations prévues par le règlement aux sous-traitants agissant dans le cadre de traitement relevant de la directive

Il aurait pu être envisagé d’appliquer les mêmes obligations aux sous-traitants dans le champ de la directive (UE) 2016/680. Toutefois, la directive (UE) 2016/680 impose une transposition qui prévoit d’autres obligations.

Cette option a donc été écartée, un article spécifique introduit par l’article 19 du projet de loi (article 70-10) précisant le régime applicable aux sous-traitants dans le cadre des traitements relevant de la directive.

3.1.3. Option 2 (retenue) : Faire une simple référence aux obligations du règlement qui s’imposent aux sous-traitants pour les traitements relevant de celui-ci

Par souci de lisibilité, le projet de loi rappelle, à l’article 35 de la loi n° 78-17 que dans le champ d'application du règlement (UE) 2016/679, le sous-traitant respecte les conditions prévues au chapitre IV de ce règlement. 

Pour les traitements ne relevant ni du règlement, ni de la directive, les dispositions de l’actuel article 35 de la loi n°78-17 trouveront à s’appliquer.

Il est enfin précisé que les mesures correctrices et sanctions susceptibles d’être prises par la CNIL en vertu de l’article 6 du projet de loi ont vocation à s’appliquer également aux sous-traitants, quel que soit le champ d’application dont relève le traitement dont ils assurent la prestation.

4. ANALYSE DES IMPACTS DE LA DISPOSITION ENVISAGÉE

4.1. Impacts juridiques

La disposition précise l’articulation entre les dispositions de la loi n° 78-17 et le règlement (UE) 2016/679 concernant le régime de la sous-traitance des responsables de traitement.

4.2. Impacts sur les particuliers

Les dispositions proposées assurent une meilleure lisibilité et permettent donc aux particuliers de mieux connaitre les obligations des organismes traitant leurs données à caractère personnel lorsque ces derniers ont recours à des prestataires extérieurs.

4.3. Impacts sur les collectivités territoriales

Les dispositions proposées assurent une meilleure lisibilité et permettent donc aux collectivités territoriales de mieux comprendre les obligations qui pèsent sur les sous-traitants auxquels elles peuvent avoir recours dans le cadre de la mise en œuvre de traitement.

4.4. Impact sur les entreprises

Les dispositions proposées assurent une meilleure lisibilité et permettent donc aux entreprises de mieux comprendre leurs obligations en tant que sous-traitant d’un responsable de traitement.

Les entreprises, en tant que responsable de traitement, lorsqu’elles auront recours à un prestataire, devront respecter les dispositions de l’article 28 du règlement.

5. Consultation

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Le Conseil national d’évaluation des normes a été consulté et a rendu un avis favorable sur ce projet de texte lors de sa séance du 30 novembre 2017.

CHAPITRE IV

DISPOSITIONS RELATIVES A CERTAINES CATEGORIES PARTICULIERES DE TRAITEMENT

ARTICLE 11

DONNEES D’INFRACTION

1. Etat des lieux et diagnostic

1.1. Etat des lieux

L’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue, avec l’article 8, le cadre qui régit le traitement des données intrinsèquement sensibles, lesquelles ne peuvent être collectées que dans des conditions particulières.

Cet article concerne les données d'infractions, condamnations et mesures de sûreté. Ces données peuvent en effet emporter de graves conséquences si elles sont révélées à autrui, notamment lorsqu'elles sont conservées au-delà des durées de prescription légale.

Le traitement de telles données est doublement encadré :

- d’une part, en termes de formalités préalables, de tels traitements étant actuellement soumis au régime d’autorisation prévu par l’article 25-3° de la loi n° 78-17 ;

- d’autre part, le nombre limité de responsables qui peuvent mettre en œuvre ces traitements.

Ainsi, outre les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, peuvent également mettre en œuvre de tels traitement, les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi et, depuis la loi n° 2004-801 du 6 août 2004, les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique

1.2. Cadre constitutionnel

Le Conseil constitutionnel a analysé les dispositions de la loi n° 78-17 sur les traitements relatifs aux données d’infraction dans sa décision du 29 juillet 200485.

A cette occasion, le Conseil constitutionnel a précisé que les garanties appropriées et spécifiques en raison de l’ampleur que pourraient revêtir les traitements de données à caractère personnel relatifs à des données d’infractions, eu égard à l’atteinte éventuel au droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques, doivent être fixées dans la loi (considérant 11). Les modalités d’application des exceptions au principe que seule l’autorité publique peut mettre en œuvre de tels traitements doivent aussi apparaître dans la même loi, et ne pas être renvoyées ou à du droit souple ou à des lois ultérieures (considérant 12).

Le projet de loi prévoit ainsi de réaffirmer l’interdiction de principe, commandée par le règlement, et de cibler les personnes qui, peuvent mettre en place ces traitements, sur certaines conditions et pour une finalité précise.

Dans sa décision du 29 juillet 2004, le Conseil constitutionnel a par ailleurs censuré les dispositions du 3° de l’article 9 de la loi n° 78-1786 qui prévoyaient la possibilité accordée à une personne morale de droit privé, mandatée par plusieurs autres personnes morales victimes d'agissements pénalement sanctionnés – ou estimant en avoir été victimes ou pensant être susceptibles d'en être victimes – pour les besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi de rassembler un grand nombre d'informations nominatives relatives à des infractions, condamnations et mesures de sûreté, en raison de l’absence de garanties appropriées et spécifiques87. Le Conseil constitutionnel a en effet considéré que, compte tenu du champ, très large, couvert par une telle faculté, il appartenait au législateur de fixer les conditions dans lesquelles elle pouvait être exercée, sans pouvoir renvoyer à des lois ordinaires ultérieures.

Le Conseil a également formulé une réserve d’interprétation de l’article 9, tel que résultant de la déclaration d'inconstitutionnalité de son 3°. Pour le Conseil constitutionnel, cet article ne saurait être interprété comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime, afin de ne pas priver de base légale les traitements légitimement mis en œuvre par chaque personne morale pour suivre les dossiers contentieux relatifs aux infractions dont elle a été elle-même victime.

Le projet de loi, tenant compte de la censure du Conseil constitutionnel et de la réserve d’interprétation associée à sa décision, propose de permettre aux personnes physiques ou morales de pouvoir mettre en œuvre des traitements de données d’infraction afin de leur permettre de préparer et le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité.

1.3. Cadre conventionnel

Les traitements de données de nature pénale sont régis par la directive (UE) 2016/680 du 27 avril 2016 lorsqu’elles sont traitées par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection la protection contre les menaces à la sécurité publique et la prévention de telles menaces. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d'autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique aux fins de la présente directive (considérant 11 de la directive).

Le règlement (UE) 2016/679 s'applique en revanche lorsqu'un organisme ou une entité recueille des données à caractère personnel à d'autres fins que celles prévues par la directive et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. Par exemple, les établissements financiers conservent, à des fins de détection ou de poursuites d'infractions pénales ou d'enquêtes en la matière, certaines données à caractère personnel qu'ils traitent et qu'ils ne transmettent aux autorités nationales compétentes que dans des cas spécifiques et conformément au droit des États membres (considérant 11 de la directive).

De même, les États membres peuvent confier aux autorités compétentes d'autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de sorte que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du règlement (UE) 2016/679.

Le règlement prévoit d’ailleurs une disposition spécifique pour les données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes dont leur traitement, compte tenu de la nature de ces données, est strictement encadré.

L’article 10 du règlement prévoit ainsi que : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (…), ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. ».

Enfin, l’article 86 du règlement prévoit que : « Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l'exécution d'une mission d'intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l'Union ou au droit de l'État membre auquel est soumis l'autorité publique ou l'organisme public, afin de concilier le droit d'accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement. ».

Cet article autorise ainsi le droit national à prévoir la réutilisation des données publiques contenues dans les décisions de justice, dans le respect du droit à la protection des données, ainsi que le prévoit l’article 11 du projet de loi.

1.4. Eléments de droit comparé

Dans son projet de loi organique, l’Espagne prévoit que les traitements de données de nature pénale à d’autres finalités que pénales ne pourront être mis en œuvre que sur la base d’une disposition au moins de rang législatif, d’une disposition de cette même loi organique ou soit sur la base d’un texte de l’Union européenne.

L’Irlande a prévu d’autres possibilités de traitements des données à caractère personnel relatives aux condamnations pénales et aux infractions que les seuls cas visés par le règlement (UE) 2016/679. A l’instar du présent projet de loi, l’Irlande a fait le choix d’utiliser la marge de manœuvre de l’article 11 du règlement, en ouvrant cette possibilité à 9 catégories de traitements88.

Le projet de loi britannique prévoit 7 catégories de traitements possibles. Par exemple, les organisations non-lucratives à finalité politique, philosophique, religieuse ou syndicale, pourront sous certaines conditions, traiter des données de nature pénale de leurs membres ou anciens membres.

2. Objectifs et necessite de legiferer

2.1. Objectifs poursuivis

Les modifications proposées à l’article 9 de la loi n° 78-17 par le projet de loi poursuivent plusieurs objectifs :

- un objectif de clarté et d’intelligibilité du droit en s’alignant sur la rédaction de l’article 9 de la loi n°78-17 sur celle prévue par l’article 10 du règlement (UE) 2016/679 ;

- un renforcement de la protection des droits fondamentaux dès lors que le champ des données de données de nature pénale encadré par la loi est élargi, en couvrant par exemple les mesures de sûreté connexes ;

- un objectif de sécurité juridique, en permettant  à des personnes qui ont une nécessité particulière de traiter des données de nature pénale de pouvoir le faire, dans un cadre strict afin que l’atteinte aux droits fondamentaux ne soit pas excessive ;

- une conciliation de la protection des données à caractère personnel avec la transparence de la justice, et le droit d’accès à l’information.  

2.2. Nécessité de legiferer

Si l’article 10 du règlement (UE) 2016/679 est directement applicable en droit national, il est nécessaire d’harmoniser les écritures dans un objectif de clarté et intelligibilité du droit. Pour cette raison, le premier alinéa de l’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés doit être modifié pour épouser la rédaction du règlement. Les données d’infractions sont entendues au sens large, incluant les mesures de sûreté connexes. L’insertion du critère « sous le contrôle de l’autorité publique », en plus de « mis en œuvre par » vise les traitements mis en œuvre pour le compte de l’autorité publique comme l’hébergement des données sur un serveur.

Le projet de loi prévoit également d’élargir le champ des personnes susceptibles de mettre en œuvre de tels traitements dans le cadre notamment du suivi des dossiers contentieux relatifs aux infractions, afin de tenir compte de la censure du Conseil constitutionnel dans sa décision du 29 juillet 2004.

En effet, actuellement, de nombreux traitements89 ont été autorisés par la Commission nationale de l’informatique et des libertés en s’appuyant sur la réserve d’interprétation formulée par le Conseil constitutionnel dans sa décision du 29 juillet 2004. La Commission est d’ailleurs régulièrement saisie de demandes d’autorisation pour des fichiers « contentieux » ou « précontentieux » par des organismes privés ou publics, parmi lesquels figurent des infractions et des condamnations pénales.

Par conséquent, une réécriture du troisième paragraphe de l’article 9 de la loi n° 78-17 apparaît nécessaire en termes de sécurité juridique.

Enfin, il est apparu nécessaire, suite à l’adoption de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique qui permet désormais la mise à disposition du public à titre gratuit (open data) des décisions de justice, d’encadrer la réutilisation des données publiques de nature pénale contenues dans ces décisions.

3. Options

3.1. Elargissement du champ des personnes concourant au service public de la justice autorisées à mettre en œuvre des traitements de donnes d’infraction

3.1.1. Option 1 (écartée) : Maintien du droit existant

La rédaction actuelle du 1° l’article 9 de la loi n° 78-17 qui limite le champ d’application aux personnes seules personnes publiques et personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, ne permet pas de prendre en compte les besoins d’autres personnes morales qui, sans avoir cette qualité, concourent au service public de la justice.

La rédaction actuelle du 1° de l’article 9 de la loi n° 78-17 apparaît par conséquent trop restrictive.

3.1.2. Option 2 (écartée) : Etendre à l’ensemble des personne concourant à un service public

Cette option consistant à donner la possibilité de mettre en œuvre de traitement des traitements de données d’infraction à l’ensemble des personnes morales « concourant à un service public » est apparue excessive eu égard à la sensibilité des données concernées.


Pour cette raison, cette option n’a pas été retenue.

3.1.3. Option 3 (retenue) : Limiter l’extension aux seules personnes morales de droit privé collaborant au service public de la justice

L’ajout proposé permet à des acteurs limités, dans un cadre circonscrit notamment en termes de finalité, de traiter des données de nature pénale, en tenant compte de la réserve d’interprétation formulée par le Conseil constitutionnel.

Il s’agit de maintenir l’interdiction de principe mais de permettre des personnes morales de droit privé (associations par exemple) œuvrant à partir de données d’infractions dans une mission de service public de la justice de mener à bien leur mission principale ou conformément à leur objet social.

Cette disposition vise notamment les associations d’aide aux victimes90, ou les associations d’aide à la réinsertion des personnes placées sous main de justice91. L’impossibilité actuelle pour de tels acteurs qui ne gèrent pas un service public mais collaborent à celui-ci, de traiter des données de nature pénale nécessaire à leur activité nuit à la réalisation de leur mission.

3.2. Possibilité pour les personnes physiques ou morales de mettre en œuvre de tels traitements dans le cadre d’une action en justice en tant que victime

3.2.1. Option 1 (écartée) : Maintien du droit existant

Ainsi qu’il a été dit précédemment, plusieurs traitements autorisés par la Commission nationale de l’informatique et des libertés trouvent leur base légale sur la seule réserve d’interprétation du Conseil constitutionnel dans sa décision du 29 juillet 2004, aux termes de laquelle l’article 9 de la loi n° 78-17 « ne saurait être interprété comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime».

Cette situation n’est pas satisfaisante au regard du principe de sécurité juridique. Il appartient en effet au législateur de préciser davantage les conditions dans lesquelles un traitement de données d’infraction peut être mise en œuvre par une personne physique ou morale pour assurer sa défense en qualité de victime.

3.2.2. Option 2 (retenue) : Prévoir un encadrement des traitements relatifs à la gestion du contentieux par des personnes privées

Afin de répondre à un réel besoin tant pratique (la Commission est régulièrement saisie de demandes d’autorisation pour des fichiers « contentieux » ou « précontentieux » par des organismes privés) qu’en termes de sécurité juridique, il est proposé de rétablir le 3° de l’article 9 de la loi n° 78-17 qui avait été censuré par le Conseil Constitutionnel, dans une rédaction compatible avec sa décision du 29 juillet 2004, en prévoyant les garanties légales nécessaires.

L’article 11 du projet de loi précise ainsi que, par principe, les données d’infraction ne peuvent pas être « partagées » ou « cédées » mais qu’elles peuvent être traitées par un tiers autre que la victime ou le mis en cause pour son compte. Cette rédaction vise à couvrir le cas d’une société mère qui dispose d’un service juridique afin qu’elle puisse traiter des données d’infractions pour le compte de ses filiales victimes d’infractions, de même pour les sociétés d’assurances ou certaines association pouvant se constituer partie civile.

Les traitements ne pourront en outre pas avoir pour autre finalité que celle de préparer, exercer, suivre une action en justice, ou de faire exécuter une décision de justice rendue. La durée ne pourra excéder cette finalité (résolution amiable, extinction des voies de recours). La communication à un tiers, comme à un avocat, devra obéir aux mêmes conditions.

3.3. Réutilisation des données publiques de nature pénale contenues dans les décisions de justice

3.3.1. Option 1 (écartée) : Maintien du droit existant

Actuellement l’article 9 de la loi n° 78-17 ne permet pas à des entreprises du secteur de la technologie juridique (Legal technology) proposant des logiciels de services juridiques de traiter des données pénales à des fins commerciales par exemple.

Il apparaît par conséquence de prévoir une base légale pour prévoir une telle réutilisation au regard des besoins croissants de ce secteur d’activité92.

3.3.2. Option 2 (retenue) : Permettre une réutilisation des données de nature pénale dans le respect du droit à la protection des données

Pour les motifs énoncés ci-dessus, il est fait le choix de clarifier dans une disposition législative le cadre de la réutilisation des données contenues dans les décisions de justice.

Il s’agit d’apporter de la sécurité juridique aux réutilisateurs, tout en rappelant les obligations qui leur incombent en tant que responsables de traitement par l’insertion de cette disposition dans le texte fondateur en matière de protection de données à caractère personnel.

Il est en outre rappelé la mention de l’interdiction de traitement visant à la ré-identification des personnes concernées comme limite à la réutilisation, ainsi que le prévoit déjà la loi pour une République numérique du 27 octobre 2016.

4. Analyse des Impacts de la disposition envisagée

4.1. Impacts juridiques

Le présent article du projet de loi prévoit, à l’article 9 de la loi n° 78-17, trois nouvelles dérogations à l’interdiction de traitement des données de nature pénale par des personnes autres que l’autorité publique :

- personnes collaborant au service public de la justice (article 9-1°) ;,

- personnes physiques ou morales, en tant que victimes ou mises en cause, aux fins de leur permettre de préparer et le cas échant, d'exercer et de suivre une action en justice (article 9-2°) ;

- réutilisateurs des informations publiques figurant dans des décisions de justice (article 9-5°).

4.2. Impacts sur les services judiciaires

L’impact sur les services judiciaires devrait a priori est neutre puisque les traitements pour la gestion du contentieux étaient déjà mis en œuvre en pratique grâce à la réserve d’interprétation du Conseil constitutionnel dans sa décision du 29 juillet 2004.

4.3. Impacts sur les particuliers

L’ouverture des décisions de justice prévue par la loi pour une République numérique trouvera à s’appliquer aux données d’infractions. Cette disposition législative permettra aux acteurs de la Legaltech  de réutiliser ces données. Les décisions de justice n’étant pas encore toutes diffusées en open data, il n’est pas possible d’évaluer les impacts précis de la réutilisation des données d’infraction.

En tout état de cause, la connaissance du droit par les citoyens justiciables ne pourra en être qu’améliorée, les réutilisateurs évolueront dans un cadre juridique sécurisé et surtout, la protection des personnes dont les données à caractère personnel apparaissent dans des décisions de justice sera davantage garantie.

4.4. Impact sur les entreprises

La possibilité pour des personnes morales de droit privé de mettre en œuvre des traitements de données d’infraction afin de leur permettre de préparer et le cas échant, d'exercer et de suivre une action en justice en tant que victime est de nature en renforcer le suivi de leurs dossiers contentieux et précontentieux. La fonction juridique de leur organisation en sera renforcée.

En outre, l’ouverture des décisions de justice prévue par la loi pour une République numérique du 6 octobre 2016 trouvera à s’appliquer aux données d’infractions. Cette disposition législative permettra aux acteurs du secteur de la technologie juridique de réutiliser ces données. Les décisions de justice n’étant pas encore toutes diffusées en open data, il n’est pas possible d’évaluer les impacts précis de la réutilisation des données d’infraction.

5. Consultation et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 11

Décret en Conseil d’Etat après avis de la CNIL

Définition des catégories de personnes morales de droit privé collaborant au service public de la justice pouvant traiter des données mentionnées à l’article 9 de la loi n° 78-17

ARTICLE 12

TRAITEMENTS ARCHIVISTIQUES

1. Cadre général

1.1. Etat des lieux et diagnostic

L’actuel article 36 de la loi n° 78-17 du 6 janvier 1978 modifiée permet la conservation des données à caractère personnel au-delà de la « durée de conservation » dans le traitement initial, lorsque celle-ci s’inscrit dans des finalités historiques, statistiques ou scientifiques.

Lorsque ces données ont la qualité d’archives publiques au regard de l’article L. 211-4 du code du patrimoine, l’article 36 de la loi du 6 janvier 1978 renvoie à l’article L. 212-3 du même code. Cet article précise les conditions de la sélection des données devant être conservées à titre définitif ou pouvant être éliminées. La sélection se fait d’un commun accord entre l’organisme détenteur des données et l’administration des archives du ministère de la culture. A l’issue de cette sélection, les données destinées à être conservées à titre définitif sont transférées dans les services publics d’archives compétents.

Ces données y sont conservées et traitées (classement, inventaire). Elles sont communiquées dans les conditions prévues aux articles L. 213-1 à L. 213-3 du code du patrimoine aux personnes qui en font la demande dans le cadre de recherches historiques, statistiques, scientifiques ou administratives. Les modalités d’accès sont alignées sur celles qui s’appliquent aux documents administratifs en vertu des dispositions du code des relations entre le public et l’administration. Les documents couverts par des secrets ou mettant en cause des intérêts protégés par la loi ne sont communicables qu’à l’expiration de délais prévus à l’article L. 213-2 du code du patrimoine, par exemple 75 ans à compter de la date des documents pour les minutes des notaires ; 25 ans après le décès ou 120 ans après la naissance pour les documents couverts par le secret médical, etc.

Ces traitements sont dispensés de formalités préalables dès lors que leur finalité se limite à assurer la gestion des archives dans le cadre du livre II du code du patrimoine, relatif aux archives.

1.2. Cadre constitutionnel

Dans sa décision du 9 juillet 200893, le Conseil constitutionnel a jugé, à propos de l’article 58 de l’ordonnance n° 58-1067 du 7 novembre 1958 modifiée portant loi organique sur le Conseil constitutionnel, que  :« Les articles L. 211-3, L. 212-1, L. 212-2, L. 212-3, L. 212-4, L. 213-3, L. 214-1, L. 214-3, L. 214-4, L. 214-5, L. 214-9 et L. 214-10 du code du patrimoine s’appliquent aux archives qui procèdent de l’activité du Conseil constitutionnel. Ces archives peuvent être librement consultées à l’expiration du délai fixé au 1° du I de l’article L. 213-2 du même code ».

Récemment, le Conseil constitutionnel a consacré le droit d’accès aux documents d’archives publiques découlant de l'article 15 de la Déclaration des droits de l’homme et du citoyen de 1789. Il a précisé qu’ : «Il est loisible au législateur d'apporter à ce droit des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi. (…) » 94.

1.3. Cadre conventionnel

Le règlement (UE) 2016/679 autorise la conservation des données au-delà de la durée du traitement initial lorsqu’elles sont traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre de conditions et garanties appropriées (article 5.1.e).

Les traitements à des fins de recherche scientifique ou historique, ou à des fins statistiques, sont mis en œuvre par les chercheurs, les universités et les organismes de recherche.

Ils peuvent également être mis en œuvre par des organismes de droit privé qui produisent ou collectent de la documentation et des archives privées afin d’en assurer la transmission aux générations futures et d’en permettre l’exploitation dans le cadre de recherches historiques, scientifiques ou statistiques. Entrent dans cette dernière catégorie des organismes tels que le Mémorial de la Shoah, la Fondation Jean Jaurès, les services d’archives des Églises, de partis politiques ou d’associations et fondations telles ATD-Quart Monde, la fondation Abbé Pierre ou l’association Génériques, association qui se consacre à l’étude de l’histoire de l’immigration.

Les traitements à des fins archivistiques ne peuvent être mis en œuvre que par des services qui ont « l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès » (considérant 158 du règlement). En France, ils sont mis en œuvre par les services publics d’archives (Archives nationales, régionales, départementales, communales, service d’archives du ministère des affaires étrangères et du ministère des armées, etc.), qui conservent des archives publiques ou des archives d’origine privée entrées par achat, dépôt, don, legs ou dation.

Les services publics d’archives ont été juridiquement définis par le décret n° 2017-719 du 2 mai 2017 relatif aux services publics d’archives, aux conditions de mutualisation des archives numériques et aux conventions de dépôt d’archives communales95.

L’article L. 211-2 du code du patrimoine précise que « la conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche ». Les documents et données archivés constituent donc des sources pour la recherche en histoire, en sciences humaines et dans les autres secteurs de la recherche, mais peuvent aussi être nécessaires dans le cadre de recherches administratives. En effet, des documents, même anciens, peuvent avoir sur le temps long ou retrouver à la faveur d’événements ou de décisions une valeur administrative et probatoire. C’est ainsi par exemple que les archives de la Seconde Guerre mondiale, qui n’étaient depuis plusieurs décennies plus exploitées que par les historiens, ont été nécessaires pour indemniser, dans les années 1990 et 2000, les personnes spoliées pendant le conflit.

Les données traitées à ces fins dérogent au droit à l’effacement prévu à l’article 17 du règlement, dérogation d’application directe.

Conformément à l’article 89 du règlement, les Etats membres peuvent également prévoir, pour les traitements à des fins de recherche scientifique ou historique, ou à des fins statistiques, des dérogations au droit d’accès de la personne concernée (article 15 du même règlement), au droit de rectification (article 16), au droit à la limitation du traitement (article 18), au droit d’opposition (article 21). Les traitements archivistiques pour l’intérêt public bénéficient des mêmes dérogations, auxquelles s’ajoutent les dérogations à l’obligation de notification de l’effacement de données (article 19) et au droit à la portabilité (article 20).

2. Objectifs et necessite de legiferer

2.1. Objectifs poursuivis

Les dérogations qui figurent à l’article 89 du règlement permettent aux services publics d’archives de continuer à assurer leurs missions, de conserver et de mettre à disposition des chercheurs, et notamment des historiens et des archives intègres.

La dérogation au droit de rectification (article 16) préserve le caractère intègre et authentique des données. Elle implique également les dérogations au droit d’opposition (article 21) et au droit à la limitation du traitement (article 18) qui pourraient sinon empêcher le traitement de fonds d’archives, dossiers ou documents (collecte, inventaire), et en interdire l’utilisation.

Ces dérogations sont nécessaires à l’exercice de leurs missions par les services publics d’archives dont les spécificités sont rappelées par la déclaration de l’UNESCO de 2011 : « Les archives consignent les décisions, les actions et les mémoires. Les archives constituent un patrimoine unique et irremplaçable transmis de génération en génération. Les documents sont gérés dès leur création pour en préserver la valeur et le sens. Sources d’informations fiables pour une gouvernance responsable et transparente, les archives jouent un rôle essentiel dans le développement des sociétés en contribuant à la constitution et à la sauvegarde de la mémoire individuelle et collective. L’accès le plus large aux archives doit être maintenu et encouragé pour l’accroissement des connaissances, le maintien et l’avancement de la démocratie et des droits de la personne, la qualité de vie des citoyens (…) C’est pourquoi nous nous engageons à travailler de concert, pour que : (…) les archives soient gérées et conservées dans des conditions qui en assurent l’authenticité, l’intégrité et la plus grande marge d’utilisation (…). »

Elles sont également nécessaires aux chercheurs à qui elles garantissent l’accès à une documentation intègre, non modifiée, soumise à l’analyse critique et à l’exploitation que leur imposent leurs méthodes et leur éthique professionnelles.

La dérogation au droit d’accès (article 15) a été inscrite dans le règlement dans la mesure où ce droit implique de pouvoir identifier les personnes mentionnées dans l’ensemble des documents et données, ce qui est impossible pour les milliers de kilomètres de dossiers papier archivés et pour les données versées dans les services d’archives dans des formats et selon des modalités qui ne permettent pas de les interroger dans les mêmes conditions que celles qui prévalent lorsque ces données sont exploitées dans la finalité initiale. En effet, les données sont souvent transférées dans les services d’archives « à plat », hors contexte logiciel d’origine.

Si les personnes concernées ne disposent pas du droit d’accès au sens du règlement, elles bénéficient en revanche du droit d’accès déterminé par le code des relations entre le public et l’administration et le code du patrimoine. L’article L. 311-6 de ce code donne aux personnes un droit d’accès aux documents administratifs qui les concernent, même si ceux-ci sont couverts par un secret ou un intérêt protégé par la loi.

Dans les services publics d’archives, ce droit d’accès est permis par l’existence d’instruments de recherche qui décrivent, de manière synthétique, le contenu des fonds d’archives, dossiers et fichiers en s’appuyant sur des normes internationales de description archivistique (ISAD (G), ISAAR (CPF), ICA-ISDF, ICA-ISDIAH).

La dérogation au droit à la portabilité (article 20) est nécessaire dans la mesure où ce droit représenterait une charge excessivement lourde pour les services d’archives, dont les données sont conservées « à plat » dans des formats différents de ceux qui sont utilisés au stade du traitement initial.

La dérogation à l’obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement (article 19) est la conséquence des dérogations au droit à l’effacement, à la rectification et à la limitation du traitement.

2.2. Nécessité de legiferer

Il convient d’inscrire en droit national les dérogations d’application non directe relatives aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Ces dérogations, prévues à l’article 89 du règlement, ont été défendues par la France lors de la négociation de ce dernier.

Les traitements à des fins archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives en application du code du patrimoine, sont aujourd’hui dispensés de formalités préalables en application de l’actuel article 36 de la loi n° 78-17.

Les dérogations nécessaires à la mise en œuvre de ces traitements doivent être inscrites dans la loi pour pouvoir leur apporter des garanties quant aux modalités de leur mise en œuvre.

3. Options

Les conditions et garanties appropriées relatives aux traitements à des fins archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, sont constituées par l’ensemble des dispositions législatives et réglementaires applicables aux archives publiques et aux archives d’origine privée conservées par les services publics d’archives (plus de 300 dispositions) : règles de sélection, de collecte, de mutualisation ; conditions et modalités d’accès (notamment délais de communicabilité) ; conditions de diffusion sur Internet et de réutilisation des données.

Ces conditions sont fixées par le livre II du code du patrimoine, par le code des relations entre le public et l’administration, ainsi que par plusieurs dizaines de dispositions législatives et réglementaires sectorielles relatives à la communication et à la réutilisation des données (code électoral, code de la santé publique, livre des procédures fiscales, code de l’environnement, etc.).

Ces conditions sont également apportées par le respect d’un large corpus de normes, notamment :

- Normes de description signalées au point 2.1

- NF Z42-013 – Archivage électronique.

- NF Z44-022 relative à la modélisation des données pour l’archivage.

- PR NF EN 16893 - Conservation du patrimoine culturel - Nouveaux sites et bâtiments destinés au stockage et à l'utilisation de collections

- NF ISO 11799 Mai 2016 - Information et documentation - Exigences pour le stockage des documents d'archives et de bibliothèques - Information et documentation - Prescriptions pour le stockage des documents d'archives et de bibliothèques

- ISO/TR 19814:2017 - Information et documentation — Gestion des fonds et collections pour les archives et les bibliothèques

Ces conditions sont suffisantes pour ne pas devoir être précisées par décret, s’agissant de traitements mis en œuvre les seuls services publics d’archives dans le cadre de leur mission de service public.

Les traitements à des fins de recherche scientifique ou historique, ou à des fins statistiques, sont en revanche hétérogènes, mis en œuvre par des responsables de traitement aux profils variés et peuvent avoir des finalités différentes (intérêt public, intérêt privé). Ces traitements doivent pouvoir bénéficier de dérogations partielles ou totales aux articles 15, 16, 18 et 21, dont les conditions et garanties appropriées devront être définies précisément. Un décret en Conseil d’État, pris après avis de la CNIL, pourra préciser les dérogations nécessaires, ainsi que les conditions et garanties appropriées.

Ce décret précisera les mesures techniques et organisationnelles qui permettront d’assurer le respect du principe de minimisation des données.

4. analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

La disposition projetée permet de maintenir l’état actuel du droit en matière de gestion et d’exploitation des archives. Il modifie l’article 36 de la loi n° 78-17 pour faire référence aux conditions d’application de la limitation des droits prévues par le règlement (UE) 2016/679.

4.2. Impact sur les finances publiques

La disposition projetée garantit le maintien des conditions actuelles de collecte, de conservation, de traitement et de communication des archives, et, de ce fait, n’induit pas de charges supplémentaires.

4.3. Impacts sur les particuliers

La disposition projetée garantit aux particuliers et aux générations futures l’accès à des archives intègres.

4.4. Impacts sur les collectivités territoriales

Les dispositions projetées garantissent le maintien des conditions actuelles d’exercice de la fonction archives par les collectivités territoriales. Elles ne généreront de ce fait pas de charge supplémentaire pour les services d’archives dont se sont dotées les collectivités (101 services d’archives départementales, 13 services d’archives régionales et plus de 700 services d’archives communales et intercommunales).

4.5. Impact sur les entreprises

S’agissant d’archives publiques « définitives » dont la gestion ne peut pas être confiée à un opérateur privé, il n’y a pas d’impact sur les entreprises.

5. Consultations et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Le Conseil national d’évaluation des normes a été consulté et a rendu un avis favorable lors de sa séance du 30 novembre 2017.

ARTICLE 13

TRAITEMENTS DE DONNEES DE SANTE

1. Etat des lieux et diagnostic

1.1. Etat des lieux

L’accès aux données de santé est régi par l’ensemble législatif suivant.

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés encadre les traitements de données à caractère personnel, impose des conditions générales de loyauté et de nécessité de la collecte des données, de leur utilisation pour des finalités déterminées, d’exactitude et de limitation dans le temps de leur conservation et reconnaît aux personnes dont les données font l’objet d’un traitement un droit d’information préalable, un droit d’opposition un droit d’accès et un droit de rectification. Cette loi pose, par ailleurs, en son article 8, le principe d’une interdiction de traitement des données personnelles de santé (et d’autres données dites « sensibles »), sauf si les intéressés y ont consenti ou s’il s’agit de dossiers médicaux ou de traitements d’intérêt public dont la nécessité ou les conditions sont prévues par la loi. Sauf dispositions spéciales, ces derniers sont soumis à une autorisation de la Commission nationale de l’informatique et des libertés en vertu de l’article 25. Le chapitre IX de cette loi fixe un régime spécial d’autorisation pour les traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ; les projets de recherche sont examinés en amont de la CNIL par l’Institut national des données de santé et un comité consultatif composé de chercheurs (le comité d’expertise pour les recherches, les études, et les évaluations dans le domaine de la santé).

La loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal complète ces dispositions en matière de réutilisation des données personnelles détenues par l’administration. Cette réutilisation est permise dans les conditions de l’article 13 de ce texte : ou bien parce que les personnes intéressées y ont consenti, ou bien parce que ces données ont été rendues anonymes, ou bien si une disposition légale ou réglementaire le permet.

La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé instaure :

- le système national des données de santé (SNDS) qui met à disposition :

« 1° Les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du présent code ;

« 2° Les données du système national d'information inter régimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale ;

« 3° Les données sur les causes de décès mentionnées à l'article L. 2223-42 du code général des collectivités territoriales ;

« 4° Les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;

« 5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants.

Le SNDS est basé sur les principes suivants : confidentialité et intégrité des données, traçabilité des accès et des autres traitements.

- l’Institut national des données de santé (INDS) qui est chargé de :

« 1° De veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

« 2° D'assurer le secrétariat unique mentionné à l'article 54 de la même loi ;

« 3° D'émettre un avis sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation, dans les conditions prévues au même article 54 ;

« 4° De faciliter la mise à disposition d'échantillons ou de jeux de données agrégées mentionnées au V dudit article 54, dans des conditions préalablement homologuées par la Commission nationale de l'informatique et des libertés ;

« 5° De contribuer à l'expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public.

« Il publie chaque année un rapport transmis au Parlement. ».

Le comité d’expertise pour les recherches, les études et les évaluations (CEREES) dans le domaine de la santé pour les demandes d’autorisation relatives à des études, évaluations, recherches n’impliquant pas la personne humaine.

- les articles L.1461-1 à L1461-7 du code de la santé publique régissent le SNDS.

- l’article L.1462-1 du code de la santé publique régit l’INDS.

- les articles L.1121-1 et suivants du CSP issus de la loi n° 2012-300 du 5 mars 2012 régissent les recherches impliquant la personne humaine en vue du développement des connaissances biologiques ou médicales. La procédure d’accès aux données suppose, dans ce cas, l’avis d’un comité de protection des personnes (CPP), en amont de la décision de la CNIL.

La loi n°2016-1321 du 7 octobre 2016 pour une République numérique est venue modifier les conditions d’autorisation des traitements de données de santé (articles 25 et 27 de la loi informatique et libertés).

De plus, des textes particuliers interviennent :

- les articles L. 161-29 et L. 161-33 du code de la sécurité sociale prévoient la transmission à l’assurance maladie, par les professionnels et établissements de santé, d’informations médicales telles que les codes des actes et des prestations via les feuilles de soins ou les bordereaux de facturation ;

- une réglementation européenne organise les conditions d’accès et d’utilisation des données personnelles, dans le respect de la vie privée. En effet, outre la directive 95/46/CE du 24 octobre 1995 transposée dans la loi n° 78-17 par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, des dispositions similaires quant à la protection des données personnelles sont consacrées à la fois par l’article 8 de la Charte des droits fondamentaux de l’Union européenne en vigueur dans les États membres et par la convention n° 108 du Conseil de l’Europe.

Le règlement (UE) 2016/579 du Parlement Européen et du conseil du 17 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données entre en vigueur le 25 mai 2018, abrogeant ainsi la directive 95/46/CE.

L’article L. 1110-4 régit l’échange et le partage des données entre professionnels :

- l’échange est autorisé entre professionnels mais limité au strict nécessaire à l’action de soin considérée (coordination, continuité des soins, prévention, suivi) ;

- le partage entre professionnels appartenant à la même équipe de soin est autorisé ;

- le partage entre professionnels n’appartenant pas à la même équipe de soin nécessite le consentement préalable de la personne concernée ;

- concernant le partage et l’échange des données la concernant, la personne doit être dûment informée et peut exercer un droit d’opposition.

L’article L. 1111-8 régit les hébergeurs de données de santé à caractère personnel : une obligation d’agrément des prestataires d’hébergement s’applique et une obligation de certification est à venir.

L’article L. 1111-8 interdit la cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord des personnes concernées.

L’article L.1111-8-1 stipule : un identifiant national unique (numéro d’inscription au répertoire national d’identification des personnes physiques, RNIPP) est utilisé comme identifiant de santé.

Les articles L. 1111-14 et suivants du code de la santé publique concernent le dossier médical partagé :

- créé sous réserve du consentement exprès de la personne concernée ;

- hébergé conformément à la réglementation sur l’hébergement ;

- alimenté par les professionnels de santé ;

- la personne concernée peut rendre inaccessibles certaines informations ;

- ensemble du dossier accessible au médecin traitant de la personne concernée ;

- dossier accessible aux autres professionnels de santé avec le consentement de la personne concernée ;

- la personne concernée a accès à la totalité de son dossier ainsi qu’aux traces d’accès ;

- l’accès au dossier médical est interdit lors de la conclusion d’un contrat relatif à une protection en matière de santé et ne peut être exigé lors de la conclusion d’un contrat ou de son application.

L’article L. 1111-23 concerne le dossier pharmaceutique :

- créé sous réserve du consentement exprès de la personne concernée ;

- hébergé conformément à la réglementation sur l’hébergement ;

- sauf opposition de la personne concernée, tout pharmacien peut alimenter, consulter le dossier ;

- sauf opposition de la personne concernée, dûment informée, le médecin qui la prend en charge peut consulter le dossier pharmaceutique ;

- la personne concernée a droit à l’obtention d’une copie du contenu de son dossier ainsi qu’aux traces d’accès ;

- la personne concernée a droit à la rectification et à la clôture de son dossier.

1.2. Diagnostic

L’accès aux données de santé est actuellement régi par de nombreuses dispositions entrainant des difficultés d’interprétation entre l’Etat et la CNIL, et entravant de fait l’accès aux données.

D’une façon générale, cette situation conduit à :

- délivrer des autorisations d’accès au terme de délais trop longs (prorogation systématique du délai de deux mois par la CNIL jusqu’à des délais pouvant atteindre 18 mois, le silence de la CNIL valant refus) et incompatibles avec, d’une part les exigences du monde économique actuel, et d’autre part la performance publique,

- autoriser la libération de données dans des conditions susceptibles de porter atteinte à la vie privée des citoyens, lesquels s’avèrent le plus souvent insuffisamment informés de l’utilisation de leurs données personnelles.

S’agissant de la procédure d’accès aux données de santé pour les études, recherches, évaluations n’impliquant pas la personne humaine, il s’agit de la conforter d’autant qu’elle est en cours de mise en place. À ce jour, les délais légaux imposés à l’INDS et au CEREES sont tenus avec un flux de dossiers relativement limité. Il est à craindre, à l’avenir :

- une difficulté d’absorption du flux de dossiers,

- un engorgement de la CNIL (cette dernière ne s’est pas encore prononcée sur les premiers dossiers de la nouvelle procédure).

Les procédures simplifiées actuellement prévues par les textes (méthodologies de références, décisions uniques et facilitations d’accès aux jeux de données agrégées et aux échantillons) sont en cours de construction et mériteraient d’être développées pour permettre une fluidification de l’accès aux des données.

2. Objectifs poursuivis et necessite de legiferer

2.1. Objectifs poursuivis

La présente disposition ambitionne de libérer le potentiel d’exploitation des données de santé tout en respectant la vie privée des citoyens.

Il s’agit en particulier de sécuriser les modalités d’accès aux données :

- en simplifiant les procédures d’accès aux données de santé, par le recours plus systématique aux procédures simplifiées, notamment aux référentiels et règlements types pour les traitements de données à caractère personnel dans le domaine de la santé et aux méthodologies de référence pour les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé,

- en unifiant le cadre juridique d’accès à toutes les données de santé,

- en apportant des garanties supplémentaires aux citoyens,

- en réduisant les délais d’obtention des autorisations délivrées par la CNIL, lorsque le recours à des procédures simplifiées ne peut pas être activé.

2.2. Nécessité de légiférer

L’application du règlement (UE) 2016/579 conduit le Gouvernement à mettre la législation française en conformité.

3. Options et dispositif retenus

3.1. Options écartées 

Ont été écartées les options suivantes :

- une simplification excessive issue de la suppression de tous les régimes d’autorisation préalable actuels en raison des risques d’atteinte à la vie privée qui découlent de la manipulation des données de santé, laquelle doit être encadrée ;

- une reprise inchangée des dispositions actuelles.

3.2. Option retenue

L’application, le 25 mai 2018, du règlement conduit le Gouvernement à simplifier et clarifier les procédures d’accès aux données de santé en supprimant les articles 25 et 27 de la loi n° 78-17 lesquels prévoyaient des régimes d’autorisation différents selon les types de données mobilisées (autorisation de la CNIL, décret en conseil d’État pris après motivé de la CNIL, arrêté pris après avis motivé de la CNIL). Le règlement consacre le principe de l’analyse d’impact sur la vie privée laquelle s’applique de fait à tous les responsables de traitement qui manipulent des données de santé.

Les présentes modifications proposées dans le projet de loi visent, d’une part à conserver les procédures d’accès en vigueur pour les traitements à fin de recherche observationnelle (notamment ceux mobilisant le SNDS) et les traitements de données impliquant la personne humaine, et d’autre part à introduire un dispositif général permettant de couvrir tous les traitements de données à caractère personnel dans le domaine de la santé impliquant un intérêt public, une saisine éventuelle de l’INDS et une autorisation de la CNIL.

D’une façon générale, le recours aux référentiels et règlements types et aux méthodologies de référence, homologuées par la CNIL, devient le principe et les demandes de traitement s’inscrivant dans une démarche d’obtention de l’autorisation de la CNIL, l’exception.

Par ailleurs, les procédures simplifiées couvrent désormais des jeux de données plus larges (seuls les jeux de données agrégés et les échantillons y étaient éligibles à ce jour), et les autorisations uniques sont maintenues.

Enfin, le Gouvernement propose de modifier la règle régissant le délai de délivrance de l’autorisation de la CNIL en substituant à la règle du « silence vaut refus » la règle du «silence vaut acceptation ».

4. Analyse des impacts de la disposition envisagée

Le développement de l’utilisation des données de santé doit permettre d’améliorer la connaissance du système de santé par les élus et les citoyens de façon à optimiser la prise en charge sanitaire et sociale.

Il doit également permettre la rationalisation des dépenses de santé grâce à l’optimisation des parcours de soins et des processus de prise en charge des patients.

Enfin, au regard des enjeux du big data et de l’intelligence artificielle, l’accès facilité aux données de santé constitue un atout pour la France en terme de positionnement international et d’attractivité économique.

5. Consultation et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les dispositions réglementaires d’application de la loi informatique et libertés devront être adaptées en conséquence, notamment le décret n° 2016-1872 du 26 décembre 2016 modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 13 (article 54 de la loi n° 78-17)

Décret en Conseil d’Etat après avis de la commission nationale de l’informatique et des libertés

Modalités de saisine de l’Institut national des données de santé

Article 13 (article 55 de la loi n° 78-17)

Arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés

Liste des organismes ou services chargés d’une mission de service public mettant en œuvre des traitements de données de santé à caractère personnel afin de répondre à une situation d’alerte sanitaire

Article 13 (article 63 de la loi n° 78-17)

Décret en Conseil d’Etat après avis de la commission nationale de l’informatique et des libertés

Composition et fonctionnement du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé 

ARTICLE 14

DECISION ADMINISTRATIVE AUTOMATISEE

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La loi n° 78-17 du 6 janvier 1978 a instauré un régime de protection des personnes à l'égard des décisions prises sur le fondement d'un traitement automatisé de données à caractère personnel (articles 10 et 39). Ce régime de protection inscrit dans la loi, à la suite du rapport Tricot de 1975 qui insistait sur « la nécessité de ne compter sur l'analyse d'un système que comme un instrument de travail parmi d'autres et de ne s'en remettre jamais à ses seules conclusions », assure la garantie d’une informatique humaine.

La loi proscrit ainsi le profilage automatique pour les décisions de justice. Cet usage est encadré pour les autres décisions produisant des effets juridiques. Ainsi, lorsqu’une décision implique une appréciation sur un comportement humain fondée sur un algorithme établissant le profil d’un individu la personne peut obtenir que l’évaluation soit vérifiée ou contredite par une intervention humaine.

La Commission nationale de l’informatique et des libertés, au travers de ses avis et mises en demeure, a établi une doctrine concernant l’article 10 de la loi n° 78-17. Elle ne prohibe pas l’utilisation d’algorithmes dans la prise de décision, notamment par les administrations, dès lors qu’ils ne sont qu’un simple outil d’aide à la décision : « compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine ». Le recours à des algorithmes « ne [doit] constitu[er] qu'un outil d'aide et d'orientation des travaux des agents » (délibération n° 2017-226 du 20 juillet 2017).

Dans la mesure où l'Académie française définit un algorithme comme étant une "méthode de calcul qui indique la démarche à suivre pour résoudre une série de problèmes équivalents en appliquant dans un ordre précis une suite finie de règles", les algorithmes peuvent être très divers : une feuille de calcul (type calcul des impôts) ou de scoring (par exemple en matière de logement social). La complexité est encore plus grande si l'on considère que la notion juridique de « décision automatisée » est aussi très large.

En complément de la loi du 6 janvier 1978, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a prévu des mesures assurant la transparence des décisions individuelles prises sur le fondement d'un traitement algorithmique. L'article L. 312-1-3 du code des relations entre le public et l'administration prévoit une obligation générale de publication en ligne des règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles. L’article L. 311-3-1 du même code a créé, parallèlement, un régime d'information individuelle l’administration doit informer l’usager, par une mention explicite dans la décision, que ladite décision a été prise sur le fondement d'un traitement algorithmique et qu’il peut en demander les règles, y compris leur application dans son cas particulier ; les règles définissant le traitement algorithmique ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l'administration à l'intéressé s'il en fait la demande.

L'article R. 311-3-1-3 de ce code précise les informations qui doivent être communiquées à l'intéressé s'il en fait la demande :

« 1° Le degré et le mode de contribution du traitement algorithmique à la prise de décision ;

2° Les données traitées et leurs sources ;

3° Les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé ;

4° Les opérations effectuées par le traitement ».

Cette logique de transparence permet de comprendre et d’auditer le traitement et, grâce aux informations obtenues au titre des droits de l'intéressé mentionnés plus haut, de rejouer les opérations effectuées par le traitement.

1.2. Cadre constitutionnel

Le Conseil constitutionnel s’est prononcé sur l’article 10 de la loi n° 78-17, dans une rédaction antérieure à la modification et à la renumérotation effectuées par la loi n° 2004-801 du 6 août 2004, dans sa décision du 13 mars 200396 :« Considérant, en outre, qu'en vertu de l'article 2 de la loi du 6 janvier 1978 susvisée, que ne remettent pas en cause les dispositions contestées : " Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé " ; que les données recueillies dans les fichiers ne constitueront donc, dans chaque cas, qu'un élément de la décision prise, sous le contrôle du juge, par l'autorité administrative ».

Le commentaire de cette décision précise que « l'intéressé, dûment prévenu de l'accès au fichier, pourra contester la décision de refus qui lui serait opposée devant le juge compétent » et que le Conseil d’Etat vérifie la conformité d’une telle décision à l’article 10 de la loi n° 78-17.

Le projet de loi conserve de tels droits évoqués pour la personne concernée : celle-ci est informée de l’utilisation d’un algorithme et dispose des droits de recours, administratif (s’agissant de décisions administratives individuelles) et juridictionnel, de droit commun.

1.3. Cadre conventionnel

L’article 22 du règlement (UE) 2016/679, reprenant largement la rédaction de la directive 95/46/CE qu’il abroge, dispose que : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative » (point 1).

Ce droit subjectif de ne pas faire l’objet d’une décision automatisée a largement été interprété en France comme prohibant toute décision ayant un effet juridique prise automatiquement par un traitement sans intervention humaine.

Toutefois, ce droit accordé à la personne n'est pas absolu. Le point 2 de l’article 22 du règlement prévoit trois dérogations, lorsque la décision :

- est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement (a) ;

- est autorisée par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée (b) ;

- est fondée sur le consentement explicite de la personne concernée (c).

Dans les cas a) et c), des garanties pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée doivent être également apportées: intervention humaine de la part du responsable du traitement, droit d’exprimer son point de vue et de contester la décision (point 3).

A ce titre, il convient de souligner que le considérant 71 du règlement précise que : « Toutefois, la prise de décision fondée sur un tel traitement [automatisé], y compris le profilage, devrait être permise lorsqu'elle est expressément autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l'évasion fiscale conformément aux règles, normes et recommandations des institutions de l'Union ou des organes de contrôle nationaux, et d'assurer la sécurité et la fiabilité d'un service fourni par le responsable du traitement ».

Les décisions ne peuvent être fondées sur les catégories de données prévues à l’article 9 du règlement (point 4), c’est-à-dire les données sensibles (données biométriques, génétiques, de santé, ethniques, politiques, syndicales, vie sexuelle, religieuse, philosophique), sauf si la personne y consent (point a) du paragraphe 2 de l’article 9) ou que le traitement est nécessaire pour des motifs d’intérêt public important (point g) du même paragraphe).

Les « mesures appropriées pour la sauvegarde des droits et libertés » de la personne ne sont pas définies par le règlement. Le considérant 71 apporte quelques précisions ainsi que les lignes directrices dédiées du G29 :

- droit à l’information (logique sous-jacente, conséquences pour la personne) et à l’explication ;

- droit au recours, y compris, le cas échéant, droit à une intervention humaine et à exprimer son point de vue.

Au-delà de ces droits subjectifs, les responsables de traitement sont invités à contrôler régulièrement pour des biais discriminants (dans la mesure, notamment, où le règlement n’interdit pas strictement le traitement de données « sensibles »).

1.4. Eléments de droit comparé

1.4.1 Au Royaume Uni, les traitements automatisés sont autorisés dans le cadre de la loi (pour la fraude fiscale par exemple). L’article 13 du projet de loi d’adaptation du droit national au règlement prévoit de manière transversale les garanties offertes en cas de décisions automatisées prises en application du b) du 2 de l’article 22 :

- notification de la personne dans les meilleurs délais ;

- faculté dans les 3 semaines suivantes de demander un réexamen de la situation ou la prise d’une nouvelle décision qui n’est pas fondée sur le seul algorithme ;

- obligation dans les 3 semaines suivantes de répondre à la demande, ce qui peut impliquer la faculté pour la personne de fournir de nouvelles informations.

Cet article est conforme aux dispositions du Data Protection Act de 1998 (article 12(2)b) qui prévoyait le réexamen plutôt que des garanties de transparence, voire un « droit à l’explication », comparable notamment à l’article 39 de la loi française du 6 janvier 1978.

1.4.2 En Allemagne, le paragraphe 6a) du Bundesdatenschutzgesetz reprend largement le règlement : la section (2) prévoit la possibilité de déroger par une mesure législative. Le (3) permet aux personnes concernées d’avoir connaissance du mécanisme qui fonde la décision, au sens de la logique sous-jacente.

2. Objectifs poursuivis et nécessité de légiférer

2.1 Objectifs poursuivis

Alors que certaines décisions sont d’ores et déjà prises avec une aide algorithmique par les administrations (fraude, affectation, calcul des droits), l’objectif poursuivi est de fixer un cadre juridique protecteur des citoyens mais permettant, dans certains cas, de prendre des décisions administratives individuelles automatisées qui ne requerront plus une intervention humaine a priori et de renforcer la sécurité juridique.

Il convient de prévoir la possibilité d’un recours à une décision automatisée pour les décisions administratives individuelles, à condition que :

- la personne soit clairement informée, par une mention explicite, indiquant la finalité du traitement algorithmique et le droit d'obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d'exercice de ce droit97 ;

- pour être à même d'assurer pleinement cette information, le responsable de traitement maitrise le traitement algorithmique ;

- le droit au recours soit garanti, c’est-à-dire une intervention humaine a posteriori ;

- l’utilisation des données sensibles (qui comprennent notamment les données de santé), permise cependant, sous conditions, par le règlement, soit proscrite.

2.2 Nécessité de légiférer

L’article 22 du règlement offre une marge de manœuvre en droit national (point 2. b), pour autoriser la prise de décision automatisée, à condition de prévoir des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée,. Le considérant 71 du règlement, par sa formulation (« la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise ») permet aux Etats membres d’intégrer dans leur législation des règles de ce type dès lors que les garanties appropriées sont prévues.

Or, l’automatisation de décisions administratives constitue un levier essentiel pour une administration modernisée, permettant de conforter la continuité du service public, en sécurisant sa délivrance, et de sécuriser juridiquement les calculs de droits ou de prélèvements. Les algorithmes apportent une aide pour le traitement et l’analyse de l’information de plus en plus numérisée dans la sphère publique.

L’apparition d’automates hier a permis de renforcer l’efficacité de l’administration tout en permettant aux agents de traiter les situations les plus complexes. Aujourd’hui, les algorithmes sont partout dans la vie quotidienne numérique des Français. Ils déterminent ce que l’on voit sur les plates-formes d’achat en ligne, les réseaux sociaux ou les moteurs de recherche comme l’indique Nohza Boujemaa98. Ils sont utilisés par exemple pour fixer une tarification volatile ou organiser les recommandations personnalisées. L’administration utilise déjà largement cette technologie dans bien des situations qui ne donnent pas lieu à polémique tel le calcul des impôts

Ainsi, il apparait nécessaire que la France se dote d'un cadre juridique équilibré permettant aux administrations d’innover en automatisant certaines prises de décisions tout en assurant une totale transparence sur les traitements algorithmiques qu'elle utilise et que les usagers en soient correctement informés, ce qui implique que :

- les algorithmes soient ouverts, auditables et transparents ;

- ils soient « explicables », c’est-à-dire composés de règles dissociables et intelligibles.

Le principal enjeu, comme le relevait le rapport du Conseil d’Etat de 201499, est la prohibition d’algorithmes « boîtes noires », qui privent de sens la décision. Sur ce point, d’ailleurs, dans la sphère publique, le secret industriel et commercial ne saurait être opposé, comme c’est le cas dans la sphère privée, ainsi que le soulève l’étude annuelle 2017 du Conseil d’Etat100. C’est notamment à cette fin que la plate-forme TransAlgo chargée d’évaluer la responsabilité et la transparence des systèmes algorithmiques mise en œuvre par l'INRIA en collaboration avec le CNRS, a été créée. C’est également, dans cette logique, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique avait prévu que, dans le cas de décisions administratives individuelles prises sur le fondement d’un traitement algorithmique, l’administration devait être à même de rendre compte précisément des règles utilisées.

3. Options

3.1. Option 1 (écartée) : Maintien de l’article 10 dans sa rédaction actuelle

La rédaction en vigueur de l’article 10 de la loi n°78-17 ne permet pas de prendre des décisions administratives individuelles sur le seul fondement d’un traitement automatisé de données, une intervention humaine étant requise, entre l’évaluation algorithmique et l’édiction de la décision.

Les algorithmes sont très utilisés dans l’aide à la décision administrative. Une intervention humaine ne semble pas toujours nécessaire pour assurer les droits des personnes concernées et des usagers des services publics, comme par exemple pour le calcul de l’impôt sur le revenu.

Le maintien de cette interdiction absolue ne permet pas de répondre aux évolutions de l’activité administrative qui a de plus en plus recours à des traitements algorithmiques, notamment pour les décisions de masse que la règlementation encadre précisément et dont l’édiction rapide permet la bonne délivrance du service public.

Par ailleurs, l’article doit être adapté au règlement :

- le troisième alinéa de l’article en est la recopie non nécessaire ;

- la notion de profilage est adaptée à la définition du règlement.

Pour l’ensemble de ces raisons, l’écriture actuelle de l’article 10 de la loi n°78-17 n’apparaît plus adaptée.

3.2. Option 2 retenue : Modification de l’article 10 de la loi n° 78-17 pour prévoir dans certaines conditions la prise de décisions administratives individuelles automatisées

Il est proposé d’utiliser la marge de manœuvre prévue au b) du 2 de l’article 22 du règlement (UE) 2016/679 pour ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), dans le seul champ des décisions administratives individuelles (et non pour toute décision ayant un effet significatif sur la personne) et à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de maîtrise des traitements de droit au recours et de données traitées (exception des données dites « sensibles » de ce cadre).

L’obligation d’information, issue de l’article L. 311-3-1 du code des relations du public et de l’administration, ne constitue pas simplement une règle de transparence, mais aussi, d’une part, une information proactive de l’usager et, de l’autre, par voie de conséquence directe, une maîtrise sur les règles qui doivent pouvoir être communiquées loyalement à la personne concernée, y compris en cas d’actualisations. Elle est complétée par l’article 39 de la loi de 78 et le règlement qui prévoient également une information de la personne concernée.

Le droit au recours hiérarchique ou gracieux de droit commun implique une garantie d’intervention humaine a posteriori101.

L’enjeu principal, en définitive, n’est pas celui d’une intervention humaine entre la décision algorithmique et sa notification, dont on peut interroger la réelle effectivité, mais :

- d’une intervention humaine ab initio, dans l’édiction des règles et dans leur implémentation par l’algorithme : c’est le sens de l’obligation de maîtrise de l’algorithme insérée dans l’article du projet de loi (et qui était déjà affirmée par l’article 16 de la loi pour une République numérique) ;

- et d’une intervention humaine a posteriori pour réformer des décisions dans certaines situations particulières qui seront portées le cas échéant à la connaissance de l’administration.

S’agissant du risque de discrimination ou de biais, l’impossibilité de traiter des données sensibles telles que l’origine ethnique, la religion, l’opinion politique, l’affiliation syndicale ou l’orientation sexuelle apporte une première garantie, que vient compléter l’obligation de maîtrise susmentionnée.

4. Analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

Le principal impact attendu est la faculté de prendre des décisions administratives automatisées sans intervention humaine par une modification de l’article 10 de la loi n° 78-17, ce qui apportera la sécurisation juridique de certaines décisions pour lesquelles l’intervention humaine est résiduelle.

4.2. Impact sur les finances publiques

Ainsi que le souligne Nozha Boujemaa102, les services numériques définis et gérés par les algorithmes permettent l’autonomisation du traitement de l’information au-delà de ce que l’humain serait capable de gérer dans un temps comparable, ce qui est une véritable opportunité en termes de gain de performance et d’efficacité de l’exécution de l’action publique.

L’usage des algorithmes est relativement répandu dans le champ des finances publiques, sous deux aspects :

- le calcul des prélèvements comme des droits ;

- la lutte contre la fraude.

La sécurisation des décisions liées au calcul sera améliorée.

4.3. Impacts sur les collectivités territoriales

Les collectivités territoriales ne recourent que peu aux algorithmes dans leur prise de décision.

Elles sont toutefois susceptibles de le faire, notamment, en matière de scoring pour l’attribution de logements sociaux ou d’affectation (petite enfance).

4.5. Impact sur l’égalité entre les femmes et les hommes et sur les personnes handicapées

L’automatisation de certaines décisions est susceptible d’avoir un impact positif sur les situations de discriminations, à la condition que les règles des algorithmes prennent en compte ab initio le principe de non-discrimination et ses tempéraments particuliers (mise en place de garanties de procédure et de transparence, développement de contrôle des résultats produits par les algorithmes,…).

5. Consultations

La Commission nationale de l'informatique et des libertés a été consulté sur cet article.

Le Conseil national d’évaluation des normes a été consulté et a rendu un avis favorable lors de sa séance du 30 novembre 2017.

ARTICLE 15

LIMITATION DES DROITS

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés consacre la section 2 du chapitre V aux droits des personnes à l’égard des traitements de données à caractère personnel.

Elle ne prévoit pas de restriction générale aux droits prévus pour la protection des données à caractère personnel. Des limitations à certains droits sont en revanche prévues à :

- l’article 38 : limitation au droit d’opposition « lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement » ;

- l’article 39 en matière de droit d’accès, le responsable de traitement pouvant « s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. ». Le droit d’accès ne s’applique pas non plus « lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique » ;

- l’article 40 qui prévoit que le droit de rectification et droit à l’effacement ne s’appliquent pas lorsque le traitement de données à caractère personnel est nécessaire pour exercer le droit à la liberté d'expression et d'information, pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement, et enfin à la constatation, à l'exercice ou à la défense de droits en justice.

Ces restrictions sont reprises, précisées ou complétées dans les textes autorisant la création de traitements de données. Par exemple, l’article L. 4123-9-1 du code de la défense prévoit, s’agissant des traitements dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent, que les personnes concernées ne sont averties, en cas de divulgation ou d'accès non autorisé à leurs données, qu’après l’accord du ministère compétent.

1.2. Cadre conventionnel

L’article 23 du règlement (UE) 2016/679103 prévoit une marge de manœuvre importante qui permet aux Etats membres « par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir » certaines finalités, missions ou objectifs listés104.

Les droits visés sont l’ensemble des droits définis à la section 1 du chapitre III du règlement, à savoir, outre les droits déjà prévus par la loi n° 78-17, le droit à l’effacement (article 17 du règlement) et le droit à la portabilité des données (article 20).

Le considérant 73 du règlement précise que : « Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. »

Par ailleurs, l’article 23 du règlement précité utilise la notion de « mesures législatives ». Le considérant 41 du règlement précise à cet égard que : « Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l'homme. ».

La Cour européenne des droits de l’homme retient également une acception "matérielle" et non "formelle" du terme de « loi ». A ce titre elle y inclut des textes de rang infralégislatif105.

2. Objectifs poursuvis et necessite de légiferer

2.1 Objectifs poursuivis

Le projet de loi vise également un objectif de clarification et d’intelligibilité du droit en définissant les conditions dans lesquelles certains traitements ou catégories de traitements sont autorisés à déroger au droit à la communication d’une violation de données.

2.2 Nécessité de legiferer

Les droits reconnus en matière de traitements de données à caractère personnel sont définis par la loi 78-17 tout comme les dérogations à ces droits. L’article 23 du règlement permet une marge de manœuvre sur les limitations des droits des personnes concernées..

Le présent projet de loi souhaite compléter les dérogations prévues par la loi n° 78-17, pour les cas dans lesquels la communication d’une divulgation ou d’un accès non autorisé à des données est susceptible de présenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique, et lorsque sont en cause des traitements ou catégories de traitements nécessaires au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public.

En effet, dans le contexte actuel, les démarches et intentions d’organisations terroristes visant à dérober des données personnelles sensibles constituent une menace grave et crédible. Il est donc souhaitable de prévoir l’absence de communication à la personne concernée de la divulgation de ses données afin que puisse être évalué si la diffusion d'une information sur cette divulgation ou cet accès non autorisé est susceptible de représenter un risque pour la sécurité des personnes, la sécurité publique ou la sûreté de l'Etat. Ce n’est que si ce n’était pas le cas que l’intéressé pourrait être informé de la violation de ces données personnelles.

Des dispositions ont d’ailleurs déjà été adoptées en ce sens dans le code de la défense (cf. articles L. 4123-9-1 et R. 4123-51) pour les traitements dont la finalité exige l’enregistrement de la qualité de militaire.

La reconnaissance par le législateur d’un droit à la communication d’une violation de données et l’encadrement du champ et la portée des exceptions à un tel droit participent de la définition des garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques au sens de l’article 34 de la Constitution.

3. Options

3.1. Option 1 (écartée) : Ne rien inscrire dans la loi

Le règlement étant d’application directe, le législateur ne peut se prononcer sur cette mesure et considérer implicitement que c’est directement chaque acte règlementaire qui autorise ou crée un traitement qui peut prévoir les limitations à certains droits.

3.2. Option 2 (retenue) : Prévoir une possibilité de limitation de certains droits dans le respect de l’article 23 du règlement tout en rattachant les dérogations aux traitements ou catégories de traitement

Cette option fixe le principe de l’existence de dérogations au droit à la communication d’une violation de données mentionné à l’article 34 du règlement, en précisant la portée de l’article 23 à un triple titre :

- en proposant de limiter le champ de la dérogation à certaines violations de données (et non à l’ensemble de celles définies à l’article 4.12 du règlement106), à savoir la divulgation de données et l’accès non autorisé à celles-ci (uniquement les manœuvres frauduleuses et non les défaillances dont les administrations seraient responsables) ;

- en mentionnant le fait que le besoin de garantir la sécurité nationale, la défense nationale et la sécurité publique ne résulte pas de la nature de certaines données du traitement mais de la communication de la violation des données elle-même. En d’autres termes, ce n’est pas le vol de données qui impose l’absence de notification mais le fait que les personnes « volées » soient averties de ce vol, que le voleur en soit informé et qu’il prenne conscience de la sensibilité des informations détenues ;

- en limitant le champ d’application de cette dérogation aux traitements ou catégories de traitement nécessaires au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public.

Ce choix reflète celui qui existe actuellement dans la loi n° 78-17 en matière de limitation des droits et celui qui a été retenu pour la transposition de la directive (UE) 280/2016, en son article 70-21 créé par le projet de loi. Il va toutefois au-delà en prévoyant l’édiction d’un décret en Conseil d’Etat pris après avis de la CNIL afin d’encadrer le champ et la portée de ces dérogations.

Cette option permet enfin de clarifier la notion de « mesures législatives » qui figure dans les deux textes européens, laquelle renvoie, ainsi qu’il a été dit précédemment, à des mesures qui ne sont pas nécessairement adoptées par le Parlement, ainsi que le précisent les considérants 41 du règlement et 33 de la directive.

4. Analyse des impacts de la disposition envisagée

Le projet de loi, en complétant l’article 40 de la loi n° 78-17, prévoit la possibilité d’une limitation à être informé des violations d'un traitement de données personnelles, régi par l'article 34 du règlement pour les seuls traitements répondant à une obligation légale, et aux seules fins de protection de la sécurité nationale, de la défense nationale ou de la sécurité publique, .

Il s’agit de permettre aux responsables du traitement de ne pas prévenir la personne dont les données ont fait l'objet d'une violation par un tiers dans des conditions mettant en cause, à raison de données ou à raison de l'emploi de la personne (par exemple s'il s'agit d'un agent des forces de sécurité ou d’un militaire), la sécurité ou la défense, afin de mieux assurer la lutte contre les auteurs de ces violations.

Sont notamment visés par ces dispositions, les traitements comportant des données personnelles à caractère sensible relatives, en particulier, à la qualité de militaire (article 117 de la loi n° 2016-731 du 3 juin 2016) ou à des agents du ministère de la défense occupant des fonctions sensibles (traitements de données de ressources humaines ou du service de santé des armées).

5. Consultations et modalités d’application

La Commission nationale de l'informatique et des libertés a été consultée sur cet article.

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 15

Décret en conseil d’Etat pris après avis de la Commission nationale de l'informatique et des libertés

Fixation de la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du, règlement (UE) 2016/679.

CHAPITRE V

VOIES DE RECOURS

ARTICLES 16 ET 17

MODALITES D’EXERCICE DES VOIES DE RECOURS

1. Etat des lieux et Diagnostic

1.1. Etat des lieux

1.1.1 Les voies de recours offertes à la personne concernée 

Une personne concernée par un traitement de données dispose de deux voies de recours pour faire valoir ses droits : elle peut déposer un recours auprès de la Commission nationale de l’informatique et des libertés ou auprès de la juridiction compétente (pénale, civile ou administrative).

L’article 11 2° c) de la loi n°78-17 prévoit ainsi que la Commission nationale de l’informatique et des libertés reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements et informe leurs auteurs des suites données à celles-ci. Ce droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés est désormais consacré à l’article 77 du règlement (UE) 2016/679.

Les décisions de la Commission nationale de l’informatique et des libertés au titre de ses missions de contrôle ou de régulation sont susceptibles d’être l’objet d’un recours devant le Conseil d’Etat statuant en premier et dernier ressort (article R.311-1 4° du code de justice administrative). L’article 46 de la loi n°78-17 précise à cet égard que : « les décisions prononçant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat. ».

La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a également introduit une nouvelle modalité de recours juridictionnel en créant une action de groupe en matière de protection des données à caractère personnel ouverte devant le juge judiciaire et le juge administratif. Ce recours, sans mandat, permet de solliciter du juge la cessation d’un manquement (article 43 ter de la loi n°78-17). Ce recours ne permet pas, en revanche, d’exercer une action en réparation.

L’article 80.1 du règlement (UE) 2016/679 permet aux personnes concernées de mandater des organisations, des organismes ou des associations pour exercer leurs droits visées aux articles 77, 78 et 79 avec la possibilité de l’étendre au droit d’obtenir réparation si le droit de l’État membre le prévoit.

1.1.2 Les voies de recours offertes à la Commission nationale de l’informatique et des libertés

La Commission nationale de l’informatique et des libertés a également la faculté de saisir la justice, cette faculté est cependant limitée.

Ainsi, le e du 2° de l’article 11 de la loi n°78-17 prévoit qu’elle peut répondre aux demandes d’avis formulées par les juridictions. L’article 1er du projet de loi vise à compléter cet article pour prévoir que la CNIL peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978.

Elle a également la possibilité de dénoncer au procureur de la République les infractions à la loi informatique et libertés, prévues aux articles 226-16 à 226-24 du code pénal (article 11, 2°, e).

Enfin, le président de la Commission nationale de l’informatique et des libertés peut demander, par référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire en cas d’atteinte grave et immédiate aux droits et libertés (article 45-III de la loi n°78-17).

1.1.3 La compétence de la CNIL en cas de transferts de données vers des pays tiers

L’article 70 de la loi n°78-17 octroie à la Commission nationale de l’informatique et des libertés une prérogative en matière de transfert de données vers des Etats non membres de l’Union européenne.

Si la Commission des Communautés européennes a constaté qu'un Etat non membre de l’Union européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert, la Commission nationale de l'informatique et des libertés, saisie d'une déclaration doit délivrer un récépissé avec la mention de l'interdiction de procéder au transfert des données vers cet Etat.

Lorsqu'elle estime qu'un Etat non membre de l’Union européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert de données, la Commission nationale de l'informatique et des libertés doit en informer sans délai la Commission européenne et peut enjoindre au responsable du traitement de suspendre le transfert des données vers cet Etat. Si la Commission européenne constate que l'Etat vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission européenne constate que l'Etat vers lequel le transfert est envisagé n'assure pas un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement l'interdiction de procéder au transfert de données à caractère personnel à destination de cet Etat. 

Ces dispositions ont vocation à perdre leur portée dès lors que le régime des déclarations auprès de la Commission nationale de l’informatique et des libertés est supprimé dans le cadre de la mise en conformité de la loi n° 78-17 au règlement (UE) 2016/679.

En revanche, il est proposé, dans le cadre du présent projet de loi, de créer une nouvelle voie de recours pour la Commission nationale de l’informatique et des libertés dans le cadre des transferts de données internationaux, afin de tirer les conséquences de l’arrêt du 6 octobre 2015, par lequel la Cour de justice de l’Union européenne a jugé : « il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision »107.

1.2. Cadre constitutionnel

La nouvelle voie de recours instituée en faveur de la Commission nationale de l’informatique et des libertés tire les conséquences d’un arrêt de la Cour de justice de l’Union européenne.

Il s’agit de permettre à la Commission, lorsqu’elle est saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant dans le cadre d’un transfert de données vers un Etat non membre de l’Union européenne, de demander au Conseil d’État d’ordonner, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de l’acte approuvé par la Commission européenne ayant permis le transfert, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte, lorsque la Commission nationale de l'informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données. Si le Conseil d’Etat partage les doutes de la Commission sur la validité de cet acte, il devra poser une question préjudicielle à la Cour de justice de l’Union européenne en application de l’article 267 du Traité sur le fonctionnement de l’Union européenne.

La disposition ainsi prévue est conforme au cadre constitutionnel national. En effet, le Conseil constitutionnel a rappelé à plusieurs reprises la compétence de la Cour de justice de l’Union européenne pour se prononcer sur la validité et l’interprétation d’un acte adopté par une institution de l’Union européenne108.

1.3. Cadre conventionnel

1.3.1 L’article 58.5 du règlement (UE) 2016/679 dispose que : « Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement ».

Le chapitre VIII relatif aux voies de recours, à la responsabilité et aux sanctions prévoit notamment le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77), le droit à un recours juridictionnel effectif contre une autorité de contrôle (article 78), le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant (article 79), la représentation des personnes concernées (article 80) et un droit à réparation et responsabilité (article 82).

L’article 55 de la directive prévoit également le droit pour les personnes concernées de mandater un organisme, une organisation ou une association à but non lucratif pour exercer les mêmes réclamation et recours que ceux prévus par le règlement.

1.3.2 La Cour de justice de l’Union européenne a consacré une nouvelle voie de droit par le considérant 65 de la décision Maximillian Schrems du 6 octobre 2015, C-362/14 :

« 63 […] lorsqu’une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, saisit une autorité nationale de contrôle d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ces données et conteste, à l’occasion de cette demande, comme dans l’affaire au principal, la compatibilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes, il incombe à cette autorité d’examiner ladite demande avec toute la diligence requise.

64. Dans l’hypothèse où ladite autorité parvient à la conclusion que les éléments avancés au soutien d’une telle demande sont dépourvus de fondement et rejette, de ce fait, cette dernière, la personne ayant introduit ladite demande doit, ainsi qu’il résulte de l’article 28, paragraphe 3, second alinéa, de la directive 95/46, lu à la lumière de l’article 47 de la Charte, avoir accès aux voies de recours juridictionnelles lui permettant de contester une telle décision lui faisant grief devant les juridictions nationales. Eu égard à la jurisprudence citée aux points 61 et 62 du présent arrêt, ces juridictions sont tenues de surseoir à statuer et de saisir la Cour d’une procédure de renvoi préjudiciel en appréciation de validité lorsqu’elles considèrent qu’un ou plusieurs moyens d’invalidité avancés par les parties ou, le cas échéant, soulevés d’office sont fondés (voir, en ce sens, arrêt T & L Sugars et Sidul Açúcares/Commission, C-456/13 P, EU:C:2015:284, point 48 et jurisprudence citée).

65. Dans l’hypothèse contraire, où ladite autorité estime fondés les griefs avancés par la personne l’ayant saisie d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel, cette même autorité doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46, lu à la lumière notamment de l’article 8, paragraphe 3, de la Charte, pouvoir ester en justice. À cet égard, il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision. »

Les arrêts rendus par la Cour de justice de l’Union, notamment lorsqu’elle statue à titre préjudiciel comme c’est le cas dans l’arrêt précité, ont une force exécutoire en vertu de l’article 280 du Traité sur le fonctionnement de l’Union européenne. 

1.4. Eléments de droit comparé

La loi allemande de protection des données109 a prévu deux dispositions spécifiques, l’une (section 20) concernant le droit au recours juridictionnel prévu à l’article 78 du règlement110, l’autre (section 21) aménageant la voie de recours définie dans l’arrêté Schrems précité. Dans ce dernier cas, si l’autorité de contrôle estime qu'une décision d'adéquation de la Commission européenne dont dépend la validité d'une décision de l'autorité de contrôle méconnaît la loi, l'autorité de contrôle suspend sa procédure et introduit une demande de décision de justice. Si le juge estime que la décision de la commission est valide, il doit en juger ainsi. Dans les autres cas, il doit pouvoir poser une question préjudicielle en application de l’article 267 du Traité sur le fonctionnement de l’union européenne111.

L’article 173 de la loi anglaise de protection des données112 rappelle l’existence de l’action de groupe avec mandat prévu à l’article 80 du règlement. Elle utilise la marge de manœuvre prévue à l’article 80.1 pour permettre une telle action de groupe afin d’exercer un droit à réparation113.

2. Objectifs et necessite de legiferer

2.1 Objectifs poursuivis

Les dispositions du présent projet de loi doivent permettre au système juridique français de se conformer aux obligations découlant du droit de l’Union européenne, tant le règlement que la jurisprudence de la Cour de justice de l’Union européenne. Cette mise en conformité doit notamment permettre de garantir des voies de droit cohérentes et effectives pour les personnes concernées et renforcer le pouvoir de contrôle de la CNIL.

Ces dispositions, combinées à la possibilité pour la CNIL introduite par l’article 1er du projet de loi de présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 (cf. supra), visent ainsi à renforcer la capacité d’action en justice de la CNIL et garantir le respect effectif des droits des personnes concernées.

2.2 Nécessité de legiferer

D’une part, l’article 80 du règlement impose aux Etats membres de prévoir un droit pour les personnes concernées de mandater un organisme, une organisation ou une association afin d'introduire une réclamation auprès d'une autorité de contrôle (article 77), d’exercer un recours juridictionnel contre une autorité de contrôle (article 78) ou contre un responsable du traitement ou un sous-traitant (article 79). Une telle obligation s’impose également en vertu de l’article 55 de la directive.

D’autres modalités de recours relèvent des marges de manœuvre des Etats membres : possibilité d’étendre le mandat défini précédemment afin d’exercer une action en réparation (article 80.1), possibilité pour un organisme, une organisation ou un association, d’exercer les droits définis ci-dessus, indépendamment de tout mandat confié par une personne concernée (article 80.2).

D’autre part, l’arrêt de la Cour de Justice du 6 octobre 2015 précité impose en outre au législateur national de prévoir une voie de droit spécifique permettant à l’autorité de contrôle de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité d’une décision d’adéquation de la Commission européenne, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision.

3. Options

3.1. Introduction d’une action de groupe avec mandat devant l’autorité de contrôle

L’article 80.1 du règlement prévoit une obligation pour les Etats membre d’assurer le droit pour une personne concernée de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit national pour exercer les droits prévus aux articles 77, 78 et 79 du règlement. Une marge de manœuvre est ouverte d’étendre ce droit aux actions en réparation visé à l’article 82 du même règlement.

3.1.1. Option 1 (écartée) : Application directe du règlement sans précision

Afin de permettre aux personnes concernées de connaître l’existence de cette voie de recours, il a semblé important de réaffirmer la possibilité de l’action permise par le règlement, bien que d’application directe. En outre, l’article 80.1 du règlement renvoie au droit de l’Etat membre le soin de déterminer selon quelles modalités une association peut agir avec le mandat.

3.1.2. Option 2 (écartée) : Utiliser la marge de manœuvre de l’article 80.1 du règlement (UE) 2016/679 pour introduire une action avec mandat aux fins de réparation

La loi de modernisation de la justice du XXIème siècle qui a créé une action de groupe en cessation de manquement n’a pas prévu d’étendre le champ de cette action aux fins de réparation. Les débats parlementaires soulignent l’opposition du législateur national d’étendre l’action de groupe aux demandes en réparation.

Compte-tenu du caractère récent de l’introduction de l’action de groupe dans le droit national, il a donc été décidé de ne pas utiliser la marge de manœuvre prévue à l’article 80.2 du règlement.

3.1.3. Option 3 (retenue) : Ouvrir l’action de groupe obligatoire prévue à l’article 80.1 aux associations déjà prévues au IV de l’article 43 ter

Ainsi qu’il a été dit au point 3.1.1, il revient au droit national de préciser les conditions selon lesquelles un organisme, une organisation ou une association peut, par mandat, exercer les droits prévus aux articles 77, 78 et 79 du règlement. Il en est de même en vertu de l’article 55 de la directive, s’agissant des traitements relevant du champ d’application de cette dernière (nouveau chapitre XIII de la loi n°78-17).

Afin de ne pas complexifier le régime, il est proposé de renvoyer aux organismes et associations déjà mentionnés au IV de l’article 43 ter de la loi n°78-17.

3.2. Introduction d’une représentation sans mandat pour exercer le droit de réclamation et les droits de recours juridictionnel

3.2.1. Option 1 (écartée) : Utiliser la marge de manœuvre prévue à l’article 80.2 du règlement pour l’ensemble des droits

L’article 43 ter de la loi n° 78-17, introduit par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, en prévoyant une action de groupe, sans mandat, pour faire cesser un manquement par un responsable de traitement subi par plusieurs personnes physiques, organise déjà la marge de manœuvre prévue à l’article 80.2 du règlement s’agissant du droit à un recours effectif contre un responsable de traitement ou un sous-traitant (article 78).

Compte-tenu du caractère récent de ces nouvelles dispositions, il n’a pas été décidé d’étendre la marge de manœuvre prévue à l’article 80.2 du règlement pour l’exercice du droit de réclamation auprès de l’autorité de contrôle (article 77) et du droit de recours juridictionnel contre l’autorité de contrôle (article 78).

Le droit actuel permet déjà, en tout état de cause, à une personne concernée d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (article 11 2°-c) et à toute personne physique ou morale, de contester une décision prise par la Commission au titre de sa mission de contrôle devant le Conseil d’Etat (article R. 311-1 du code de justice administrative).

3.2.2. Option 1 (retenue) : Ne pas modifier le droit existant

Au regard des éléments évoqués précédemment, il a été décidé de ne pas faire usage de la marge de manœuvre prévue à l’article 80.2 du règlement, l’article 43 ter de la loi n° 78-17 permettant déjà de satisfaire une partie des possibilités offertes par le règlement.

Pour résumer, les choix opérés par le présent projet de loi sont les suivants :

Type de recours

Représentation des parties avec mandat
(art. 80.1)

Représentation des parties sans mandat
(art. 80.2)

Droit de réclamation (art. 77)

Nouvel article art. 43 quater

X

Droit de recours contre l’autorité de contrôle (art. 78)

Nouvel article art. 43 quater

X

Droit de recours contre un responsable de traitement (art. 79)

Nouvel article art. 43 quater

Actuel art. 43 ter

Droit à réparation (art. 82)

X

Sans objet

3.2 : Aménagement d’une voie de recours définie par l’arrêt CJUE - C-362/14

3.2.1. Option 1: Absence de mesure législative

Le droit actuel ne prévoit pas la voie de recours définie dans l’arrêt Maximillian Schrems du 6 octobre 2015 précité, à savoir la possibilité pour la Commission nationale de l’informatique et des libertés de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation de la Commission européenne, à un renvoi préjudiciel aux fins de l’appréciation de la validité de cette décision par la Cour de justice de l’Union européenne.

Une absence de mesure législative exposerait la France à une procédure en manquement, en application des articles 258 à 260 du Traité sur le fonctionnement de l’Union européenne, dès lors qu’il s’agirait d’une méconnaissance d’une obligation découlant d’un texte européen (en l’occurrence, la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), telle qu’interprétée par la Cour de justice.

3.2.2. Option 2 (écartée) : Donner un pouvoir global d’ester en justice à la Commission nationale de l’informatique et des libertés

L’article 58.5 du règlement permet de doter l’autorité de contrôle d’un pouvoir global d’ester en justice. Or la Commission nationale de l’informatique et des libertés, autorité administrative indépendante et non autorité publique indépendante, ne dispose pas de la personnalité morale (article 2 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes) lui permettant de droit d’agir en justice.

Toutefois, ainsi qu’il a été rappelé dans la première partie, la Commission nationale de l’informatique et des libertés dispose des moyens pour faire appliquer les dispositions du règlement et de la loi n°78-17 : outre les mesures de sanction qu’elle peut prendre pour faire cesser la méconnaissance par les responsables de traitement de leurs obligations, sanctions qui sont sensiblement renforcées par le règlement, elle peut, en cas d’atteinte grave et immédiate aux droits et libertés agir par la voie du référé auprès de la juridiction compétente.

Par ailleurs, outre la situation évoquée dans l’arrêt Schrems précité nécessitant l’instauration d’une voie de recours ad hoc, il n’a pas été identifié d’autres situations qui nécessiteraient un pouvoir plus étendu accordé à la Commission nationale de l’informatique et des libertés.

3.2.3. Option 3 (retenue) : Introduction d’une nouvelle voie de recours dans le cadre des transferts internationaux de données

Le nouvel article 45 quinquies de la loi n° 78-17 aménage ainsi une voie de recours pour la Commission nationale de l'informatique et des libertés dans le cadre des transferts de données vers un Etat membre de l’Union européenne, conformément à l’arrêt Schrems précité.

Ainsi, lorsqu’elle sera saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la Commission nationale de l'informatique et des libertés pourra demander au Conseil d’Etat d’ordonner, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne, qu’il aura saisi à titre préjudiciel s’il partage des doutes de la CNIL, de la validité d’une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte. La CNIL devra alors assortir ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de tels actes adoptés par la Commission européenne.

Afin de donner un plein effet utile à cette voie de recours, et dans un souci de cohérence et de protection accrue des données à caractère personnel, il a été fait le choix d’élargir cette voie de recours à l’ensemble des actes pris par la Commission européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données pris sur le fondement de l’article 46 du règlement (UE) 2016/679, et pas uniquement les décisions d’adéquation : clause-type de protection des données, code de conduite, mécanisme de certification. Cette nouvelle voie de droit est également étendue à l’égard des décisions d’adéquation de la Commission européenne prises sur le fondement de l’article 36 de la directive (UE) 2016/680, lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l'exercice de sa fonction juridictionnelle.

Le choix du Conseil d’Etat pour connaître de cette nouvelle voie de recours, par dérogation à la compétence de premier ressort des tribunaux administratifs, a été fait en considération d’une bonne administration de la justice. Actuellement, le Conseil d’État est compétent pour connaître, en premier et dernier ressort, des décisions prises par la Commission nationale de l’informatique et des libertés au titre de sa mission de contrôle. La décision prise par la Commission, après que la Cour de justice de l’Union européenne se sera prononcée sur la question préjudicielle dont elle aura été saisie, relèvera de la compétence du Conseil d’Etat en vertu de l’article R. 311-1 du code de justice administrative. En outre, ce nouveau recours, qui porte sur une question sensible relative à la protection des données à caractère personnel transférées vers un pays tiers, suppose qu’il soit statué rapidement.

4. Analyse des impacts des dispositions envisagées

4.1. Impacts juridiques

L’action de groupe avec mandat devant la Commission nationale de l’informatique et des libertés est de nature à limiter le nombre de réclamations individuelles lorsque la violation d’un responsable de traitement ou d’un sous-traitant concerne de nombreuses personnes concernées.

Le projet de loi crée une nouvelle voie de recours devant le Conseil d’État. Cet aménagement permettra une voie de recours effective et rapide dans l’attente de la décision de la Cour de justice de l’Union européenne se prononçant sur la validité d’un acte de la Commission européenne permettant un transfert de données international.

4.2. Impacts sur les services judiciaires

L’action de groupe avec mandat devant la Commission nationale de l’informatique et des libertés est de nature à diminuer le nombre de décisions de la Commission nationale de l’informatique et des libertés, puisque plusieurs personnes concernées par un traitement feront l’objet d’une seule décision. Par conséquent, le nombre de recours contentieux devrait être diminué, puisqu’une seule décision de la Commission nationale de l’informatique et des libertés et non plus des dizaines, voire des centaines sur le même traitement fera l’objet d’un seul et même recours devant le juge. L’impact sur les services judiciaires devrait donc être une diminution du nombre de contentieux. A ce stade, en l’absence d’action de groupe en matière de protection des données, il n’est pas possible d’évaluer l’impact de la création de cette action par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle.

La création de la voie de recours prévue par l’arrêté Schrems précité qui concerne les transferts de données internationaux devrait concerner un contentieux exceptionnel. En effet, à ce jour, la Cour de justice de l’Union européenne n’a eu à se prononcer sur la validité d’une décision d’adéquation suite à un renvoi par une juridiction nationale dans le cadre d’une demande d’une autorité de contrôle qu’une seule fois, en l’occurrence dans le cadre de l’arrêt Schrems. L’impact sur les services judiciaires devrait donc être minime puisque exceptionnel.

4.3 Impacts sur les particuliers

Ces mesures créant de nouvelles voies de recours permettront de faire respecter les droits et obligations issus du règlement (UE) 2016/679 et de la loi n°78-17 relative à l’informatique et aux libertés.

4.4 Impact sur les entreprises

Les dispositions, en renforçant les voies de recours offertes aux personnes concernées, augmentent en contrepartie le risque contentieux pour les entreprises responsables de traitement ou leurs sous-traitants.

En revanche, ainsi qu’il a été dit précédemment, le projet de loi n’a pas prévu de faire usage de la marge de manœuvre prévue à l’article 80.1 du règlement en étendant l’action du groupe dans le cadre du droit à un recours juridictionnel contre un responsable de traitement ou un sous-traitant au droit à réparation prévu à l’article 82 du même règlement.

5. Consultations

La Commission de l’informatique et des libertés a été consultée sur ces articles.

Le Conseil supérieur des tribunaux administratifs et des cours administratives d’appel a été saisi en application de l’article L. 232-3 du code de justice administrative, dès lors que la nouvelle voie de recours prévue par l’arrêté Schrems, en confiant la compétence au Conseil d’Etat pour connaître de ce recours, déroge à la compétence de premier ressort des tribunaux administratifs. Il a émis un avis favorable lors de sa séance du 7 novembre 2017.

La commission supérieure du Conseil d’Etat a également été saisie sur cette même disposition, en application de l’article L. 312-2 du code de justice, dès lors que la nouvelle voie de recours confie au Conseil d’Etat un nouveau type de contentieux. Elle a émis un avis favorable le 1er décembre 2017.

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE A LA PROTECTION DES PERSONNES PHYSIQUES A L'EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL PAR LES AUTORITES COMPETENTES A DES FINS DE PREVENTION ET DE DETECTION DES INFRACTIONS PENALES, D'ENQUETES ET DE POURSUITES EN LA MATIERE OU D'EXECUTION DE SANCTIONS PENALES, ET A LA LIBRE CIRCULATION DE CES DONNEES

ARTICLES 18 ET 19

PRESENTATION GENERALE ET DÉFINITIONS

La transposition de la directive (UE) 2016/680 appelle les observations générales suivantes, qui seront complétées par des analyses spécifiques aux quatre sections du nouveau chapitre XIII introduit dans la loi de 1978, et qui sont relatives aux dispositions générales (section 1), aux obligations incombant aux autorités compétentes et aux responsables de traitements (section 2), aux droits des personnes concernées (section 3) et aux transferts de données à caractère personnel vers des Etats n'appartenant pas à l’Union européenne ou vers des destinataires établis dans des Etats non membres de l’Union (section 4).

La présente partie de l’étude d’impact comporte ainsi des observations de nature générale sur la directive, tout en traitant plus particulièrement de la question des définitions et de la technique législative retenue pour procéder à la transposition.

1. Etat des lieux et diagnostic

1.1. genese de la directive

1.1.1. historique de l’elaboration de la directive

En 1995, l’Union européenne s’est dotée pour la première fois, avec la directive 95/46, d’un cadre juridique destiné à assurer d’une part, la protection des données personnelles des personnes résidant sur son territoire et, d’autre part, la libre circulation de ces données. Le champ d’application de la directive 95/46 était alors circonscrit au domaine communautaire et ne concernait pas le pilier interétatique relatif à la justice et aux affaires intérieures (JAI). Elle a par la suite été complétée par plusieurs instruments ayant pour objet d’assurer la protection de catégories de données particulières, ou d’assurer la protection des données personnelles dans le cadre de traitements de données spécifiques.

Dans le cadre du pilier JAI, la nécessité de disposer de règles relatives aux traitements à des fins de prévention, de détection, d’enquêtes, de poursuites ou d’exécutions des sanctions en matière pénale (fichiers de souveraineté) s’est imposée à la suite des attentats londoniens en 2005. Les État membres ont donc adopté la décision-cadre 2008/977, dont le champ était toutefois limité aux échanges entre États membres ou État membres et États tiers à l’Union tandis que les traitements de fichiers nationaux restaient soumis aux seules législations des États membres.

Le 25 janvier 2012, après avoir hésité à présenter un texte unique, révisant à la fois la directive 95/46 et la décision-cadre 2008/977, et probablement compte tenu des difficultés juridiques et politiques liées notamment à l’existence des protocoles du Royaume-Uni, de l’Irlande et du Danemark, la Commission a présenté deux projets distincts relatifs à la protection des données : d’une part, une proposition de règlement révisant la directive 95/46 et concernant principalement les fichiers civils et commerciaux et, d’autre part, un projet de directive, révisant la décision-cadre 2008/977 concernant les fichiers de souveraineté et incluant les traitements nationaux de fichiers des États membres.

1.1.2. négociations

Le Conseil européen d’octobre 2013 a demandé que les travaux sur le paquet protection des données puissent s’achever avant la fin de l’année 2015. Afin de respecter cette échéance, les présidences grecque, italienne, et lettone ont fait de ces textes une priorité, ce qui a permis d’aboutir à l’adoption d’une orientation générale sur l’ensemble du texte de la proposition de règlement au Conseil JAI du 15 juin 2015.

Le trilogue avec le Parlement européen, qui a pour sa part débuté ? son mandat en mars 2014, a démarré dès la fin de la Présidence lettone, le 24 juin 2015, et s’est poursuivie sous la Présidence luxembourgeoise, tout au long du second semestre 2015, avec pour objectif de clore le trilogue avant la fin de l’année 2015.

Les discussions sur la proposition de directive étaient nettement moins avancées puisqu’aucune disposition n’avait encore fait l’objet d’un accord politique, les présidences successives ayant largement privilégié les discussions sur la proposition de règlement. Une seule réunion de travail avait ainsi été organisée sous présidence lettone.

1.1.2.1.position française lors des negociations

La France souhaitait que les travaux sur la directive aboutissent au même titre que ceux sur le règlement, tout en considérant que la réforme de la directive 95/46 et celle de la décision-cadre 2008/977 devaient rester deux exercices distincts, les enjeux en matière de fichiers de souveraineté étant très différents de ceux en matière de données à usage civil ou commercial. La France s’est montrée à cet égard attentive à la question de la délimitation des champs d’application respectifs du règlement et de la directive, les règles applicables aux traitements de données personnelles étant différentes selon l’instrument dont ils relèvent. Ainsi, certains fichiers de police administrative ayant pour objet la prévention des menaces pour la sécurité publique (par exemple le fichier des interdictions de stades) devaient continuer, à l’issue des trilogues, de relever de la directive plutôt que du règlement. En outre, les activités relevant de la sécurité nationale et du renseignement devaient rester exclues des champs du règlement et de la directive et demeurer de la compétence exclusive des États membres.

En ce qui concerne la directive relative aux fichiers de souveraineté, la France a toujours milité en faveur d’un haut niveau de protection des données, tout en attachant la plus grande importance à ce que les données relatives à la coopération judiciaire pénale et policière et, plus généralement, celles contenues dans les fichiers dits de souveraineté, fassent l’objet de dispositions particulières, compte tenu d’une part de leur finalité, d’autre part de la nature publique du destinataire final des données transmises.

À cet égard, la France était favorable à la délimitation qui était agréée dans le texte du règlement par renvoi à la directive, et qui était destinée à garantir que la directive s’applique à l’ensemble des activités de police et que les traitements de données dans le domaine de l’asile et de l’immigration, qui relevaient de la directive 95/46, continuent de relever du règlement.

Ainsi, la France a estimé que les dispositions relatives aux droits des personnes concernées, qui étaient calquées sur les dispositions correspondantes de la proposition de règlement, n’étaient pas tout à fait adaptées aux domaines spécifiques des activités policières et judiciaires et ne permettraient donc pas à ces autorités de mener leurs activités efficacement.

Les dispositions qui ont soulevé le plus de difficultés pour la France furent celles relatives aux transferts de données à des pays tiers. En particulier, la France était vigilante à ce que les États membres n’aient pas, comme proposé dans le texte initial, à renégocier tous leurs accords bilatéraux existants, après l’entrée en vigueur de la directive.

1.1.2.2. position des autres états membres lors des negociations

De nombreuses délégations ont marqué une opposition ferme à l’inclusion dans son champ d’application des traitements de données purement internes, alors que la décision-cadre 2008/977 ne s’appliquait qu’aux traitements de données transnationaux. Certaines de ces délégations, dont l’Allemagne, ont un temps fait valoir l’absence de base juridique permettant une telle harmonisation.

L’unanimité des délégations s’était également opposée aux dispositions de ce texte relatives aux échanges de données avec des pays tiers, considérées comme trop restrictives car transposant à la matière pénale des règles prévues en matière civile et commerciale.

De même, l’obligation de renégocier tous les accords internationaux et bilatéraux qui n’étaient pas en conformité avec la nouvelle directive était jugée irréaliste et inopportune.

Concernant le champ d’application de cet instrument, lors des dernières discussions techniques sur cette question, un consensus s’est dégagé en faveur d’une rédaction qui permettait d’inclure les traitements de données à des fins de protection des menaces pour la sécurité publique et de prévention de telles menaces dans le champ d’application, ce qui permettait de soumettre les fichiers mixtes des États membres aux mêmes règles de protection des données, tout en maintenant les traitements de données en matière d’asile et d’immigration dans le champ du règlement.

1.2. contenu de la directive

Ce contenu est plus précisément détaillé dans les analyses consacrées aux 4 sections du nouveau chapitre XIII inséré dans la loi de 1978.

Toutefois, il convient ici d’observer que la directive, afin d'assurer le même niveau de protection pour les personnes physiques à l'aide de droits opposables dans l'ensemble de l'Union et d'éviter que des divergences n'entravent les échanges de données à caractère personnel, précise dans son article 3 la définition de certains termes, à savoir celle :

- des «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable alors dénommée « personne concernée », autrement dit qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

- du «traitement» comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

- de la «limitation du traitement» comme le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur;

- du «profilage» comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne;

- de la «pseudonymisation» comme le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, conservées séparément et garantissant que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

- du «fichier» comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés;

- d’ « autorité compétente», définie comme :

* toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou

* tout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

- du «responsable du traitement» comme étant l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel;

- du «sous-traitant» comme étant la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

- du «destinataire» comme étant la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers, à l’exception néanmoins des autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit d'un État membre ;

- de la «violation de données à caractère personnel» comme étant une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

- des «données génétiques» comme les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

- des «données biométriques» comme les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

- des «données concernant la santé» comme les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;

- de l’«autorité de contrôle» comme étant une autorité publique indépendante qui est instituée par un État membre;

- de l’«organisation internationale» comme étant une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.

Des définitions exactement similaires figurent également dans l’article 4 du règlement (UE) 2016/679 (la directive comportant toutefois des définitions qui lui sont propres comme sur les autorités compétentes, et le règlement comportant un nombre plus important de définitions).

1.3. conformité au droit national

Seule est examinée ici la question des définitions.

L’article 2 de la loi informatique et libertés précise les définitions des notions de donnée à caractère personnel, de traitement et de fichier.

Ainsi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Il est par ailleurs précisé que pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne, et que la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Les articles 3 I et 35 de loi informatique et libertés précisent également les définitions de responsable du traitement, de sous-traitant et de destinataire.

L’article 3 I définit le responsable d'un traitement de données à caractère personnel comme étant, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.

Son II définit le destinataire d'un traitement de données à caractère personnel comme toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

L’article 35 prévoit que toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant.

L’article 34 bis précise que la violation de données à caractère personnel s’entend, dans le cadre de l’application du présent article, de toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.

Enfin, l’article 11 de la loi prévoit, conformément aux exigences européennes d’indépendance de l’autorité de contrôle, que la Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.

Le droit national est donc conforme sur les définitions des données à caractère personnel, du traitement, du fichier, du responsable du traitement, du sous-traitant, du destinataire et de l’autorité de contrôle.

Les quelques variantes, telles que les termes de structuration ou de limitation du traitement, restent en effet de pure forme et sans conséquence sur le fond.

En revanche, la notion française de violation de données à caractère personnel, uniquement applicable aux données personnelles faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques, n’apparaît pas suffisante au regard des exigences européennes.

De même, les notions nouvelles de la directive relatives à la limitation du traitement, au profilage, à la pseudonymisation, aux données génétiques, biométriques et de santé, et à l’organisation internationale devront faire l’objet d’une transposition.

2. objectifs et nécessité de légiférer

2.1. objectifs poursuivis

Afin de mettre notre droit en conformité avec les notions nouvelles définies par l’article 3 de la directive (notions de limitation du traitement, de profilage, de pseudonymisation, de violation de données à caractère personnel, des données génétiques, biométriques et de santé et d’organisation internationale) , le dernier alinéa du nouvel article 70-1 crée par le présent projet de loi prévoit que les définitions identiques de ces notions prévues par l’article 4 du règlement (UE) 2016/679 sont alors applicables. .

La définition d’autorité compétente est, quant à elle, reproduite dans le 2° de l’article 70-1, d’une part parce qu’elle est propre à la directive, d’autre part parce qu’elle participe de la délimitation du champ d’application de cet instrument.

S’agissant des règles de fond, elles sont insérées dans un nouveau chapitre XIII de la loi de 1978, créé par l’article 19 du présent projet de loi.

2.2 nécessite de légiférer

L’objectif du projet de loi tendant à mettre notre droit national en conformité avec les exigences énoncées par la directive, impose à la fois d’adapter les règles de fond concernant les traitements entrant dans son champ d’application.

3. options

3.1. MODALITES GENERALES DE TRANSPOSITION DE LA DIRECTIVE DANS L’ARCHITECTURE DE LA LOI INFORMATIQUE ET LIBERTES

3.1.1. Option 1 (écartée sauf exception) : Intégrer les règles relatives aux traitements pénaux au fur et à mesure des articles de la loi de 78

Il aurait pu être envisagé, à l’instar de ce qui est fait pour la mise en conformité de la loi de 1978 avec le règlement UE, de « répartir » le contenu des dispositions spécifiques aux traitement pénaux en les « égrenant » tout au long de la loi de 1978, en complétant tel ou tel article de cette loi par des alinéas supplémentaires (mais sans pouvoir procéder par remplacement des dispositions actuelles, car elles devaient continuer de s’appliquer aux traitements qui sont hors du champ du droit de l’Union) ou en insérant après tel ou tel article un nouvel article dérogatoire par rapport au précédent.

Cela aurait imposé, pour chacun de ces ajouts, de préciser qu’il ne s’applique qu’aux traitements pénaux tels que définis par un nouvel article X reprenant les définitions de la directive (ce que fait l’article 70-1 dans la version actuelle du projet de loi).

Une telle solution aurait été particulièrement complexe et la compréhension du droit applicable n’en aurait nullement été améliorée pour les justiciables.

Par ailleurs, d’un point de vue légistique, la dimension des dispositions du projet de loi aurait plus que doublée, puisque pour chacune des dispositions, il aurait dû être non seulement indiqué qu’elle ne concernait que les traitements pénaux, mais également précisé de quelle façon celle-ci était intégrée au sein de la loi de 1978.

Pour toutes ces raisons, cette solution n’a pas été retenue dans son principe.

Toutefois, s’agissant de certaines dispositions par nature communes au règlement et à la directive, les dispositions transposant des articles de la directive ont été insérées dans des articles généraux de la loi de 1978.

Ainsi, l’article 11 de la loi de 1978 qui traite des missions de la CNIL est modifié par l’article 1er du projet de loi pour prévoir dans le i) du II qu’elle peut établir une liste des traitements susceptible de créer un risque devant faire l’objet d’une consultation préalable conformément à l’article 70-4 (ce qui est une conséquence de l’article 28 de la directive).

De même, l’article 44 de la loi de 1978 qui traite des pouvoirs de la CNIL est modifié par l’article 4 du présent projet pour indiquer que dans l’exercice de son pouvoir de contrôle portant non seulement sur les traitements relevant du règlement (UE) 2016/679 mais également sur ceux relevant de la présente loi, et donc relevant de la directive, la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions (conformément à l’article 45 de la directive).

De même encore, le nouvel article 43 quater créé par l’article 16 du projet prévoit que la personne concernée peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer ses droits en son nom pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable du traitement ou le sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII (conformément à l’article 55 de la directive).

Enfin, l’article 43 quinquies, inséré par l’article 17 et qui tire les conséquences de l’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015, étend les recours à la contestation des décisions d’adéquation prises sur le fondement de la directive afin de permettre la saisine du Conseil d’Etat d’une question préjudicielle à la Cour de justice de l’Union européenne permettant d’apprécier la validité d’une décision d’adéquation prise sur le fondement de la directive.

3.1.2. Option 2 (retenue). Insérer dans la loi de 1978 un chapitre spécifique aux traitements pénaux

La transposition de la directive dans la loi de 1978 ne pouvait raisonnablement pas se faire d’une autre façon que celle retenue par le projet, qui, tout en modifiant ou complétant certains articles de la loi, consiste pour l’essentiel à regrouper les règles spécifiques aux traitements pénaux relevant de la directive dans un chapitre dédié comportant une vingtaine d’articles.

Cette solution est non seulement plus simple et plus lisible, mais elle anticipe la « recodification » globale de la loi de 1978 à laquelle il sera procédé par ordonnance, et qui est indispensable afin d’assurer la meilleure lisibilité possible du droit des traitements (avec un plan comportant nécessairement, et dans cet ordre, au moins les quatre parties suivantes : Dispositions communes ; dispositions concernant les traitements relevant du règlement ; dispositions concernant les traitements relevant de la directive ; dispositions concernant les traitement ne relevant pas du droit de l’Union – ces intitulés n’étant pas nécessairement ceux qui seront retenus pour ces parties mais indiquant ce que sera leur contenu).

3.2. MODALITES GENERALES DE TRANSPOSITION DE LA DIRECTIVE PAR RAPPORT AU REGLEMENT (UE) 2016/679

3.2.1. Option 1 (écartée) : ne pas opérer de renvoi au règlement UE (écartée)

Bien que le règlement (UE) 2016/679, aux termes de son article 2, ne s’applique pas aux traitements de données à caractère personnel relevant du champ de la directive (UE) 2016/680, certains articles de la directive contiennent des dispositions strictement ou quasiment identiques à celles du règlement.

Si la Cour de justice de l’Union européenne censure le simple renvoi général au droit de l’Union européenne en guise de transposition114, le Gouvernement estimeque des renvois précis à certaines dispositions du règlement peuvent valablement transposer des dispositions de la directive.

L’option de ne pas opérer de renvoi au règlement UE a donc été écartée.

.

3.2.2. Option 2 (retenue) : opérer certains renvois au règlement UE L’option d’opérer des renvois précis aux dispositions strictement identiques de la directive et du règlement a été retenue.

Cette option permet d’éviter des redondances, qui auraient pu à tort laisser penser que les dispositions dérogatoires du nouveau chapitre XIII de la loi informatique et libertés étaient différentes de celles du règlement.

Ainsi, le nouveau chapitre XIII qui transpose la directive renvoie à certaines dispositions du règlement pour les définitions des termes employés, les règles relatives au sous-traitant, les obligations imposées au responsable du traitement et au sous-traitant d’assurer la sécurité des données personnelles, de coopérer avec la Commission nationale de l’informatique et des libertés et de notifier à la commission et à la personne concernée des violations de données personnelles.

4. analyse des impacts des dispositions envisagées

L’impact juridique de la réforme consiste dans l’insertion dans la loi de 1978 d’un chapitre XIII (qui conduit à décaler l’actuel chapitre XIII), et dans la modification des actuels articles 32, 41 et 42 de la loi.

5. consultation et modalités d’application

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Ces dispositions seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance

ARTICLE 19 SECTION 1

DISPOSITIONS GENERALES

1. Etat des lieux

1.1 Conformité du droit français à la directive sur les droits des personnes concernées par les données personnelles

1.1.1 Texte de la directive

1.1.1.1 Champ d’application de la directive

La directive 2016/680 remplace la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

Contrairement à l’instrument précité, son champ d’application n’est pas limité aux échanges de données à caractère personnel dans le cadre de la coopération en matière pénale, mais s’étend à tous les traitements de telles données y compris ceux ne présentant aucun caractère transfrontalier.

La directive s’applique, aux termes de ses article 1 et 2, aux traitements de données à caractères personnel par les autorités compétentes des Etats membres aux fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Elle ne s’applique en revanche pas, comme le précise son article 2, aux traitements mis en œuvre dans le cadre d’une activité qui se situe hors du champ du droit de l’Union européenne (activités des services de renseignement notamment). La directive ne s’applique pas non plus au traitement de données effectué par les institutions européennes, qui sont soumises au règlement 45/2001.

L’autorité compétente au sens de l’article 3 de la directive correspond à :

- toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

- ou à tout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

L’articulation entre la directive et le règlement (UE) 2016/679 s’opère conformément aux considérants 11 et 12 de la directive.

Aux termes du considérant 11, « les autorités compétentes peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d'autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique aux fins de la présente directive ». « Lorsqu'un tel organisme ou une telle entité traite des données à caractère personnel à des fins autres que celles prévues dans la présente directive, le règlement (UE) 2016/679 s'applique. Par conséquent, le règlement (UE) 2016/679 s'applique lorsqu'un organisme ou une entité recueille des données à caractère personnel à d'autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. Par exemple, les établissements financiers conservent, à des fins de détection ou de poursuites d'infractions pénales ou d'enquêtes en la matière, certaines données à caractère personnel qu'ils traitent et qu'ils ne transmettent aux autorités nationales compétentes que dans des cas spécifiques et conformément au droit des États membres ».

« Un organisme ou une entité qui traite des données à caractère personnel pour le compte de ces autorités dans le cadre du champ d'application de la présente directive devrait être lié par un contrat ou un autre acte juridique et par les dispositions applicables aux sous-traitants en vertu de la présente directive, le règlement (UE) 2016/679 continuant de s'appliquer aux traitements de données à caractère personnel par le sous-traitant en dehors du champ d'application de la présente directive ».

Le considérant 12 indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d'autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non». Il précise que « ces activités peuvent également comprendre l'exercice de l'autorité par l'adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d'émeutes», et que « parmi ces activités figure également le maintien de l'ordre public lorsque cette mission est confiée à la police ou à d'autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu'ils relèvent du droit de l'Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d'autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Le champ d’application de la directive est donc déterminé par deux conditions cumulatives :

- l’une porte sur l’autorité chargée de traiter les données à caractère personnel, qui doit être une autorité compétente au sens de l’article 3 de la directive ;

- l’autre sur les finalités du traitement, qui doit être effectué aux fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

A défaut de l’une des deux conditions et pour autant que le traitement relève du droit de l’Union, le règlement (UE) 2016/679 s’applique.

L’article 2 du règlement confirme que cet instrument ne s'applique pas au traitement de données à caractère personnel effectué « d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces », terminologie qui correspond très exactement au champ d’application de la directive.

Le considérant 19 du règlement précise cette exclusion en indiquant que « La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (1). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement ».

Ce paragraphe indique clairement que les traitements pénaux réalisés par les autorités publiques relèvent de la seule directive, et que si ces autorités publiques mettent en œuvre des traitements à d’autres fins que pénales (mais qui relèvent du champ de l’Union), ces traitements relèvent du règlement.

1.1.1.2 Licéité du traitement

Aux termes de l’article 8 de la directive, le traitement de données à caractère personnel en matière pénale n'est licite que si et dans la mesure où il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, pour les finalités énoncées à l'article premier de la directive, et où il est fondé sur le droit de l'Union ou le droit d'un État membre.

Par ailleurs, une disposition du droit d'un État membre qui réglemente le traitement relevant du champ d'application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.

1.1.1.3 Principes généraux et conditions spécifiques applicables au traitement

Aux termes de l’article 4§1 de la directive, les données à caractère personnel doivent être :

- traitées de manière licite et loyale ;

- collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités ;

- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

- exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;

- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

S’agissant des finalités du traitement, l’article 4§2 et §3 ainsi que l’article 9 de la directive précisent les règles applicables aux traitements initialement collectés pour l’une des finalités de la directive et ultérieurement effectués à d’autres fins.

L’article 4§2 de la directive prévoit ainsi que le traitement de données à caractère personnel pour une finalité relevant du champ d’application de la directive, autre que celles pour lesquelles les données ont été collectées, est autorisé à la double condition que conformément au droit de l'Union ou au droit national, le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité, et que le traitement soit nécessaire et proportionné à cette autre finalité.

L’article 4§3 précise que ce traitement des données peut comprendre l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques aux fins énoncées à l'article premier, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

L’article 9 de la directive prévoit par principe que les données initialement collectées par les autorités compétentes pour une finalité relevant du champ d’application de la directive ne peuvent pas être traitées à d’autres fins, sauf exception prévue par le droit national ou le droit de l’Union.

L’article 9 précise que dans ce cas, autrement dit lorsque le traitement est effectué à d’autres fins que celles de la directive, y compris à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, le règlement (UE) 2016/679 s’applique, et ce même si l’autorité chargée du traitement est effectivement une autorité compétente au sens de la directive.

S’agissant des conditions spécifiques applicables au traitement, le paragraphe 3 de l’article 9 ajoute que, lorsque le droit de l'Union ou le droit d'un État membre applicable à l'autorité compétente qui transmet les données soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données doit informer le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.

Les conditions spécifiques sont précisées au considérant 36 de la directive, aux termes duquel « Ces conditions pourraient, par exemple, comprendre une interdiction de transmission ultérieure des données à caractère personnel à autrui, une interdiction d'utilisation desdites données à des fins autres que celles pour lesquelles elles ont été transmises au destinataire, ou une interdiction d'informer la personne concernée lorsque le droit à l'information est limité en l'absence d'autorisation préalable de l'autorité compétente qui transmet les données ».

Selon la directive, cette obligation doit également « s'appliquer aux transferts de données par l'autorité compétente qui transmet les données à des destinataires dans des pays tiers ou des organisations internationales ». Ainsi, le paragraphe 4 de l’article 9 prévoit que  « l'autorité compétente qui transmet les données n'applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu du titre V, chapitres 4 et 5, du traité sur le fonctionnement de l'Union européenne des conditions différentes de celles applicables aux transferts de données similaires à l'intérieur de l'État membre dont relève ladite autorité compétente ».

Enfin, afin « d’appliquer le principe d’exactitude des données » visé au considérant 30, l’article 7 de la directive prévoit que les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

1.1.1.4 Règles particulières à certains traitements ou catégories de données

Les articles 10 et 11 de la directive fixent des règles particulières à certains traitements ou catégories de données.

L’article 10 traite des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le traitement de telles données peut ainsi être autorisé en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement:

- lorsqu'il est autorisé par le droit de l'Union ou le droit d'un État membre ;pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique; ou

- lorsqu’il porte sur des données manifestement rendues publiques par la personne concernée.

L’article 11 prévoit que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est interdite, à moins qu'elle ne soit autorisée par le droit de l'Union ou le droit national auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement.

Ces décisions ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l'article 10, à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ne soient en place.

Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 10 est interdit, conformément au droit de l'Union.

1.1.1.5 Règles applicables au traitement réalisé par un sous-traitant

En vertu des articles 22 et 23 de la directive, le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite que sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit national.

De manière générale, l’article 22 prévoit que le sous-traitant n'agit que sur instruction du responsable du traitement. Ainsi, si, en violation de la directive, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Aux termes de cet article, le sous-traitant doit notamment :

- veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

- selon le choix du responsable du traitement, supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement au terme de la prestation des services de traitement des données, et détruire les copies existantes, à moins que le droit de l’Union ou le droit national n’exige la conservation des données à caractère personnel.

Par ailleurs, le sous-traitant ne doit pas recruter un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

1.1.1.6 Effectuer une analyse d’impact relative à la protection des données

Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, l’article 27 de la directive impose que le responsable du traitement effectue préalablement au traitement une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Cette analyse contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la directive, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

L’article 28 de la directive prévoit, dans son premier paragraphe, que le responsable du traitement ou le sous-traitant consulte l'autorité de contrôle préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer, soit lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; soit lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

Ce même article 28 impose, dans son paragraphe 4,que le responsable du traitement fournisse à l'autorité de contrôle l'analyse d'impact réalisée.

1.1.2 Conformité du droit national

1.1.2.1 Règles relatives au champ d’application de la directive et à la licéité du traitement

Les règles relatives au champ d’application de la directive et à la licéité du traitement, qui sont étroitement liées, devront faire l’objet d’une transposition.

1.1.2.2. Principes généraux et conditions spécifiques applicables au traitement

L’article 6 de loi informatique et libertés prévoit déjà qu’un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1° Les données sont collectées et traitées de manière loyale et licite ;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'au chapitre IX et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Par ailleurs, l’article 30 9° de loi impose que les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés lors de la création d’un traitement précisent les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant.

Enfin, en vertu de l’article 34 de la loi, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le droit français est donc conforme aux exigences fixées par l’article 4§1 de la directive.

En revanche, les dispositions des articles 4§2 et §3 et 9 de la directive relatives aux traitements ultérieurs et aux conditions spécifiques applicables au traitement devront être transposées.

De même, n’ayant pas d’équivalent dans notre législation actuelle, la distinction, exigée par l’article 7 de la directive, entre les données à caractère personnel fondées sur des faits et sur des appréciations personnelles devra faire l’objet d’une transposition.

S’agissant des règles particulières à certains traitements ou catégories de données, l’article 8 I de loi informatique et libertés prévoit l’interdiction de principe de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sauf exception. Ne sont pas soumis à cette interdiction certains traitements mentionnés au IV, notamment ceux qui sont justifiés par l’intérêt public et autorisés dans les conditions prévues au II de l’article 26, autrement dit les fichiers intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté portant sur des données mentionnés au I de l’article 8.

Les règles nationales applicables aux traitements relevant du champ d’application de la directive ne sont donc pas conformes aux exigences de l’article 10 de la directive, qui devra être transposé.

S’agissant par ailleurs des décisions individuelles automatisées, l’article 10 de la loi précise qu’aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Il ajoute qu’aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

Il prévoit enfin que ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

Devra donc être transposé le dernier alinéa de l’article 11 de la directive relatif au profilage, qui n’a pas d’équivalent dans la LIL.

1.1.2.3 Règles applicables au traitement réalisé par un sous-traitant

Aux termes de l’article 35 de la loi informatique et libertés, les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Le droit national est donc partiellement conforme aux exigences fixées par les articles 22 et 23 de la directive. Devront notamment être transposés le fait que le sous-traitant doit être considéré comme un responsable du traitement s’il détermine, en violation de la directive, les finalités et les moyens du traitement ; les règles de recours à un autre sous-traitant et certaines obligations mise à la charge du sous-traitant.

1.1.2.4 Effectuer une analyse d’impact relative à la protection des données

N’ayant pas d’équivalent dans la loi informatique et libertés, l’exigence européenne d’effectuer dans certains cas une analyse d’impact relative à la protection des données devra faire l’objet d’une transposition.

1.2. Cadre constitutionnel

En matière de traitement de données, le Conseil constitutionnel est passé d’un contrôle limité à l’absence de disproportion manifeste à un contrôle de proportionnalité plus poussé.

Le Conseil constitutionnel a d’abord admis que les dispositions portant sur les traitements automatisés de données nominatives mis en œuvre par les services de la police nationale et de la gendarmerie nationale dans le cadre de leurs missions, auxquels s’applique la loi du 6 janvier 1978, prévoient un ensemble de garanties « de nature à assurer, entre le respect de la vie privée et la sauvegarde de l’ordre public, une conciliation qui n’est pas manifestement déséquilibrée». Il a par ailleurs jugé «qu’aucune norme constitutionnelle ne s’oppose par principe à l’utilisation à des fins administratives de données nominatives recueillies dans le cadre d’activités de police judiciaire ; que, toutefois, cette utilisation méconnaîtrait les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées»115.

Dans sa décision n° 2012-652 DC du 22 mars 2012, il a précisé ses exigences en matière de contrôle de fichiers en affirmant que «la liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif»116.

Dans l’exercice de ce contrôle de proportionnalité, le Conseil constitutionnel tient notamment compte du nombre de personnes susceptibles de relever du fichier informatique en cause, de la sensibilité particulière des données personnelles recueillies, des garanties techniques ou juridiques prévues par le législateur et des finalités d’utilisation ou de consultation du fichier.

1.3. Cadre conventionnel

L’article 8 paragraphe 2 de la Charte des droits fondamentaux de l’Union européenne prévoit que toute personne a le droit à la protection des données à caractère personnel la concernant, et que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi.

Dans la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, l’article 5 prévoit que « les données à caractère personnel faisant l'objet d'un traitement automatisé sont:

a) obtenues et traitées loyalement et licitement;

b) enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités;

c) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées;

d) exactes et si nécessaire mises à jour;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées ».

Son article 6 précise que « les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales. »

La Cour européenne des droits de l’homme attache une importance particulière à la protection des données à caractère personnel, qui joue selon elle un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention117. Ainsi juge-t-elle que le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8.

Selon la Cour, «le droit interne doit notamment assurer que ces données sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. Le droit interne doit aussi contenir des garanties aptes à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs, tout en offrant une possibilité concrète de présenter une requête en effacement des données mémorisées118».

L’appréciation du caractère proportionné de la durée de conservation des données au regard du but poursuivi doit être faite en tenant compte de l’existence d’un contrôle indépendant de la justification de leur maintien dans le fichier, fondé sur des critères précis tels que la gravité de l’infraction, les arrestations antérieures, la force des soupçons pesant sur la personne, ou toute autre circonstance particulière119.

2. Objectifs poursuivis et necessite de legiferer

2.1 Objectifs poursuivis

2.1.1. Définir le champ d’application de la directive

L’article 19 insère, dans un chapitre unique, l’ensemble des règles applicables au traitement de données à caractère personnel en matière pénale prévues par la directive.

Ces règles fixées par les nouveaux articles 70-1 à 70-27 s’appliquent par dérogation aux autres dispositions de la loi actuelle.

Afin de délimiter le champ d’application de la directive, il est créé un nouvel article 70-1, qui prévoit ainsi que les dispositions du présent chapitre s’appliquent, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements des données à caractère personnel mis en œuvre :

1° A des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2° Par toute autorité publique compétente pour l’une des finalités énoncées au 1°, ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommée autorité compétente.

2.1.2. Respecter les exigences européennes liées à la licéité du traitement

Afin de mettre notre droit national en conformité avec l’article 8 de la directive, le troisième paragraphe de l’article 70-1 prévoit que les traitements relevant de la directive ne sont licites que si et dans la mesure où ils sont nécessaires à l'exécution d'une mission effectuée, pour les finalités énoncées au 1°, par une autorité compétente au sens du 2°, et où sont respectées les dispositions des articles 70-3 et 70-4.

L’option de maintenir les formalités préalables à la création d’un tel traitement, prévue par l’article 70-3, a en effet été retenue.

2.1.3 Mettre notre droit en conformité avec les règles particulières applicables aux traitements comportant des données sensibles

Afin de transposer l’article 10 de la directive, il est créé un nouvel article 70-2, qui prévoit que le traitement de données mentionnées au I de l’article 8 est uniquement possible en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et, soit s’il est prévu par un acte législatif ou règlementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée.

Par ailleurs, les formalités préalables à la création d’un traitement portant sur des données mentionnées au I de l’article 8, à savoir un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés, sont maintenus (cf infra).

2.1.4. Mettre notre droit en conformité avec l’exigence nouvelle d’une analyse d’impact relative à la protection des données à caractère personnel

Afin de respecter les articles 27 et 28 de la directive, l’article 70-4 prévoit que si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données sensibles, à savoir celles mentionnées au I de l’article 8, le responsable du traitement effectue une analyse d’impact relative à la protection des données à caractère personnel.

Lorsque le traitement est effectué pour le compte de l’Etat, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue par l’article 30 de la loi informatique et libertés compte tenu du maintien des formalités préalables à la création d’un tel traitement.

Dans les autres cas, lorsque le traitement entre dans le champ de la directive sans être effectué pour le compte de l’Etat, les troisième à cinquième alinéas de l’article 70-4 transposent l’article 28 §1 de la directive. Ils imposent ainsi au responsable du traitement ou au sous-traitant de consulter la Commission nationale de l’informatique et des libertés préalablement au traitement des données à caractère personnel :

- soit lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ;

- soit lorsque le type de traitement, en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

Il a été décidé d’imposer la réalisation de cette étude d’impact lorsque le traitement porte sur des données mentionnées au I de l’article 8, le traitement de ces données sensibles présentant des risques élevés pour les libertés et les droits des personnes concernées.

Parmi les traitements entrant dans le champ de la directive mais non mis en œuvre pour le compte de l’Etat, peuvent être cités les traitements mis en œuvre par la SNCF et par la RATP pour les données à caractère personnel provenant de caméras individuelles fournies aux agents des services de sécurité interne, notamment pour le constat des infractions, qui sont par ailleurs susceptibles de faire apparaître directement ou indirectement des données sensibles au sens de l’article 8120.

2.1.5. Transposer les règles applicables aux traitements ultérieurs

Afin de mettre notre droit en conformité avec les articles 4 et 9 de la directive, sont créés les articles 70-5 à 70-7.

L’article 70-5 reprend strictement l’article 9 de la directive relatif aux conditions spécifiques applicables au traitement, et plus particulièrement aux règles applicables aux traitements ultérieurs à des fins ne relevant plus du champ d’application de la directive.

L’article 70-6 transpose l’article 4§2 et §3 de la directive relatif au traitement ultérieur à des fins demeurant dans le champ d’application de la directive.

L’article 70-7 régit plus spécifiquement la question des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques .

2.1.6. Mettre notre droit en conformité avec l’obligation de distinguer les données à caractère personnel fondées sur des faits de celles fondées sur des appréciations personnelles

Afin de respecter l’article 7§1, il est créé un nouvel article 70-8 qui impose cette distinction entre les données à caractère personnel fondées sur des faits et celles fondées sur des appréciations personnelles.

2.1.7. Mettre notre droit en conformité avec les règles applicables aux décisions individuelles automatisées

Afin de mettre le système juridique français en conformité avec l’article 11 de la directive, l’article 70-9 prévoit, de manière combinée avec l’article 10 de la loi informatique et libertés relatif aux décisions individuelles prises sur le fondement d’un traitement automatisé de données personnelles, que tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 8 est interdit.

2.1.8. Mettre notre droit en conformité avec les règles applicables aux traitements effectués par un sous-traitant

Le nouvel article 70-10 transpose les exigences européennes fixées par les articles 22 et 23 de la directive.

Certaines de ces exigences étant strictement identiques à celles prévues par les paragraphes 1, 2, 9 et 10 de l’article 28 et l’article 29 du règlement (UE) 2016/679, un renvoi à ces dispositions est opéré.

Est en revanche directement transposé le paragraphe 3 de l’article 22 de la directive, compte tenu des différences existantes avec le règlement. L’article 70-10 prévoit ainsi que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement et qui prévoit que le sous-traitant n’agit que sur instruction du responsable de traitement.

2.2 Nécessité de légiférer

Outre les dispositions sur le champ d’application de la directive qui doivent être transposées, l’objectif du projet de loi est de mettre notre droit national en conformité avec les exigences énoncées par la directive, plus particulièrement avec :

- l’obligation nouvelle de réaliser, sous certaines conditions, une analyse d’impact relative à la protection des données,

- les règles relatives aux traitements de données effectués pour d’autres finalités que celles pour lesquelles elles avaient été collectées,

- la distinction entre les données personnelles fondées sur des faits et celles fondées sur des appréciations personnelles,

- les règles particulières relatives aux décisions individuelles automatisées,

- les règles applicables aux traitements effectués par un sous-traitant.

3. Options

3.1. Maintenir ou supprimer les formalités préalables à la création d’un traitement mis en œuvre pour le compte de l’Etat

3.1.1. Option 1 (écartée) : Supprimer les formalités préalables

De nombreux traitements relevant du champ d’application de la directive sont actuellement soumis à des formalités préalables contraignantes lors de leur création.

Ainsi, l’article 26 de la loi Informatique et Libertés du 6 janvier 1978 impose que la création du traitement mis en œuvre pour le compte de l’Etat qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ou qui a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté, soit autorisée par un acte réglementaire, arrêté ou décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Or la directive n’impose pas aux Etats membres la création de telles formalités préalables pour la création d’un traitement de données entrant dans son champ d’application, sauf dans certains cas. Aux termes de l’article 28 de la directive, le responsable du traitement doit en effet uniquement consulter l'autorité de contrôle préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer, soit lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; soit lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

L’option permise par la directive de supprimer les formalités préalables a été écartée.

3.1.2. Option 2 (retenue) : Maintenir les formalités préalables

Les formalités préalables à la création d’un traitement mis en œuvre pour le compte de l’Etat en matière pénale représentent des garanties supplémentaires pour les droits des personnes concernées.

Pour ces raisons et afin d’éviter de remettre en cause un principe mis en œuvre depuis trente-huit ans, l’option retenue a été de les maintenir.

Cette option est en effet permise par l’article premier paragraphe 3 de la directive, qui autorise les Etats membres à prévoir des garanties plus étendues pour la protection des droits et des libertés des personnes concernées à l'égard du traitement des données à caractère personnel par les autorités compétentes, ainsi que par le considérant 15 de la directive qui prévoit notamment que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu'elles offrent mais devrait, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans l'Union. Il convient que les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés des personnes concernées à l'égard du traitement des données à caractère personnel par les autorités compétentes ».

Ainsi, le nouvel article 70-3 prévoit que si le traitement est mis en œuvre pour le compte de l’Etat pour au moins l’une des finalités prévues au 1° de l’article 70-1, il doit être prévu par un acte règlementaire pris conformément au I de l’article 26 et aux articles 28 à 31, soit par arrêté pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Si le traitement porte sur des données sensibles à savoir celles mentionnées au I de l’article 8, il est prévu par un acte règlementaire pris conformément au II de l’article 26, soit par un décret en Conseil d’Etat pris avis motivé et publié de la Commission nationale de l’informatique et des libertés.

3.2. Fixer des délais d’effacement ou de vérification régulière des données

3.2.1. Option 1 (écartée) : Ne pas prévoir de délais de conservation maximums mais imposer la vérification régulière de la nécessité de conserver les données

L’article 4 de la directive prévoit par principe que les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, ce qui correspond à l’article 6 de la loi Informatique et libertés.

L’article 5 de la directive impose plus particulièrement aux Etats membres de prévoir des délais appropriés soit pour l’effacement des données, soit pour la vérification régulière de la nécessité de les conserver.

La directive ouvre donc une option permettant de ne pas prévoir de délai maximal de conservation, mais simplement de fixer des modalités pour le responsable du traitement de vérifier régulièrement s’il est toujours nécessaire de les conserver au regard des finalités du fichier.

Cette option n’a pas été retenue, car il paraît plus simple de toujours prévoir, comme actuellement, une durée maximale de conservation.

Cela n’interdit nullement, spécialement si cette durée maximale est particulièrement longue, de permettre des demandes d’effacement par anticipation, de telles possibilités pouvant du reste correspondre à des exigences conventionnelles et/ou constitutionnelles.

3.2.2. Option 2 (retenue) : Fixer des délais d’effacement des données

Le droit français fixe déjà, dans les textes applicables ou lors de la création du traitement, une durée maximale de conservation des données dans les fichiers.

Lors de la création d’un traitement, la demande d’avis adressée à la Commission nationale de l’informatique et des libertés doit en effet préciser la durée de conservation des informations traitées conformément à l’article 30 I. 5° de la loi Informatique et libertés.

Dans notre législation, et à titre d’illustration, les données ne peuvent être conservées dans le traitement des antécédents judiciaires (TAJ), destiné à faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs, que pour une durée variant de 5 à 20 ans selon la gravité de l’infraction commise et l’âge de l’auteur aux termes de l’article R. 40-27 du code de procédure pénale.

De même, les données figurant au fichier national automatisé des empreintes génétiques (FNAEG), destiné à faciliter l’identification et la recherche des auteurs d’infraction, ne peuvent pas être conservées au-delà de 25 ans ou de 40 ans aux termes de l’article R. 53-14 du code de procédure pénale.

Les données inscrites au fichier automatisé des empreintes digitales (FAED), destiné à faciliter la recherche et l’identification des auteurs de crimes et de délits et de faciliter la poursuite, l’instruction et le jugement des affaires dont l’autorité judiciaire est saisie, ne peuvent pas être conservées au-delà de 10 à 25 ans aux termes de l’article 5 du décret n°87-249 du 8 avril 1987.

L’option plus protectrice pour les droits et libertés de délais butoirs de conservation des données a donc été retenue.

4. analyse des impacts de la disposition envisagée

La présente disposition conduit à insérer dans la loi de 1978 dix nouveaux articles (articles 70-1 à 70-10).

DISPOSITIONS DU PROJET DE LOI

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Article 19 PJL

Article 70-1 LIL

Transposition des articles 1 et 2 (champ d’application), 3 (définitions) et 8 (licéité)

Article 70-2

Article 10

Article 70-3

Option permise par l’article 1§3 et le considérant 15 de la directive

Article 70-4

Articles 27 et 28

Article 70-5

Article 9

Articles 70-6 et 70-7

Article 4§2 et §3

Article 70-8

Article 7§1

Article 70-9

Article 11

Article 70-10

Transposition combinée des articles 22 et 23.

5. CONSULTATION ET MODALITÉS D’APPLICATION

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précisera que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous-traitant à l'égard du responsable du traitement et qui définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement, et qui prévoit que le sous-traitant n’agit que sur instruction du responsable de traitement.

Les présentes dispositions du projet de loi seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance.

ARTICLE 19 SECTION 2

OBLIGATIONS INCOMBANT AUX AUTORITES COMPETENTES ET AUX RESPONSABLES DE TRAITEMENT

1. Etat des lieux et diagnostic

1.1. Etat des lieux

1.1.1 Conformité du droit français à la directive sur les droits des personnes concernées par les données personnelles

1.1.1.1 Texte de la directive

La directive fixe des obligations aux autorités compétentes ainsi qu’aux responsables de traitement et aux sous-traitants.

1.1.1.1.1. Mettre à jour les données

Aux termes de son article 7 paragraphe 2, la directive impose aux autorités compétentes de prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition.

À cette fin, chaque autorité compétente doit vérifier, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

Lors de toute transmission de données à caractère personnel, doivent ainsi être ajoutées, dans la mesure du possible, des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.

Le considérant 32 de la directive précise le champ d’application de cette obligation en ces termes : « afin de garantir la protection des personnes physiques, l'exactitude, et la fiabilité des données à caractère personnel transmises ou mises à disposition ainsi que leur exhaustivité ou leur niveau de mise à jour, les autorités compétentes devraient, dans la mesure du possible, ajouter les informations nécessaires dans tous les transferts de données à caractère personnel ».

Aux termes de l’article 7 paragraphe 3, s'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité

1.1.1.1.2. Opérer une distinction selon les catégories de personnes concernées

En vertu de son article 6, la directive impose au responsable du traitement d’établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées telles que :

- les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ;

- les personnes reconnues coupables d'une infraction pénale ;

- les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ;

- les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux deux premiers points.

1.1.1.1.3 Respecter des règles destinées à assurer la sécurité des données

1° Prendre des mesures techniques et organisationnelles appropriées

Aux termes de son considérant 53, la directive rappelle que la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées, qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut.

Ainsi, les articles 19 et 20 prévoient, à titre d’obligations générales, que le responsable du traitement doit, compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, mettre en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation : 

- pour s'assurer et être en mesure de démontrer que le traitement est conforme aux exigences de la directive et à la protection des droits des personnes concernées,

- pour garantir que par défaut, seules les données personnelles nécessaires au regard de chaque finalité spécifique du traitement sont traitées, et que les données ne soient pas rendues accessibles à un nombre indéterminé de personnes sans l’intervention de la personne concernée.

Ces dispositions sont également applicables au sous-traitant.

L’article 22 prévoit en effet que le sous-traitant auquel le responsable du traitement fait appel doit présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement soit conforme aux exigences de la directive et à la protection des droits des personnes concernées.

Le considérant 53 de la directive précise par ailleurs que « le sous-traitant devrait tenir compte du principe de protection des données dès la conception et par défaut ».

L’article 29 de la directive impose également au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Aux termes de son considérant 60, « il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. […] Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient d'apprécier les risques que présente le traitement de données, tels que la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles, notamment, d'entraîner des dommages physiques, matériels ou un préjudice moral».

Ainsi l’article 29 de la directive prévoit des dispositions spécifiques au traitement de données sensibles et aux traitements automatisés.

Son premier paragraphe impose ainsi au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Son second paragraphe fixe une liste de mesures à mettre en œuvre par le responsable du traitement ou le sous-traitant dans le cadre d’un traitement automatisé, à savoir :

a) empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement (contrôle de l'accès aux installations);

b) empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée (contrôle des supports de données);

c) empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l'inspection, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées (contrôle de la conservation);

d) empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle des utilisateurs);

e) garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation (contrôle de l'accès aux données);

f) garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);

g) garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l'introduction);

h) empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée (contrôle du transport);

i) garantir que les systèmes installés puissent être rétablis en cas d'interruption (restauration);

j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

2° Tenir un registre et un journal des activités et de certaines opérations de traitement et coopérer avec l’autorité de contrôle

Afin de pouvoir démontrer la licéité du traitement, de pratiquer l'autocontrôle et de garantir l'intégrité et la sécurité des données tel que rappelé par les considérants 56 et 57, la directive impose deux obligations au responsable du traitement et au sous-traitant.

La première obligation fixée par l’article 24 de la directive est de tenir un registre écrit pour toutes les catégories d'activités de traitement relevant de leur responsabilité. Chaque responsable du traitement et sous-traitant devra être tenu de coopérer avec l'autorité de contrôle et de mettre ces registres à la disposition de cette dernière sur sa demande pour qu'ils puissent servir au contrôle de ces opérations de traitement.

La seconde obligation prévue par l’article 25 de la directive est d’établir des journaux au moins pour les opérations de collecte, de modification, de consultation, de communication, y compris les transferts, l'interconnexion ou l'effacement, effectuées dans des systèmes de traitement automatisé.

Les journaux des opérations de consultation et de communication doivent permettre d'établir le motif, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l'identité des destinataires de ces données à caractère personnel.

Ces journaux ne doivent être utilisés qu’à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et pour les besoins de procédures pénales.

Afin de permettre à l’autorité de contrôle d’exercer pleinement son contrôle, le responsable du traitement et le sous-traitant sont tenus de lui mettre ces journaux à disposition sur demande.

De manière générale aux termes de l’article 26 de la directive, le responsable du traitement et le sous-traitant sont tenus de coopérer avec l’autorité de contrôle, à sa demande, dans l’exécution de ses missions.

3° Informer l’autorité de contrôle et la personne concernée en cas de violation de données à caractère personnel

En cas de violation de données à caractère personnel, les articles 30 et 31 de la directive fixent deux obligations d’information à la charge du responsable du traitement et destinées l’une à l’autorité de contrôle, l’autre à la personne concernée.

En premier lieu, le responsable du traitement doit notifier la violation à l'autorité de contrôle, à moins qu'il soit peu probable que la violation en question n'engendre des risques pour les droits et les libertés d'une personne physique. Il doit documenter toute violation en indiquant notamment les mesures prises pour y remédier, afin de permettre à l’autorité de contrôle de procéder aux vérifications nécessaires. Le sous-traitant doit également notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. Enfin, lorsque la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d'un autre État membre ou à celui-ci, les mêmes informations que celles imposées lors de la notification à l’autorité de contrôle doivent être communiquées au responsable du traitement de cet État membre dans les meilleurs délais.

En second lieu, le responsable du traitement doit, lorsque cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et les libertés d'une personne physique, la communiquer à la personne concernée dans les meilleurs délais.

Par exception, il n’est pas tenu à cette obligation si :

- il a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

- il a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et les libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

- cette communication exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation est susceptible d'engendrer un risque élevé, soit exiger du responsable du traitement qu'il procède à cette communication, soit décider qu’il n’est effectivement pas tenu à cette obligation au vu des exceptions ci-dessus décrites.

La directive prévoit enfin que la communication à la personne concernée peut être retardée, limitée ou omise, dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales, protéger la sécurité publique, protéger la sécurité nationale ou protéger les droits et libertés d'autrui.

1.1.1.4. Désigner un délégué à la protection des données

L’article 32 impose au responsable du traitement de désigner un délégué à la protection des données, excepté pour les autorités judiciaires agissant dans l’exercice de leur fonction juridictionnelle.

Les articles 33 et 34 de la directive détaillent les fonctions et les missions de ce délégué qui comprennent notamment celles d’informer et de conseiller le responsable du traitement et de contrôler le respect de la directive.

1.1.1.2. Conformité du droit national

1.1.1.2.1. Sur l’obligation de mise à jour des données incombant aux autorités compétentes

L’actuelle loi informatique et libertés ne fixe pas d’obligation pour les autorités compétentes de veiller à la qualité des données transmises.

Cette obligation nouvelle fixée par l’article 7 de la directive devra donc faire l’objet d’une transposition en droit national.

1.1.1.2.2 Sur les obligations incombant aux responsables de traitement et sous-traitants

1° Sur la distinction entre les différentes catégories de personnes concernées

Le droit français opère déjà des distinctions selon les différentes catégories de personnes concernées.

A titre d’illustration, les conditions d’inscription dans le traitement, les durées de conservations et les conditions d’effacement des données sont modulées dans le traitement des antécédents judiciaires (TAJ), dans le FNAEG et dans le FAED, selon que la personne concernée est une victime, un mis en cause majeur ou mineur.

Néanmoins, notre législation n’impose pas de manière générale au responsable du traitement d’opérer une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées.

Les dispositions de l’article 6 de la directive devront donc être transposées.

2° Sur les règles destinées à assurer la sécurité des données personnelles

S’agissant des règles destinées à assurer l’intégrité et la sécurité des données personnelles, les mesures prises par le responsable de traitement font l’objet d’un examen lors des formalités préalables à la création.

L’article 30 de la loi informatique et libertés prévoit en effet au titre de son 9° que les demandes d’avis adressées à la Commission nationale de l’informatique et des libertés doivent notamment préciser « les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ». La Commission opère donc un contrôle de la sécurité du traitement au stade de sa création.

Par ailleurs, l’article 34 de la loi impose de manière générale au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

La loi modifiée du 6 janvier 1978 impose donc aux responsables de traitement une obligation de sécurité et de confidentialité.

Cette obligation n’apparait néanmoins pas suffisante au regard des exigences européennes, et plus particulièrement à l’aune de la nécessité d’une protection des données par défaut, d’une obligation de sécurité renforcée pour toutes les données sensibles visées à l’article 8 et de la liste des mesures à mettre en œuvre dans le cadre d’un traitement automatisé.

Les articles 19, 20 et 29 de la directive devront donc faire l’objet d’une transposition.

3° Sur l’obligation de tenue d’un registre et d’un journal

N’ayant pas d’équivalent dans la loi informatique et libertés, les obligations nouvelles pour le responsable du traitement et pour le sous-traitant de tenir un registre de toutes les activités de traitement effectuées, ainsi qu’un journal de certaines opérations effectuées dans des systèmes de traitement automatisé afin de pouvoir démontrer la licéité du traitement et de garantir l’intégrité et la sécurité des données, devront faire l’objet d’une transposition.

4° Sur les obligations d’information en cas de violation de données à caractère personnel

L’article 34 bis de la loi modifiée du 6 janvier 1978 issu de l'ordonnance n° 2011-1012 du 24 août 2011 fixe les règles à suivre en cas de violation de données à caractère personnel.

Ces règles ne concernent cependant pas toutes les hypothèses de violation. Elles sont en effet limitées aux violations de données à caractère personnel intervenant dans des traitements des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification.

En pratique, sont dès lors uniquement soumis à l'article 34 bis de la loi modifiée du 6 janvier 1978 les fournisseurs d'accès à l'Internet et les opérateurs de téléphonie mobile.

Les exigences européennes fixées par les articles 30 et 31 de la directive en cas de violation de données à caractère personnel étant applicables à tous les traitements, elles devront donc être transposées en droit national.

5° Sur l’obligation de désigner un délégué à la protection des données

L’article 22 III de la loi informatique et libertés et les articles 42 à 56 du décret du 20 octobre 2005 prévoient la possibilité pour le responsable du traitement de désigner un correspondant à la protection des données.

Par cette désignation facultative, le droit français n’est donc pas conforme aux exigences européennes qui prévoient la désignation obligatoire du délégué.

1.2. Cadre constitutionnel

Dans sa décision n° 2004-499 DC du 29 juillet 2004 portant sur la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le Conseil constitutionnel a conclu que le fait, par la création d’un correspondant à la protection des données, de dispenser le responsable du traitement de certaines formalités préalables sauf exception était conforme à la Constitution.

Le Conseil a notamment considéré que compte tenu de l'ensemble des précautions prises, s'agissant en particulier de la qualification, du rôle et de l'indépendance du correspondant, la dispense de déclaration résultant de sa désignation ne privait de garanties légales aucune exigence constitutionnelle121.

1.3. Cadre conventionnel

L’article 8 paragraphe 2 de la Charte des droits fondamentaux de l’Union européenne prévoit que toute personne a le droit à la protection des données à caractère personnel la concernant, et que le respect de cette règle est soumis au contrôle d’une autorité indépendante.

Aux termes de l’article 7 de Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, des « mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisés ».

2. Objectifs poursuivis et necessite de legiferer

2.1 Objectifs poursuivis

2.2.1. Mettre notre droit en conformité avec l’obligation de veiller à la fiabilité des données personnelles transmises ou mises à disposition

Afin de respecter l’article 7 paragraphe 2 de la directive, il est créé un nouvel article 70-11 qui reprend strictement les exigences européennes, et plus particulièrement l’obligation nouvelle pour les autorités compétentes de prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition.

Le dernier alinéa de l’article 70-11 transpose l’article 7 paragraphe 3 de la directive, et prévoit ainsi que le destinataire est informé sans retard en cas de transmission de données personnelles inexactes ou de transmission illicite, et que les données sont alors rectifiées ou effacées ou leur traitement limité.

2.2.2. Mettre notre droit en conformité avec la nécessité pour le responsable du traitement d’établir une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées

Pour mettre notre droit en conformité avec l’article 6 de la directive qui impose de distinguer les données personnelles selon des catégories de personnes concernées, il est créé un article 70-12.

Cet article reprend intégralement les dispositions de la directive et impose ainsi au responsable du traitement de distinguer entre les données à caractère personnel des catégories suivantes de personnes concernées :

1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;

2° Les personnes reconnues coupables d'une infraction pénale;

3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale; et

4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux 1° et 2°.

2.2.3. Mettre notre droit en conformité avec les obligations imposées au responsable du traitement et au sous-traitant en vue de garantir l’intégrité et la sécurité des données

Pour plus de lisibilité, a été retenue l’option, au sein du nouvel article 70-13, d’une transposition combinée des articles 19, 20 et 29 de la directive, qui imposent au responsable du traitement et au sous-traitant de garantir l’intégrité et la sécurité des données.

Les dispositions figurant dans les articles 19, 20 et 29§1 de la directive étant identiques à celles prévues par les paragraphes 1 et 2 des articles 24 et 25 du règlement, un renvoi à ces articles du règlement est opéré dans l’article 70-13.

L’article 70-13 transpose par ailleurs les dispositions de la directive qui n’ont pas d’équivalent ni dans la loi informatique et libertés ni dans le règlement.

Ainsi, le nouvel article 70-13 ajoute que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin degarantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l'article 8.

En ce qui concerne le traitement automatisé, l’article 70-13 reprend intégralement la liste des mesures devant être mises en œuvre par le responsable du traitement et le sous-traitant aux termes de l’article 29§2 de la directive.

2.2.4. Mettre notre droit en conformité avec les obligations nouvelles pour le responsable du traitement et le sous-traitant de tenir un registre des activités de traitement effectuées, ainsi qu’un journal de certaines opérations

Afin de respecter les exigences européennes fixées par l’article 24 de la directive, il est créé un nouvel article 70-14 qui prévoit que le responsable du traitement et son sous-traitant tiennent un registre des activités de traitement, et le mettent à la disposition de la Commission nationale de l’informatique et des libertés sur demande.

Les conditions dans lesquelles ce registre doit être tenu sont prévues de manière similaire par l’article 24 de la directive et les paragraphes 1 à 4 de l’article 30 du règlement.

Dès lors, le nouvel article 70-14 opère un renvoi aux paragraphes 1 à 4 de l’article 30 du règlement, et ne réécrit que les dispositions propres à la directive, soit la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l'article 8, l’indication de la base juridique de l’opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

Le nouvel article 70-15 prévoit, conformément à l’article 25 de la directive, que le responsable du traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, l’interconnexion et l’effacement, portant sur de telles données.

Les journaux des opérations de consultation et de communication permettent d’en établir le motif, la date et l’heure. Ils permettent également, dans la mesure du possible, d’identifier les personnes qui consultent ou communiquent les données et leurs destinataires.

Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et à des fins de procédures pénales. Il est mis à disposition de  la Commission nationale de l’informatique et des libertés à sa demande.

Enfin, de manière générale, le nouvel article 70-16 impose au responsable de traitement et au sous-traitant, par le renvoi à l’article 31 du règlement qui est identique à l’article 26 de la directive, de coopérer avec la Commission nationale de l'informatique et des libertés à la demande de celle-ci dans l’exécution de ses missions.

2.2.5. Mettre notre droit en conformité avec les règles fixées en cas de violation de données à caractère personnel

Afin de respecter les exigences européennes en cas de violation de données personnelles dans tout type de traitement relevant du champ d’application de la directive, l’article 70-16 transpose les deux obligations d’information mises à la charge du responsable du traitement par les articles 30 et 31 de la directive : la notification de la violation à la Commission nationale de l’informatique et des libertés et la communication de la violation à la personne concernée.

Les articles 30 et 31 de la directive étant identiques aux articles 33 et 34 du règlement, excepté le paragraphe 6 de l’article 30 et le paragraphe 5 de l’article 31, l’article 70-16 opère un renvoi à ces dispositions du règlement.

Les dispositions propres des paragraphe 6 de l’article 30 et paragraphe 5 de l’article 31de la directive sont, quant à elles, reproduites aux deuxième et troisième alinéas de l’article 70-16, qui prévoit ainsi que :

- le responsable du traitement notifie également la violation au responsable du traitement de l’autre Etat membre dans les meilleurs délais si cette violation porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d’un autre Etat membre ou à celui-ci,

- la communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée aussi longtemps qu’une telle mesure est nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour ne pas mettre en danger la sécurité publique, la sécurité nationale ou les droits ou libertés d’autrui ou ne pas faire obstacle au bon déroulement des enquêtes et procédures destinées à prévenir, détecter ou poursuivre des infractions pénales ou à exécuter des sanctions pénales.

2.2.6. Mettre notre droit en conformité avec l’obligation de désigner un délégué à la protection des données

A cette fin, il est créé un article 70-17 qui transpose les articles 32 à 34 de la directive.

Cet article renvoie aux dispositions des paragraphes 5 et 7 de l’article 37, des paragraphes 1 et 2 de l’article 38 et du paragraphe 1 de l’article 39 du règlement qui sont identiques à celles de la directive, à une exception près. Contrairement à la directive qui n’impose les obligations relatives au délégué à la protection des données qu’au responsable du traitement, certaines dispositions du règlement les font également peser sur le sous-traitant. L’article 70-15 prévoit dès lors que ce renvoi au règlement ne concerne que le responsable de traitement.

L’article 70-15 reprend par ailleurs littéralement l’article 32§3 de la directive, qui n’a pas d’équivalent dans le règlement, en prévoyant qu’un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

2.2 Nécessité de legiférer

L’objectif immédiat du projet de loi est de mettre notre droit national en conformité avec les exigences énoncées par la directive, plus particulièrement avec l’obligation nouvelle pour les autorités compétentes de veiller à la fiabilité des données personnelles transmises ou mises à disposition ; ainsi que pour le responsable du traitement, et également dans certains cas pour le sous-traitant :

- d’établir une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées,

- de prendre des mesures appropriées en vue de garantir l’intégrité et la sécurité des données,

- de tenir un registre des activités de traitement effectuées, et un journal de certaines opérations effectuées dans des systèmes de traitement automatisé,

- d’informer l’autorité de contrôle et la personne concernée en cas de violation de données à caractère personnel dans tout traitement,

- de désigner un délégué à la protection des données.

3. Options

3.1. Dispenser ou non les tribunaux et autorités judiciaires indépendantes de l’obligation de désigner un délégué à la protection des données dans l’exercice de leurs fonctions juridictionnelles

3.1.1. Option 1 (écartée) : Imposer la désignation d’un délégué à la protection des données aux tribunaux et autorités judiciaires indépendantes agissant dans l’exercice de leurs fonctions juridictionnelles

L’article 32 paragraphe 1 de la directive laisse à la libre appréciation des Etats membres la faculté de dispenser les tribunaux et d’autres autorités judiciaires indépendantes de l’obligation de désigner un délégué à la protection des données lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle.

Cette faculté est rappelée par le considérant 63 de la directive, qui précise que « le responsable du traitement devrait désigner une personne qui l'aiderait à vérifier le respect, au niveau interne, des dispositions adoptées en vertu de la présente directive, sauf lorsqu'un État membre décide que des tribunaux et d'autres autorités judiciaires indépendantes en sont dispensés dans l'exercice de leur fonction juridictionnelle ».

Cette option a été écartée.

3.1.2. Option 2 (retenue) : Les dispenser de désigner un délégué à la protection des données

S’agissant de traitements mis en œuvre par des autorités judiciaires dans l’exercice de leurs fonctions, l’option de ne pas leur imposer la désignation d’un délégué à la protection des données a été retenue.

3.2. Reporter ou non l’obligation de journalisation

Comme indiqué dans la partie relative à l’entrée en vigueur, il a été décidé de permettre un report de cette obligation, ce que permet l’article 63 de la directive.

4. analyse des impacts de la disposition envisagée

4.1 Impacts juridiques

La présente disposition conduit à devoir insérer dans la loi de 1978 de nouveaux articles (articles 70-11 à 70-17).

DISPOSITIONS DU PROJET DE LOI

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Article 70-11

Transposition des articles 4 (« sans tarder ») et 7§2 et §3

Article 70-12

Article 6

Article 70-130

Transposition combinée des articles 19, 20, 22§1 et 29

Article 70-14

Article 24

Article 70-15

Article 25

Article 70-16

Transposition combinée des articles 30 et 31

Article 70-17

Transposition combinée des articles 32 à 34

4.2. Impacts sur les services judiciaires et autres traitements existants

S’agissant notamment de l’obligation de journalisation prévue par l'article 25 de la directive et reprise par le nouvel article 70-15 il peut être fait les observations suivantes.

Actuellement, la loi "Informatique et Libertés" n'a pas de disposition spécifique concernant cette traçabilité. Toutefois l'article 34 de la loi fait peser sur les responsables de traitement des obligations de sécurité:

Cet article prévoit en effet que "Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

La CNIL est particulièrement attentive à la mise en œuvre de telles mesures de traçabilité, dans la mesure où cela permet de détecter notamment les détournements de finalité et de s'assurer, a posteriori, que seules les personnes ayant besoin d'en connaître ont eu accès aux données. D'ailleurs, sur certains traitements particulièrement sensibles (Cassiopée notamment), elle a même recommandé (Délibération n°2011-233 du 21 juillet 2011) la mise en place d'un mécanisme de remontée d'alerte (outil de détection des usages anormaux).

C'est en application de cet article 34 que le ministère de la justice, pour l'ensemble de ses traitements (ou à tout le moins pour les plus récents), met déjà en œuvre des mesures de traçabilité, qui permettent d'assurer la sécurité des données. Le plus souvent (notamment pour les traitements relevant de l'article 26 de la loi "Informatique et Libertés"), ces traces sont conservées par le ministère de la justice pendant 3 ans (durée beaucoup plus longue que dans le secteur privé). Dans la mesure où cette durée correspondait jusqu'à récemment à la durée de prescription de l'infraction de détournement de finalité, prévue à l'article 226-21 du code pénal, la Commission considérait que cette durée ne soulevait pas de difficulté.

Par ailleurs, les actes réglementaires entourant la mise en œuvre des traitements mentionnent le plus souvent expressément ces mesures de traçabilité (alors même que cela n'est pas une obligation au titre de l'article 29 de la loi). On peut citer comme exemple :

- Cassiopée: article R. 15-33-66-13 du CPP

- Genesis: article R. 57-9-26 du CPP

Toutefois, l'article 25 de la directive, comme le nouvel article 70-15, est précis, en ce sens qu'il décrit limitativement les fins pour lesquelles ces traces pourront être utilisées (vérification de la licéité du traitement, autocontrôle, garantie de l'intégrité et de la sécurité des données, procédure pénale), ce qui n'est pas le cas de la loi "Informatique et Libertés";

Or, actuellement, si les créations, modifications, suppressions et les consultations de données sont les actions le plus souvent tracées, il n'est pas sûr que la communication et l'interconnexion le soient systématiquement. Ce point nécessitera donc une confirmation des services compétents en la matière, afin que ces derniers précisent quelles sont les actions qui sont tracées, les traces générées et les éventuelles modifications informatiques à prévoir afin de s'assurer du respect de l’article 70-15 (il en va de même pour la mise en œuvre de telles mesures sur les applicatifs les plus anciens, qui pourraient éventuellement soulever des difficultés), afin de déterminer dans quelle mesure la possibilité de report doit être retenue pour tels ou tels fichiers.

Cette question concerne également les traitements relevant du ministère de l’intérieur ou d’autres ministères.

5. CONSULTATION ET MODALITÉS D’APPLICATION

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Ces dispositions seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance.

ARTICLE 18 ET ARTICLE 19 SECTION 3

DROITS DE LA PERSONNE CONCERNÉE

1. Etat des lieux et diagnostic

1.1 Conformité du droit français à la directive sur les droits des personnes concernées par les données personnelles

1.1.1 Texte de la directive

Le chapitre III de la directive fixe les règles applicables aux droits des personnes concernées par les données personnelles.

Par principe, l’article 12 de la directive impose au responsable du traitement de fournir à la personne concernée diverses informations, de procéder à toute communication nécessaire lorsque cette dernière lui demande l’accès ou la rectification des données la concernant, et de prendre toutes les mesures nécessaires pour faciliter l’exercice de ses droits par la personne concernée.

1.1.1.1 Dispositions spécifiques sur la portée des droits de la personne concernée

Les articles 13 à 17 de la directive traitent du droit de la personne concernée par les données, à disposer de certaines informations, à accéder, rectifier ou effacer du traitement les données personnelles la concernant, ainsi que de la limitation du traitement.

1° Droit à l’information

L’article 13 de la directive impose au responsable du traitement de mettre certaines informations à la disposition de la personne concernée.

Cet article consacre ainsi un droit à l’information pour la personne concernée en matière pénale.

Selon le premier paragraphe de l’article 13, ces informations doivent au moins préciser :

- l’identité et les coordonnées du responsable du traitement

- le cas échéant, les coordonnées du délégué à la protection des données;

- les finalités du traitement auquel sont destinées les données à caractère personnel;

- le droit d'introduire une réclamation auprès d'une autorité de contrôle et les coordonnées de ladite autorité;

- l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel relatives à une personne concernée.

Selon le second paragraphe, le responsable du traitement doit également, dans des cas particuliers, fournir d’autres informations à la personne concernée afin de lui permettre d’exercer ses droits, à savoir :

- la base juridique du traitement,

- la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

- le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales;

- au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.

Le considérant 42 de la directive prévoit ainsi que « dans des cas précis et afin de permettre à la personne concernée d'exercer ses droits, celle-ci devrait être informée de la base juridique du traitement et de la durée pendant laquelle les données seront conservées, dans la mesure où ces informations complémentaires sont nécessaires pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données sont traitées ».

Ce principe d’un droit à l’information de la personne concernée peut néanmoins souffrir de certaines restrictions.

Ainsi le troisième paragraphe de l’article 13 de la directive permet aux Etats membres d’adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du second paragraphe, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:

- éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;

- protéger la sécurité publique;

- protéger la sécurité nationale;

- protéger les droits et libertés d'autrui.

Le quatrième paragraphe de l’article 13 de la directive laisse à la libre appréciation des Etats membres la possibilité de déterminer des catégories de traitement susceptibles de relever des finalités susvisées.

2° Droit d’accès

Les règles relatives au droit d’accès de la personne concernée sont fixées par les articles 14 et 15 de la directive : l’article 14 pose le principe de ce droit, et l’article 15 délimite les restrictions pouvant y être apportées.

Aux termes de l’article 14 de la directive, la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations suivantes:

- les finalités du traitement ainsi que sa base juridique;

- les catégories de données à caractère personnel concernées;

- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

- la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

- l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel, ou la limitation du traitement des données à caractère personnel relatives à la personne concernée;

- le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

- la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source.

Ce droit d’accès de la personne concernée à ses données personnelles peut néanmoins souffrir de certaines restrictions.

Le premier paragraphe de l’article 15 de la directive permet ainsi aux Etats membres de limiter, entièrement ou partiellement, ce droit dès lors que cette mesure est, de la même façon que pour le droit à l’information, nécessaire et proportionnée pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes, recherches, procédures, poursuites ou à l’exécution de sanctions pénales ou pour protéger la sécurité publique, nationale ou les droits et libertés d’autrui.

Le second paragraphe de l’article 15 ouvre une autre option aux Etats membres, en leur permettant de déterminer des catégories de traitement susceptibles de relever des finalités susvisées.

En cas de refus ou de limitation d’accès, la directive impose alors au responsable du traitement d’en informer la personne concernée dans les meilleurs délais, y compris en précisant les motifs de cette restriction.

Cette information de la personne concernée en cas de restriction de son droit d’accès par le responsable du traitement peut néanmoins ne pas être fournie lorsqu’elle risque de compromettre l’un des objectifs susvisés, liés à la protection de la sécurité ou des droits et libertés d’autrui ou à la prévention ou à la détection d’infractions pénales, aux enquêtes, recherches, procédures, poursuites ou à l’exécution de sanctions pénales.

Le responsable du traitement doit alors informer la personne concernée de son droit d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel. Il doit également consigner les motifs de fait ou de droit qui fondent sa décision, et mettre ces informations à la disposition des autorités de contrôle.

3° Droit de rectification ou d’effacement, et limitation du traitement

Par principe, aux termes du premier paragraphe de l’article 16 de la directive, la personne concernée a le droit, dans les meilleurs délais, d'obtenir du responsable du traitement que les données inexactes ou incomplètes la concernant soient rectifiées ou complétées.

Dans le second paragraphe de l’article 16, la directive complète ce droit de rectification par le droit pour la personne concernée d’obtenir du responsable du traitement l’effacement de certaines données dans les meilleurs délais. Ce droit à l’effacement existe lorsque le traitement ne respecte pas les dispositions des articles 4, 8 ou 10 de la directive autrement dit lorsqu’il ne respecte pas les principes généraux applicables aux traitements tels que ceux de licéité, de sécurité, de compatibilité avec les finalités légitimes pour lesquelles les données ont été collectées, de conservation pendant une durée adaptée, ou lorsqu’il porte sur des données inexactes ou, hors les cas prévus par la loi, sur des données dites sensibles ou enfin lorsqu’une obligation légale l’exige.

Au lieu d’effacer les données, la directive prévoit que le responsable du traitement peut limiter le traitement soit lorsqu’il ne peut pas être déterminé si les données sont ou non inexactes, soit lorsque ces données doivent être conservées à des fins probatoires.

Lorsque le responsable du traitement fait droit à la demande de rectification, il doit en informer l’autorité compétente dont les données proviennent, ainsi que le destinataire de ces données, à charge pour ce dernier de les rectifier sous sa responsabilité.

Lorsque le responsable du traitement fait droit à la demande d’effacement ou limite le traitement, il doit aviser le destinataire de ces données à charge pour lui de les effacer ou d’en limiter le traitement sous sa responsabilité.

Lorsque le responsable du traitement refuse de rectifier, d’effacer les données ou de limiter leur traitement, il doit en informer la personne concernée, en lui précisant les motifs ayant fondé sa décision. Néanmoins, la directive permet aux Etats membres de ne pas obliger le responsable du traitement à fournir ces informations lorsqu’à l’instar des restrictions possibles pour les droits à l’information et d’accès, cette mesure est nécessaire et proportionnée pour éviter de nuire à la prévention ou à la détection d’infractions pénales ou pour protéger la sécurité et les droits et libertés d’autrui.

En cas de refus, le responsable du traitement doit alors informer la personne concernée de son droit d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.

1.1.1.2 Dispositions générales relatives aux modalités d’exercice des droits et de transmission des informations

1° Principe d’un exercice direct des droits par la personne concernée, doublé d’un exercice indirect en cas de restriction

Pour exercer ses droits d’information, d’accès et de rectification, d’effacement des données ou de limitation du traitement, la personne concernée s’adresse directement au responsable du traitement sans passer par l’intermédiaire d’une quelconque autorité.

Néanmoins, dans les cas visés par l’article 13 paragraphe 3, l’article 15 et l’article 16 paragraphe 4, autrement dit en cas de restriction des droits justifiées par la nécessité de ne pas nuire à la prévention ou à la détection d'infractions pénales et de protéger la sécurité et les droits et libertés d'autrui, l’article 17 de la directive impose que les droits de la personne concernée puissent également être exercés par l’intermédiaire de l’autorité de contrôle.

Afin de permettre à la personne concernée d’exercer pleinement son droit par l’intermédiaire de l’autorité de contrôle, la directive impose alors au responsable du traitement de l’aviser de cette possibilité.

Aux termes de la directive, l’autorité de contrôle doit a minima informer la personne concernée qu’elle a procédé à toutes les vérifications nécessaires ou à un examen, et l’aviser de son droit de former un recours juridictionnel.

2° Principe d’une transmission claire et gratuite des informations à la personne concernée

En cas de doute raisonnable sur l’identité du demandeur, le responsable du traitement peut solliciter des informations complémentaires destinées à la confirmer.

Une fois cette identité confirmée, l’article 12 de la directive impose au responsable du traitement de fournir dans les meilleurs délais à la personne concernée les informations relevant de ses différents droits d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples, et ce sans exiger le moindre paiement.

Néanmoins dès lors que la demande adressée par une personne concernée est manifestement infondée ou excessive, notamment en raison de son caractère répétitif avec d’autres précédentes requêtes, le responsable du traitement est en droit soit d’exiger le paiement de frais raisonnables pour y répondre, soit de refuser d’y donner suite.

Le responsable du traitement dispose donc d’un pouvoir d’appréciation du bien-fondé des demandes, à charge pour lui néanmoins de rapporter la preuve du caractère manifestement infondé ou abusif de la demande en cas de contestation.

1.1.2 Conformité partielle du droit national

1.1.2.1 Dispositions spécifiques à chaque droit de la personne concernée

1° Absence de droit à l’information en matière pénale

L’article 32 de la loi Informatique et Libertés fixe les informations devant être mis à disposition de la personne concernée par le responsable de traitement. Cet article n’est néanmoins pas applicable, aux termes de son VI, « aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales ».

En outre, il fait partie dans la loi informatique et libertés de la section relative aux obligations incombant aux responsables de traitements, alors que dans la directive ces informations sont conçues comme faisant partie des droits de la personne concernée.

Devra donc être intégralement transposé l’article 13 de la directive qui crée un droit à l’information de la personne concernée en matière pénale.

2° Droit d’accès

La loi « informatique et libertés »  permet déjà aux personnes concernées d'accéder aux données personnelles les concernant.

L’article 39 de la loi modifiée du 6 janvier 1978 prévoit ainsi que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :

- la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement;

- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

- le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

- la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

- les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

Le droit français est donc partiellement conforme à la directive en matière d’accès. Il est conforme quant au droit de la personne concernée d’obtenir la confirmation que les données la concernant sont ou ne sont pas traitées, ainsi que les informations relatives à la finalité du traitement, aux catégories de données, aux destinataires et à l’origine de l’information.

En revanche, devront être transposées les dispositions de la directive autorisant l’accès de la personne concernée aux autres informations, notamment à la base juridique du traitement, à la durée de conservation des données, à ses droits de demander la rectification, l’effacement ou la limitation du traitement et d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés.

Lorsqu’il est fait droit à la demande d’accès, la délivrance d’une copie des données peut être subordonnée au paiement par la personne concernée d’une somme qui ne peut excéder le coût de la reproduction.

Aux termes des articles 39 de la loi, 86 et 94 du décret, les demandes manifestement abusives peuvent être rejetées.

Afin de mettre en conformité le droit français avec la directive, des dispositions garantissant la gratuité des informations transmises dans le cadre du droit d’accès, sauf demande manifestement abusive ou infondée, devront donc être adoptées.

Dans notre législation, le droit d'accès peut s'exercer directement auprès du responsable pour la plupart des traitements, excepté pour certains traitements pour lesquels un régime dérogatoire d’exercice indirect par l’intermédiaire de la Commission nationale de l’informatique et des libertés est prévu par la loi.

Ainsi, l’article 41 de la loi prévoit que la personne concernée ne peut exercer son droit d’accès que de manière indirecte lorsque ses données personnelles font l'objet d'un traitement qui “intéresse la sûreté de l'État, la défense ou la sécurité publique”.

Ces dispositions de l’article 41 sont également applicables, en vertu de l’article 42 de la loi, aux traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'un service public qui ont pour mission de prévenir, rechercher ou constater des infractions, si un tel droit est prévu dans l’acte autorisant la mise en œuvre du traitement.

A titre d'illustration, sont soumis à un régime de droit d'accès direct les traitements suivants:

-   APPI, traitement mis en œuvre par les SPIP,

- AGRASC, traitement mis en œuvre par l'Agence de gestion et de recouvrement des avoirs saisis et confisqués aux fins de gestion et du recouvrement des biens saisis et confisqués,

- PSEM, traitement mis en œuvre par l’administration pénitentiaire aux fins de gestion des placements sous surveillance électronique mobile,

- GAME 2010, traitement de « gestion de l'activité et des mesures éducatives 2010 » mis en œuvre par la protection judiciaire de la jeunesse pour le suivi des mineurs,

- Cassiopée, traitement mis en œuvre dans les juridictions.

Toujours à titre d’illustration, sont notamment soumis à un régime de droit d’accès indirect :

- le TAJ, traitement des antécédents judiciaires,

- le FNIS, fichier national des interdits de stade,

- les fichiers EASP (enquêtes administratives relatives à la sécurité publique) et PASP (prévention des atteintes à la sécurité publique) des services de renseignement territorial,

- le SALVAC, système d’analyse et de liens de la violence associée aux crimes,

- ANACRIM, logiciel d’analyse criminelle.

Constituent des fichiers mixtes relevant d’un régime d’accès tantôt direct, tantôt indirect, le fichier des personnes recherchées (FPR), le système d’information Schengen (SIS) ou le traitement GENESIS mis en œuvre dans les établissements pénitentiaires.

Dans le cadre des traitements soumis à un régime de droit d’accès indirect, le droit national confère donc un rôle central à la Commission nationale de l’informatique et des libertés, puisque c'est à elle que doivent être transmises les demandes d’accès.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données ne met pas en cause les finalités du traitement ou la sûreté de l’Etat, la défense ou la sécurité publique, les informations peuvent être communiquées au requérant. En cas d’opposition du responsable de traitement, la commission doit simplement informer le requérant qu'il a été procédé aux vérifications nécessaires.

Devront donc être transposées en droit national les dispositions consacrant, pour tous les traitements relevant de son champ d’application y compris ceux de police judiciaire et intéressant la sécurité publique, le principe d’un droit d’accès direct de la personne concernée auprès du responsable du traitement, la possibilité d’un exercice indirect de ses droits n’étant maintenue qu’en cas de restriction de ses droits.

3° Droit de rectification ou d’effacement

L’article 40 de la loi informatique et libertés permet à toute personne physique justifiant de son identité d’exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données inexactes, incomplètes, équivoques, périmées la concernant ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit alors pouvoir justifier, sans frais pour le demandeur, qu’il a procédé aux opérations nécessaires.

En cas de rectification ou d’effacement d’une donnée inexacte, incomplète, équivoque ou périmée auparavant transmise à un tiers, le responsable du traitement doit lui notifier les opérations effectuées.

A l’instar des règles applicables au droit d’accès, ce droit de rectification ou d’effacement s’exerce de manière directe, hors les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique et les traitements de police judiciaire prévus par les articles 41 et 42 de la loi.

Toute demande manifestement abusive peut être rejetée, aux termes des articles 86 et 94 du décret.

Le droit français est donc conforme pour ce qui concerne les possibilités offertes à la personne concernée de solliciter la rectification et la suppression de données personnelles, et d’obtenir gratuitement la réalisation et la communication de ces opérations.

Il ne prévoit en revanche aucune possibilité de limitation du traitement par le responsable.

Des dispositions devront par conséquent être adoptées en ce sens afin de respecter la directive.

Devront également être transposées les dispositions de la directive consacrant :

- pour tous les traitements relevant de son champ d’application y compris ceux de police judiciaire et intéressant la sécurité publique, le principe d’un droit de rectification, d’effacement ou de limitation s’exerçant de manière directe par la personne concernée auprès du responsable du traitement, la possibilité d’un exercice indirect de ses droits n’étant maintenue qu’en cas de restriction de ses droits.

- l’obligation pour le responsable du traitement, lorsqu’il fait droit à une demande de rectification, d’informer également l’autorité compétente dont les données proviennent,

- la possibilité pour le responsable du traitement d’exiger de la personne concernée le paiement de frais raisonnables ou de refuser de donner suite à une demande manifestement infondée ou abusive.

1.1.2.2 Dispositions générales relatives aux modalités de transmission des informations

Quel que soit le droit qu'il entend exercer au titre de la loi modifiée du 6 janvier 1978, l'intéressé doit fournir au responsable de traitement la justification de son identité.

Les règles nationales relatives à la preuve de l’identité de la personne concernée garantissent donc la protection des données personnelles en interdisant l'accès aux tiers non autorisés, conformément aux exigences européennes.

De même, l’article 95 du décret impose que toute référence à des codes, sigles ou abréviations figurant dans les documents délivrés par le responsable de traitement soit explicitée, si nécessaire sous la forme d'un lexique.

L'objectif de cette disposition, d’adresser une réponse à la personne concernée dans un langage clair, simple et aisément compréhensible, correspond pleinement aux dispositions de l’article 12 de la directive.

1.2. Cadre constitutionnel

Le Conseil constitutionnel attache une importance particulière à la protection des données à caractère personnel au regard de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 qui implique le respect de la vie privée.

Le Conseil constitutionnel a eu l’occasion de se prononcer plus précisément sur des dispositions limitant les demandes d’effacement anticipé concernant les personnes mises en cause, à propos du FNAEG. Il a jugé que les garanties prévues par le législateur étaient de nature à assurer, entre le respect de la vie privée et la sauvegarde de l’ordre public, une conciliation qui n’était pas manifestement déséquilibrée. Parmi les garanties relevées, il a notamment souligné « que l’inscription au fichier concerne, outre les personnes condamnées pour ces infractions, celles à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles les aient commises ; que, pour ces dernières, les empreintes prélevées dans le cadre d’une enquête ou d’une information judiciaires sont conservées dans le fichier sur décision d’un officier de police judiciaire agissant soit d’office, soit à la demande du procureur de la République ou du juge d’instruction ; qu’une procédure d’effacement est, dans ce cas, prévue par le législateur, lorsque la conservation des empreintes n’apparaît plus nécessaire compte tenu de la finalité du fichier ; que le refus du procureur de la République de procéder à cet effacement est susceptible de recours devant le juge des libertés et de la détention dont la décision peut être contestée devant le président de la chambre de l’instruction»122.

Une décision récente du Conseil constitutionnel portant sur le traitement des antécédents judiciaires (TAJ) illustre néanmoins le renforcement de la jurisprudence du Conseil constitutionnel en matière de protection de la vie privée. Le Conseil constitutionnel a en effet jugé qu’«en privant les personnes mises en cause dans une procédure pénale, autres que celles ayant fait l’objet d’une décision d’acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d’obtenir l’effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, les dispositions contestées port[ai]ent une atteinte disproportionnée au droit au respect de la vie privée»123.

1.3. Cadre conventionnel

L’article 8 paragraphe 2 de la Charte des droits fondamentaux de l’Union européenne prévoit que toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.

L’article 12 de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, transposée en droit national par la loi n°2004-801 du 6 août 2004, impose également aux États membres de garantir notamment à toute personne concernée le droit d'obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées, et selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

De même, l’article 8 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 prévoit que toute personne doit pouvoir :

- connaître l'existence d'un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier;

- obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible;

- obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans la Convention;

- disposer d'un recours s'il n'est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'effacement.

La Cour européenne des droits de l’homme attache une importance particulière à la protection des données à caractère personnel, qui joue selon elle « un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention »124.

Il ressort notamment de la jurisprudence conventionnelle, particulièrement des décisions rendues contre la France125, que le droit interne doit offrir une possibilité concrète de présenter une requête en effacement des données mémorisées126, et que la Cour apprécie le respect de l’article 8 au regard des possibilités concrètes d’effacement des données dont bénéficie l’intéressé avant l’expiration de leur durée de conservation, en particulier lorsque la durée de conservation est longue127.

La Cour a ainsi récemment affirmé que «les personnes condamnées devraient […] se voir offrir une possibilité concrète de présenter une requête en effacement des données mémorisées [...], afin que la durée de conservation soit proportionnée à la nature des infractions et aux buts des restrictions».

Elle en a conclu que dans la mesure où «le régime actuel de conservation des profils ADN dans le FNAEG [...] n’offre pas, en raison tant de sa durée que de l’absence de possibilité d’effacement, une protection suffisante à l’intéressé», il «ne traduit donc pas un juste équilibre entre les intérêts publics et privés concurrents en jeu»128.

2. Objectifs poursuivis et necessite de legiferer

2.1 Objectifs poursuivis

2.1.1. Mettre notre droit en conformité avec la création du droit à l’information de la personne concernée

Afin de mettre notre droit en conformité avec l’article 13 de la directive, il est créé un nouvel article 70-18 qui consacre dans notre ordre juridique l’obligation nouvelle pour le responsable de traitement de mettre à disposition de la personne concernée certaines informations en matière pénale.

Les informations devant être mises à disposition aux termes de ce nouvel article 70-18 correspondent stricto sensu à celles prévues par la directive.

L’article 18 du projet de loi assure les coordinations nécessaires avec l’actuel article 32 de la loi informatique et libertés.

Ainsi, les I et II abrogent les dérogations prévues par l’article 32 V pour les traitements ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté et par le VI pour les traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales. Ces précisions sont en effet désormais inutiles au regard des dispositions spécifiques créées aux articles 70-1 et suivants qui s’appliquent par dérogation aux autres dispositions de la loi informatique et libertés.

Le I précise par ailleurs l’articulation de cet article 32 avec les dispositions nouvelles des articles 70-1 et suivants s’agissant des traitements intéressant la sécurité publique, qui peuvent relever du champ d’application de la directive.

2.1.2. Mettre notre droit en conformité sur le contenu du droit d’accès de la personne concernée

Afin de mettre notre droit en conformité avec l’article 14 de la directive qui diffère en partie sur le contenu du droit d’accès régi par l’article 39 de la loi, il est créé un nouvel article 70-19 qui reprend strictement les informations prévues par la directive, notamment relatives à la base juridique du traitement, à la durée de conservation des données, aux droits de la personne concernée de demander la rectification, l’effacement ou la limitation du traitement et d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés.

2.1.3. Mettre notre droit en conformité sur le droit de rectification ou d’effacement des données ou de limitation du traitement

Afin de mettre notre droit en conformité avec l’article 16 de la directive, l’article 70-20 I prévoit que la personne concernée a le droit d'obtenir du responsable du traitement :

- que soit rectifiées dans les meilleurs délais des données à caractère personnel qui sont inexactes ;

- que soient complétées des données à caractère personnel incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

- que soit effacées dans les meilleurs délais des données à caractère personnel, lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.

Le II de l’article 70-20 impose au responsable du traitement de justifier qu’il a procédé aux rectifications, compléments et effacements exigés, lorsque l’intéressé en fait la demande, conformément à l’actuel article 40 de la loi informatique et libertés.

Le III de l’article 70-20 précise la possibilité nouvelle pour le responsable du traitement de limiter le traitement lorsqu’il ne peut être déterminé si les données sont ou non inexactes ou lorsque ces données doivent être conservées à des fins probatoires.

Le IV de l’article 70-20 transpose l’obligation pour le responsable du traitement d’informer la personne concernée de tout refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus.

Enfin, les V et VI de l’article 70-18 imposent au responsable du traitement qui rectifie ou efface des données, ou limite leur traitement, de notifier ces diligences non seulement aux destinataires de ces données qui devront opérer ces mêmes diligences sous leur responsabilité, mais aussi à l’autorité compétente dont les données proviennent.

2.1.4. Mettre notre droit en conformité avec le principe d’un exercice direct des droits

Afin de respecter le principe consacré par la directive d’un exercice direct des droits, le III de l’article 18 du projet de loi précise, s’agissant des traitements intéressant la sécurité publique, que l’exercice indirect des droits prévu par l’article 41 de la loi informatique et libertés s’applique sous réserve des dispositions du nouveau chapitre XIII.

De même, le IV de l’article 18 du projet de loi supprime l’application aux traitements de police judiciaire du régime dérogatoire d’exercice indirect prévu par l’article 42 de la loi informatique et libertés.

Ainsi, la personne concernée pourra directement exercer ses droits auprès du responsable du traitement, sans passer par l’intermédiaire de la Commission nationale de l’informatique et des libertés, pour tout traitement relevant du champ d’application de la directive, y compris ceux intéressant la sécurité publique ou ceux mis en œuvre par des administrations publiques et des personnes privées chargées d’une mission de service public ayant pour mission de prévenir, rechercher ou constater des infractions.

2.1.5. Mettre notre droit en conformité avec le principe de gratuité de l’ensemble des informations transmises

Il est créé un nouvel article 70-23, qui prévoit, pour tous les droits de la personne concernée, le principe de gratuité des informations qui lui sont transmises, sauf exception liée à une demande manifestement infondée ou abusive.

Dans ce cas, l’article 70-23 permet également au responsable du traitement de refuser de donner suite à la demande.

2.2 Nécessité de légiférer

L’objectif immédiat du projet de loi est de mettre notre droit national en conformité avec les exigences énoncées par la directive, plus particulièrement avec :

- la création en matière pénale d’un droit à l’information de la personne concernée par les données personnelles,

- la possibilité nouvelle pour le responsable du traitement de procéder dans certains cas à une limitation du traitement, plutôt qu’à un effacement des données,

- l’obligation nouvelle pour le responsable du traitement, lorsqu’il fait droit à une demande de rectification, d’informer l’autorité compétente dont les données proviennent,

- l’exercice par principe direct des droits par la personne concernée auprès du responsable du traitement, y compris pour les traitements intéressant la sécurité publique et la police judiciaire,

- la consécration du principe de gratuité de toutes les informations transmises en application de ces droits par le responsable du traitement à la personne concernée, sauf exception liée à une demande manifestement infondée ou abusive.

3. Options

La directive laisse à la libre appréciation des Etats membres la faculté de fixer certaines restrictions aux droits de la personne concernée, ainsi que la détermination des règles applicables à l’exercice des droits par la personne concernée pour certains types de données ou de traitements.

3.1. Transposer ou non les règles de la directive pour les données figurant dans une décision judiciaire, un casier ou un dossier judiciaire faisant l’objet d’un traitement lors d’une enquête judiciaire et d’une procédure pénale

3.1.1. Option 1 (écartée) : Transposer les règles de la directive

L’article 18 de la directive laisse une option aux Etats membres s’agissant des droits de la personne concernée par des données à caractère personnel figurant dans une décision judiciaire, un casier ou dossier judiciaire faisant l’objet d’un traitement dans le cadre d’une enquête judiciaire et d’une procédure pénale.

Dans ces cas, la directive permet en effet de prévoir que les droits d’information, d’accès, de rectification, d’effacement ou de limitation du traitement prévus par les articles 13, 14 et 16 de la directive sont exercés conformément au droit national.

L’option d’imposer les exigences européennes pour ces données a été écartée.

3.1.2. Option 2 (retenue) : Maintenir le droit national

Cette option a été retenue.

Le Gouvernement a en effet souhaité maintenir la réglementation nationale propre à ces données traitées, compte tenu de l’équilibre nécessaire entre d’une part les intérêts et droits fondamentaux de la personne concernée, et d’autre part les nécessités de l’enquête, du secret de l’instruction et de la publicité des audiences.

Il est ainsi créé un nouvel article 70-24, aux termes duquel les dispositions relatives aux droits des personnes concernées transposées conformément aux exigences européennes ne s’appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l'objet d'un traitement lors d'une procédure pénale. Dans ces cas, l’accès à ces données ne peut se faire que dans les conditions prévues par le code de procédure pénale.

3.2. Fixer ou non des restrictions aux droits de la personne concernée

3.1.1. Option 1 (écartée) : Ne prévoir aucune restriction aux droits des personnes concernée

L’article 13 paragraphe 3, l’article 15 paragraphe 1 et l’article 16 paragraphe 4 de la directive prévoient que les Etats membres peuvent adopter des mesures législatives restreignant l’ensemble des droits de la personne concernée, dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;

c) protéger la sécurité publique

d) protéger la sécurité nationale;

e) protéger les droits et libertés d'autrui.

L’option de ne pas user de cette faculté a été écartée.

Le gouvernement ne souhaite pas en effet que les droits légitimes de la personne concernée puissent s’exercer au détriment de la sécurité nationale ou publique, des droits et libertés d’autrui ou des nécessités de prévenir, rechercher, poursuivre les infractions pénales et d’exécuter les sanctions pénales.

3.1.2. Option 2 (écartée) : Déterminer des catégories de traitement susceptibles de donner lieu à des restrictions des droits à l’information et d’accès

L’article 13 paragraphe 4 et l’article 15 paragraphe 2 de la directive permettent aux Etats membres de fixer, par des mesures législatives, des catégories de traitement de données susceptibles de relever des finalités susvisées et ainsi de donner lieu à des restrictions des droits d’information et d’accès pour la personne concernée.

Cette option a été écartée.

En dehors des décisions et dossiers judiciaires qui font déjà l’objet d’une dérogation spéciale (cf supra), il est en effet apparu incohérent que la loi ne puisse déterminer des catégories de traitement qui pourraient nécessiter une dérogation générale, que pour les seuls droits d’information et d’accès, et non pour le droit de rectification, d’effacement ou de limitation.

Au vu de l’option ci-dessous retenue, l’utilisation d’une telle possibilité par la loi aurait conduit à autoriser moins de restrictions par la loi que par l’acte instaurant le traitement, notamment par l’acte réglementaire portant création du traitement.

L’acte instaurant le traitement aurait par ailleurs dû ajouter, pour chaque traitement, la possibilité de restriction pour le droit de rectification ou d’effacement, de sorte que cette option ne présentait qu’un intérêt pratique très limité.

Au surplus, il faut rappeler que si l’actuel article 42 de la loi informatique et libertés permet un accès indirect pour les fichiers de police judiciaire, il impose toutefois que ce droit d’accès indirect soit prévu par l’acte réglementaire en indiquant « si un tel droit a été prévu par l’autorisation mentionnée aux articles 25, 26 et 27 ».

3.1.3 Option 3 (retenue) : Prévoir des restrictions aux droits des personnes concernées dans l’acte instaurant le traitement

Compte tenu du maintien des formalités préalables à la création d’un traitement et de la logique actuelle de l’article 42 de la loi informatique et libertés, a été retenue l’option de laisser à l’acte instaurant le traitement , plutôt qu’à la loi, le soin de déterminer in concreto les traitements dans lesquels l’ensemble des droits, y compris celui de rectification ou d’effacement, pourraient être restreints.

Le nouvel article 70-21 permet ainsi à l’acte instaurant le traitement de déterminer si dans ce traitement, les droits des personnes concernées peuvent ou non faire l’objet de certaines restrictions.

Si le traitement est mis en œuvre pour le compte de l’Etat, l’arrêté ou le décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés détermine les restrictions applicables.

Dans les autres cas, seul un acte clair, précis et d’application prévisible pour les justiciables conformément au considérant 33 de la directive peut fixer des restrictions aux droits des personnes concernées.

A défaut d’un tel acte, aucune restriction ne peut être appliquée aux droits des personnes concernées.

Conformément aux exigences de la directive, l’acte instaurant le traitement peut prévoir des restrictions aux droits de la personne physique concernée dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne pour :

- éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;

- protéger la sécurité publique ;

- protéger la sécurité nationale ;

- protéger les droits et libertés d'autrui.

Lorsque l’acte instaurant le traitement prévoit la possibilité de telles restrictions aux droits, le responsable du traitement est en droit de :

1° Retarder ou limiter la fourniture ou ne pas fournir certaines informations à la personne concernée, à savoir celles mentionnées au II de l’article 70-18;

2° Limiter, entièrement ou partiellement, le droit d'accès de la personne concernée prévu par l’article 70-19 ;

3° Ne pas informer la personne de son refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs de cette décision conformément au IV de l’article 70-20.

En cas de refus ou de limitation du droit d’accès, le responsable du traitement doit en informer la personne concernée dans les meilleurs délais, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent néanmoins ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs susmentionnés de prévention des infractions pénales, de protection de la sécurité ou des droits d’autrui. Le responsable du traitement doit alors consigner les motifs de fait ou de droit sur lesquels se fonde la décision, et mettre ces informations à la disposition de la Commission nationale de l’informatique et des libertés.

En cas de restriction des droits, le responsable du traitement doit informer la personne concernée de la possibilité d'introduire une réclamation en exerçant ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés ou de former un recours juridictionnel.

L’esprit de la directive et particulièrement le considérant 44 ci-dessous partiellement reproduit commande une appréciation in concreto de la demande par le responsable du traitement : « Le responsable du traitement devrait apprécier, en examinant chaque cas de façon concrète et individuelle, s'il y a lieu de limiter le droit d'accès partiellement ou complètement. »

Le gouvernement ayant décidé d’utiliser l’option de fixer certaines restrictions aux droits de la personne concernée, il est nécessaire, au vu de l’article 17 de la directive, de permettre à cette dernière de les exercer également dans ces cas par l’intermédiaire d’une autorité de contrôle.

Ainsi le nouvel article 70-22 détermine les modalités d’exercice indirect de ses droits par la personne concernée par l’intermédiaire de la Commission nationale de l'informatique et des libertés en cas de restriction de ses droits.

Cet article maintient la législation nationale en vigueur en cas de saisine de la Commission, à savoir les deuxième et troisième alinéas de l’article 41.

Est enfin transposée dans cet article l’obligation pour la Commission d’informer la personne concernée de son droit de former un recours juridictionnel lorsqu’elle l’avise avoir procédé aux vérifications nécessaires.

4. analyse des Impacts de la disposition envisagée

4.1. Impacts juridiques

L’impact juridique de la disposition consiste dans l’insertion dans le nouveau chapitre XIII de la loi de 1978 de sept articles, les articles 70-18 à 70-24, et dans la modification des actuels articles 32, 41 et 42 de la loi de 1978.

DISPOSITIONS DU PROJET DE LOI

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Article 18 PJL

Suppression, par coordination, des dérogations en matière pénale prévues par l’article 32 relatif au droit à l’information ; et précision de l’articulation avec le nouveau chapitre XIII pour les traitements intéressant la sécurité publique.

La directive créant, dans ses articles 14 à 16, des droits d’accès et de rectification par principe directs en matière pénale, l’accès indirect prévu par l’article 42 de la LIL pour les traitements de police judiciaire est supprimé par l’article 21 du PJL, et celui prévu par l’article 41 de la LIL s’applique pour les traitements intéressant la sécurité publique sous réserve des dispositions du chapitre XIII.

Article 19 PJL

 

Article 70-18

Article 13

Article 70-19

Article 14

Article 70-20

Article 16

Article 70-21

Transposition combinée des limitations ou restrictions aux droits d’information, d’accès ou de rectification prévues aux articles 13, 15 et 16 de la directive.

Transposition également de l’obligation pour le responsable du traitement d’informer la personne concernée de la possibilité, prévue par l’article 17 de la directive, d’exercer ses droits par l’intermédiaire de la CNIL.

Article 70-22

Article 17

Article 70-23

Article 12

Article 70-24

Article 18

4.2. Impacts sur les services judiciaires et sur les administrations publiques

Le principe d’un accès direct à tous les traitements va entraîner le transfert des demandes actuellement adressées à la Commission nationale de l’informatique et des libertés en sa qualité d’intermédiaire vers le responsable du traitement.

4.3. Impact sur les finances publiques

La gratuité des informations transmises imposée par la directive, en lieu et place de la possible délivrance d’une copie des données personnelles aux frais de la personne concernée dans le cadre de son droit d’accès, peut avoir un impact sur les finances publiques pour les traitements placés sous la responsabilité d’une administration publique.

4.4. Impacts sur les particuliers

Les droits de personnes faisant l’objet d’un traitement relevant de la directive seront renforcés par les nouvelles dispositions.

5. CONSULTATION ET MODALITÉS D’APPLICATION

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Ces dispositions seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance

ARTICLE 19 SECTION 4

TRANSFERTS INTERNATIONAUX

1. Etat des lieux et diagnostic

1.1 Droit actuel concernant les transferts internationaux de données

La loi n°78-17 du 6 janvier 1978 a été modifiée par la loi n°2004-801 du 6 août 2004 pour mettre la législation française en conformité avec la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui ne s’applique pas en matière pénale129.

A cette occasion, le Parlement a notamment introduit les deux articles 68 et 69 qui disposent :

« Article 68. - Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »

Article 69. - Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :

1° A la sauvegarde de la vie de cette personne ;

2° A la sauvegarde de l'intérêt public ;

3° Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;

4° A la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

5° A l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

6° A la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent. »

Par ailleurs, l’Union européenne a adopté un autre instruments relatif aux transferts de données, qui s’applique en matière pénale en l’espèce la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale dont les restrictions ne s’appliquent qu’aux données qui proviennent d’autres Etats membres.

Outre la législation européenne et la loi française, les transferts internationaux sont régis par le décret n°2005-1309 du 20 octobre 2005 (modifié par le décret n°2007-451 du 25 mars 2007130) pris pour l’application de la loi susvisée

Les dispositions de ce décret relatives au transfert de données, mentionnées aux articles 91131 et 108132 précisent les obligations qui incombent aux responsables de traitements. Ces dispositions font référence à la liste des Etats établie par la Commission et considérée comme assurant un niveau adéquat de protection des données au regard de la directive 95/46/CE qui ne s’applique pas en matière pénale.

Le fait d’assurer un niveau de protection adéquat au regard de cette directive 95/46/CE ne semble pas permettre de conclure que la protection est adéquate pour les traitements et fichiers élaborés en matière pénale (et réciproquement). D’une part les règles de protection en matière commerciale et civile ne sont pas identiques aux règles applicables en matière pénale (les principes d’information et de correction des données, le traitement des données sensibles telles que les empreintes génétiques, la conservation en l’absence d’accord de la personne concernée, etc. sont fondamentalement différents. D’autre part, certains Etats peuvent ne pas garantir les mêmes droits dans le domaine commercial alors qu’ils peuvent les garantir pour les fichiers en matière pénale.

Le dernier alinéa de l’article 91 du décret dispose : « Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l'intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l'article 94. »

Par ailleurs, le guide relatif aux « transferts de données à caractère personnel vers des pays tiers à l’Union européenne » édité sur le site de la CNIL ne semble pas adapté aux transferts de données en matière pénale. Il souligne notamment que « Les personnes dont les données doivent être transférées doivent être informées de l’existence de ce transfert ; (Article 91 du décret 2007) ».

Enfin, dans son avis n° 372616 en date du 26 octobre 2006, le Conseil d’Etat a considéré que le transfert de données à caractère personnel dont le traitement a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne relève pas de la catégorie des transferts nécessaires à la sauvegarde de l'intérêt public au sens du 2° de l'article 69 de la loi informatique et libertés133.

Or seul un très petit nombre d’Etats (environ une douzaine d’Etats134) n’appartenant pas à l’Union européenne ont été classés par l’Union européenne ou par la Commission Nationale de l’Informatique et des libertés comme ayant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont des données personnelles. La plupart des Etats tiers (environ deux cent cinquante Etats) ne relèvent donc pas de cette catégorie.

1.2 Régime instauré par la directive 2016/680 du 27 avril 2016

La directive introduit un mécanisme permettant le transfert de données à caractère personnel d’une part à des autorités compétentes se trouvant dans d’autres Etats, d’autre part à des destinataires se trouvant dans d’autres Etats.

Le premier cas correspond à la traditionnelle coopération entre services des autorités judiciaires ou services en charge des enquêtes en charge de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière ou en charge de l'exécution des sanctions pénales. Le second cas permet dans des situations particulières d’adresser directement des informations à caractère personnel à des destinataires situés dans d’autres Etats, aux mêmes fins (enquêtes et exécution des sanctions pénales). Ce second cas permet aux autorités compétentes d’adresser directement des demandes comprenant des informations à caractère personnelle à des services fournissant par exemple des services de communications électroniques délocalisés mais utilisés dans un Etat pour commettre des infractions (messages échangés entre des utilisateurs situés en France pour commettre des actes de terrorisme, pour transmettre des images ou vidéos pédopornographiques en utilisant des messageries électroniques situés à l’étranger).

Les transferts de données à caractère personnel sont traditionnellement effectués dans le cadre de commission rogatoire internationale ou des échanges entre service de police judiciaire permettant de solliciter une autorité judiciaire ou un services équivalent en charge des enquêtes en charge de la prévention et de la détection des infractions pénales dans un autre Etat. Il est bien évidemment nécessaire de communiquer certaines informations à caractère personnel pour que les autorités judiciaires étrangères ou les services de police judiciaire puissent enquêter. Ces demandes dites actives impliquent donc que des transferts de données personnelles soient effectués.

Par ailleurs, les autorités judiciaires comme les services de police judiciaire peuvent être sollicités par leurs homologues des autres Etats, généralement dans le cadre de conventions d’entraide judiciaire en matière pénale, de convention d’extradition ou de transfèrement, ou d’accords de sécurité intérieur pour coopérer en matière d’enquête ou d’exécution de sanctions pénales. Ces demandes dites passives (n’émanant pas de l’initiative d’autorités compétentes françaises) impliquent également le transfert de données à caractère personnel.

La directive prévoit que les autorités compétentes peuvent échanger de telles données dans quatre cas :

1°) Lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat (régime de l’article 36 de la directive) ;

2°) Lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant (régime de l’article 37 1° a) ; Cette situation sera rencontrée lorsque la convention d’entraide, d’extradition ou de transfèrement, ou l’accord de sécurité intérieur prévoit des dispositions juridiques contraignantes en matière de protection des données à caractère personnelle. Quelques conventions récentes prévoient de telles stipulations. Mais les conventions anciennes (la convention d’entraide judiciaire en matière pénale du Conseil de l’Europe par exemple) ne prévoient pas de protection.

3°) Lorsque le responsable du traitement a évalué toutes les circonstances du transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel (régime de l’article 37 1° b) ;

4°) En l'absence de décision d'adéquation ou de garanties appropriées lorsque le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l'État membre transférant les données à caractère personnel le prévoit, pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, et dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice pour une enquête en matière pénale ou pour l’exécution d’une sanction pénale.

Par ailleurs, la directive prévoit que « les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 6 mai 2016 et qui respectent le droit de l'Union tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation » (article 61 de la directive). Les conventions d’entraide, d’extradition ou de transfèrement, les accords de sécurité intérieure, adoptés antérieurement à l’adoption de la directive même s’ils ne comportent pas de stipulations spécifiques à la protection des données à caractère personnel étaient conforme au droit de l’Union européenne (à défaut de quoi ils n’auraient pas pu être signés et ratifiés, notamment en raison de la primauté du droit de l’union européenne). Ils restent donc en vigueur jusqu’à ce qu’ils soient remplacés ou révoqués.

La loi de transposition ne devrait pas avoir d’impact sur les transferts de données à caractère personnel effectués par les autorités judiciaires comme par les services de police judiciaire qui respectaient déjà d’une part les conventions applicables et d’autre part des principes constitutionnels plus élevés que le droit européen, les conventions internationales et la loi. Ainsi chaque fois que l’envoi d’une demande de coopération (commission rogatoire ou demande de renseignements adressée par un service de police judiciaire), ou l’envoi d’une réponse à une demande de coopération était susceptible de mettre ne cause des principes fondamentaux (application de la peine de mort, application de sanction(s) incompatible(s) avec le respect de la personne humaine, des garanties étaient exigées préalablement à l’envoi de la demande ou de la réponse. En outre, si quelques conventions anciennes ne comprennent pas de mention explicite du principe de spécialité (impossibilité d’utiliser les informations transmises dans un autre cadre que l’affaire pour laquelle les données personnelles ont été sollicitées) ou de confidentialité (impossibilité de transmettre les données à d’autres autorités que les autorités compétentes qui ont sollicité les données), toutes les conventions signées et ratifiées depuis une trentaine d’années comprennent ces deux principes.

Outre ces transferts entre autorités compétentes, la directive autorise des transferts qui n’étaient pas envisagés jusqu’à présent, à savoir des transferts d’une autorité compétente à des destinataires établis dans d’autres Etats. Il s’avère que de nombreuses infractions pénales sont commises par des criminels et des délinquants qui utilisent des services de transmission situé à l’extérieur des Etats où sont commises les infractions. C’est le cas notamment dans le domaine du terrorisme, des infractions en matière de diffusion d’images ou de vidéos pornographiques, en matière d’incitation à la haine ou à la xénophobie, de racisme, etc. S’il reste dans certains cas des frontières pour les personnes et les biens, les données échangées par des systèmes électroniques ne connaissent pas de frontières. Les enquêtes conduisent ainsi les autorités judiciaires ou les services de police à devoir identifier des criminels et des délinquants qui se cachent derrière des pseudonymes et utilisent des systèmes de messagerie électronique souvent situés dans d’autres Etats. Il est donc nécessaire de transmettre des données personnelles (adresse IP, pseudonymes, identifications des moyens de communication notamment adresse de messagerie) aux fournisseurs d’accès situés dans d’autres Etats. La directive permet de tels transferts dans un cadre très précis (article 39 de la directive) qui sera introduit à l’article 70-24 de la loi informatique et libertés. Il convient d’observer que la réponse effectuée par le destinataire situé à l’étranger et qui n’est pas une autorité compétente ne relève pas des dispositions de la directive mais d’autres dispositions : au sein des Etats membres de l’Union européenne, cette réponse relève du règlement, au sein des Etats non membres de l’Union européenne, la réponse relève des lois nationales de ces Etats.

2. Objectifs poursuivis et necessite de legiferer

Il est nécessaire de transposer de façon exacte les dispositions des articles 35 à 39 de la directive, ce qui suppose d’insérer dans la loi de 1978, dans le nouveau chapitre XIII relatif aux traitements relevant de la directive, au sein d’une section consacrée aux transferts de données hors de France, des dispositions reprenant les articles précités de la directive, et dérogeant, pour ces traitements, aux actuels articles 68 à 70 de la loi

3. Options

3.1. OPTION 1 (ecartée) : Maintien du système actuel

Le système actuel  ne semble pas compatible avec la directive qui prévoit un régime différent confiant la responsabilité des transferts au responsable de traitement.

Par ailleurs en matière pénale, le principe constitutionnel de séparation des pouvoirs rappelé par la directive135, le secret de l’enquête et de l’instruction semblent difficilement compatibles avec les formalités prévues par les deux derniers alinéas de l’article 69 de la loi informatique et libertés (pour les traitements mentionnés au I ou au II de l'article 26 de la loi informatique et libertés obligation d’un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL et obligation de porter à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel).

La solution consistant à maintenir le système actuel n’a donc pas été retenue.

3.2. OPTION 2 (retenue) : Définition d’un nouveau régime strictement conforme aux articles 35 à 39 de la directive

Cette solution, qui présente l’avantage de simplifier le mécanisme d’entraide judiciaire tout en maintenant des garanties appropriées, a été retenue.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L’impact juridique de cette disposition consiste dans l’insertion dans le nouveau chapitre XIII de la loi de 1978 de trois articles, les articles 70-25 à 70-27

5. CONSULTATION ET MODALITÉS D’APPLICATION

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Ces dispositions seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance.

TITRE IV

HABILITATION A AMELIORER L’INTELLIGIBILITE DE LA LEGISLATION APPLICABLE A LA PROTECTION DES DONNEES

ARTICLE 20

1. Etat des lieux et diagnostic

1.1. Etat des lieux

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue le texte fondateur et unique en matière de protection des données à caractère personnel.

La mise en conformité de cette loi avec le « paquet européen » des données à caractère personnel adopté le 27 avril 2016 conduit à intégrer dans ce texte des dispositions qui relèvent de champs d’application différents (règlement (UE) 2016/679 d’une part, directive (UE) 2016/680 d’autre part), tout en maintenant des dispositions qui concernent également des traitements ne relevant pas du droit de l’Union européenne (fichiers relatifs à la défense nationale par exemple). L’article 21 du présent projet de loi contient déjà certaines mesures de coordination rendues directement nécessaires par les modifications apportées à la loi n° 78-17.

Le présent projet de loi permet, à travers les titres I à III, au Parlement de débattre sur les mesures les plus importantes relatives à la transposition de la directive et aux marges de manœuvres permise par le règlement afin de laisser la représentation nationale se prononcer sur les grandes orientations en matière de protection des données.

Une fois ces choix opérés et la loi promulguée, un travail plus technique de mise en cohérence et de coordination de la loi n° 78-17 sera nécessaire, afin notamment de mieux articuler les dispositions selon le champ d’application dont elles relèvent). Il est proposé d’effectuer ce travail par ordonnance.

A cet égard, il sera rappelé que la loi n° 78-17 a fait l’objet de nombreuses modifications par ordonnance136.

Les modifications apportées par ordonnances ont ainsi par exemple permis la mise en conformité du droit national aux dispositions de la directive 2009/136/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électronique et de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

1.2. Cadre constitutionnel

Le Conseil Constitutionnel considère que le législateur peut autoriser le Gouvernement à tirer les conséquences, par ordonnances, de la loi qu’il a adoptée et assurer ainsi la coordination des dispositions législatives en vigueur avec celles de cette loi137.

Il juge également de manière constante que « si l'article 38 de la Constitution fait obligation au Gouvernement d'indiquer avec précision au Parlement, afin de justifier la demande qu'il présente, la finalité des mesures qu'il se propose de prendre par voie d'ordonnance ainsi que leur domaine d'intervention, il n'impose pas au Gouvernement de faire connaître au Parlement la teneur des ordonnances qu'il prendra en vertu de cette habilitation ; »138.

Le Conseil constitutionnel a estimé qu’est assez précise une demande autorisant le Gouvernement à transposer des directives, y compris si elles sont susceptibles d’être adoptées au cours du délai d’habilitation139.

Enfin, il sera rappelé que l’objectif d'intelligibilité et d'accessibilité de la loi que l’article d’habilitation souhaite atteindre par une réécriture par ordonnance de la loi n° 78-17 constitue un objectif de valeur constitutionnelle que le Conseil constitutionnel rattache aux articles 4, 5, 6 et 16 de la Déclaration des droits de l’homme et du citoyen de 1789140, à l’instar de la technique de codification. Le Conseil constitutionnel considère en effet que : « la codification répond à l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration de 1789 ; qu'en effet l'égalité devant la loi énoncée par l'article 6 de la Déclaration et « la garantie des droits » requise par son article 16 pourraient ne pas être effectives si les citoyens ne disposaient pas d'une connaissance suffisante des normes qui leur sont applicables ; qu'une telle connaissance est en outre nécessaire à l'exercice des droits et libertés garantis tant par l'article 4 de la Déclaration, en vertu duquel cet exercice n'a de bornes que celles déterminées par la loi, que par son article 5, aux termes duquel « tout ce qui n'est pas défendu par la loi ne peut être empêché, et nul ne peut être contraint à faire ce qu'elle n'ordonne pas »141.

2. Objectifs poursuivis et necessite de legiferer

2.1 Objectifs poursuivis

L’habilitation que le Gouvernement sollicite par le présent projet de loi répond à un objectif de qualité de la législation et de meilleure lisibilité et intelligibilité de la loi n° 78-17 grâce à une nouvelle architecture qui sera divisée en titres, dispositions communes et selon la finalité des traitements (règlement, directive, hors champ du droit de l’Union européenne).

Il s’agit également d’assurer la conformité du droit national avec le règlement et la directive, en permettant d’une part, d’abroger les dispositions redondantes dans le règlement et la loi, sauf si la mesure est commandée pour la clarté, d’autre part, de modifier les dispositions de la loi n° 78-17 ou d’autres textes qui ne seraient plus en conformité avec le nouveau droit de la protection des données.

2.2 Nécessité de legiferer

Le « paquet européen protection des données » constitue une modification importante du droit de la protection des données à caractère personnel.

Dans le respect des dispositions votées aux titres I à III du projet de loi, et sans préjudice des mesures de coordination déjà prévues par l’article 21 du projet de loi, la loi n°78-17 nécessite une réécriture afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification, à la cohérence et à l'intelligibilité de cette loi consécutive à sa mise en conformité au règlement (UE) 2016/679 et à la transposition de la directive (UE) 2016/280.

Il conviendra aussi, sur le fondement des dispositions votées par le Parlement et des dispositions du règlement directement applicable de mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel. Il s’agit également d’apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, de remédier aux éventuelles erreurs et omissions résultant de la présente loi, et d’abroger les dispositions devenues sans objet.

Enfin, l’habilitation est prévue pour l’adaptation et les extensions éventuelles à l’outre-mer des dispositions résultant de ces modifications.

3. Options

3.1. Habilitation à prendre par ordonnance des mesures législatives de réécriture de la loi n°78-17

3.1.1. Option 1 (écartée) Maintenir la loi n° 78-17 dans sa rédaction qui résultera de l’adoption du présent projet de loi 

Les titres I à III du présent projet de loi assurent un niveau de transposition et de mise en conformité minimum au regard du « paquet européen ».

Certaines dispositions, en particulier celles relatives aux définitions, aux droits des personnes concernées et des exceptions ne correspondront plus à l’état du droit en mai 2018, date d’application du « paquet européen ».

Certes, le principe de primauté du droit de l’Union européenne142 permettrait au juge national et à l’autorité de contrôle d’écarter, pour les traitements relevant du champ du règlement et de la directive, les dispositions de la loi nationale contraires aux textes européens.

Cette solution n’apparaît toutefois pas satisfaisante au regard de la prévisibilité et de l’intelligibilité de la norme.

3.1.2. Option 2 (écartée) Mettre en conformité l’ensemble de la législation nationale par ordonnance

Cette option qui avait été envisagée par amendement lors de la première lecture du projet de loi pour une République numérique a été écartée.

Le Gouvernement a en effet fait le choix de soumettre à la représentation nationale les choix permis par le droit européen s’agissant d’un domaine aussi important que la protection des données à caractère à caractère personnel

3.1.3. Option 3 (retenue) : Habilitation à réécrire la loi n° 78-17 dans le respect des dispositions des titres I à III du texte proposé

Afin d’améliorer l’intelligibilité de la loi, la réécriture de l’ensemble de la loi n° 78-17 en cohérence avec le règlement et la directive (UE) 2016/680 semble nécessaire, sans préjudice des mesures de coordination déjà prévues par le projet de loi.

A ce titre, le Conseil constitutionnel a jugé que répondait à cet objectif, l’élaboration d’un nouveau plan d’un code afin de le rendre plus accessible à ses utilisateurs, en regroupant dans des blocs homogènes des dispositions jusqu'alors éparses143.

Différents textes spécifiques doivent également être mis en cohérence, une grande partie des traitements de données à caractère personnel étant en effet prévus dans des textes sectoriels renvoyant à des dispositions de la loi n° 78-17 amenées à être modifiées ou abrogées par le règlement à compter du 25 mai 2018.

Enfin, afin d’assurer l’effectivité du droit à la protection des données à caractère personnel sur l’ensemble du territoire, il apparait nécessaire de procéder à l’adaptation et aux extensions utiles dans les collectivités d’outre-mer.

4. Analyse des impacts de la disposition envisagée

4.1 Impacts juridiques

L’article 20 du projet de loi autorise le Gouvernement, dans le respect des dispositions prévues aux titres I à III du projet de loi, à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

- pour réécrire l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification, à la cohérence et à l'intelligibilité de cette loi consécutive à sa mise en conformité au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et à la transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 telle que résultant de la présente loi ;

- pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi, et abroger les dispositions devenues sans objet ;

- À l’adaptation et aux extensions à l’outre-mer des dispositions prévues aux 1° et 2°, ainsi qu’à l’application en Nouvelle-Calédonie, à Wallis-et-Futuna en Polynésie française, à Saint-Barthélemy, à Saint-Pierre-et-Miquelon et dans les Terres australes et antarctique françaises.

4.2 Impacts sur les particuliers

La réécriture de la loi n° 78-17 doit permettre une meilleure accessibilité et donc une meilleure compréhension des droits des personnes concernées et des obligations incombant aux responsables de traitement.

4.3 Impacts sur les entreprises

A l’instar de l’impact attendu pour les particuliers, cette disposition doit permettre une meilleure accessibilité et donc une meilleure compréhension des obligations incombant aux responsables de traitement et aux sous-traitants.

5. Consultation et modalités d’application

5.1. Consultation

La Commission nationale de l’informatique et des libertés a été consultée sur cet article.

Elle le sera également sur le projet d’ordonnance prévue par l’article 20 du projet de loi.

5.2. Modalités d’application

Les textes réglementaires suivants devront être pris sur le fondement de la loi :

Articles du PJL renvoyant à des mesures réglementaires

Nature du texte réglementaire

Objet du texte réglementaire

Article 20

Ordonnance

Habilitation à améliorer l’intelligibilité de la législation applicable à la protection des données

TITRE V

DISPOSITIONS DIVERSES ET FINALES144

ARTICLE 22

MISE A DISPOSITION DE LA LISTE DES TRAITEMENTS AYANT FAIT L’OBJET DE FORMALITES PREALABLES

1. Etat de lieux et diagnostic

1.1. Etat des lieux

Depuis la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l’informatique et des libertés tient à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26 (traitements dits de « souveraineté » ne faisant pas l’objet d’une publication).

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a fait basculer ce registre des formalités préalables dans l’open data en prévoyant une mise à disposition du public, dans un format ouvert et aisément réutilisable145.

Lorsqu’un responsable de traitement dispose d’un correspondant à la protection des données, ce droit s'exerce directement auprès de ce dernier, qui doit tenir la liste des traitements mis en œuvre (article 22-III de la loi n° 78-17).

Cette disposition législative permet une mise à disposition du public, dans un format ouvert et aisément réutilisable la liste des traitements ayant fait l’objet d’une formalité auprès de la Commission nationale de l’informatique et des libertés. Ce droit de communication ne correspond pas au droit d’accès aux documents administratifs prévu par le code des relations entre le public et l’administration dès lors que la liste en question constitue, par nature, un document inachevé, puisqu’il évolue avec les nouvelles formalités préalables qui interviennent auprès de la commission et qu’il contient des données à caractère personnel (identité du responsable de traitement, adresse,), deux caractéristiques qui font obstacle au droit à l’accès des documents administratifs146.

Enfin, au titre du II de l’article 31 de la loi n° 78-17, la Commission nationale de l’informatique et des libertés tient à la disposition du public l'intégralité de ses avis, décisions ou recommandations.

1.2 Cadre conventionnel

Le règlement (UE) 2016/679 ne prévoit pas d’obligation de mise à disposition d’un tel registre puisque la logique de responsabilisation du règlement (UE) 2016/679 permet la suppression de la grande majorité des formalités préalables et que le droit d’accès apporte une réponse aux personnes concernées désireuses de connaître ces informations (articles 13 et 14).

Pour autant, le règlement ne s’oppose pas non plus à une mesure d’information du public et des personnes concernées, puisque le droit à l’information est une composante majeure de la protection des données à caractère personnel (article 15).

2. Objectifs poursuivis et necessite de legiferer

2.1 Objectifs poursuivis

Cette disposition vise à permettre la réutilisation des informations concernant les traitements ayant fait l’objet de formalités préalables actuellement mise à disposition du public par la Commission nationale de l’informatique et des libertés, lesquelles ne pourraient pas être réutilisées dans le cadre du droit commun d’accès aux documents administratifs compte tenu des données contenues dans le registre.

Cette disposition assure également une pérennité à ce document, puisque de nombreux traitements sont actuellement en cours, contribuant ainsi à l’information des personnes concernées.

2.2 Nécessité de legiferer

L’entrée en application du règlement (UE) 2016/679 et sa logique de responsabilisation, ainsi que la suppression de la majorité des formalités préalables devrait conduire à la disparition du registre des traitements actuellement mis à disposition par la Commission nationale de l’informatique et des libertés au titre de l’article 31 de la loi n° 78-17.

De nombreux traitements en cours se poursuivront après le 25 mai 2018, date d’entrée en application du règlement, il serait préjudiciable pour le droit à l’information des personnes concernées de ne plus avoir connaissance de l’ensemble des traitements mis en œuvre.

Il apparaît dès lors nécessaire de prévoir un nouveau registre des autorisations existantes, en plus des publications officielles.

Ce registre constitue un outil pertinent pour les actuels correspondants à la protection des données, il le sera également pour les futurs délégués à la protection des données. Cette disposition apparaît cohérente avec l’article 10 du projet de loi qui prévoit par ailleurs que ce délégué pourra communiquer la liste des traitements effectués par le responsable de traitement qui l’a désigné à toute personne qui lui en fait la demande.

3. Options

Option 1 (écartée) : Absence de mesure législative

L’obligation de tenue à disposition du public du registre prévu à l’article 31 aurait vocation à disparaître dès lors que le règlement ne comporte pas une telle obligation pour les autorités de contrôle. Cette liste des traitements déclarés ou autorisés aurait ainsi probablement disparue faute de maintenance.

Cette option a été écartée.

Option 2 (écartée) : Maintien du registre prévu à l’article 31 pour une durée d’un an

Il aurait pu être envisagé de maintenir ce registre dans un format ouvert et aisément réutilisable pendant une durée d’un an, afin de faire la transition entre le droit existant sous l’empire de la directive 95/46/CE et le règlement (UE) 2016/679. Cette durée semble insuffisante compte tenu du nombre de traitements recensés qui continueront à être mis en œuvre au-delà du 25 mai 2018 et même du 25 mai 2019. L’effet utile de ce registre en serait considérablement réduit.

Option 3 (retenue) : Maintien du registre prévu à l’article 31 pour une durée de dix ans

Il est proposé, que pour les traitements ayant fait l’objet de formalités antérieurement à l’entrée en vigueur de la future loi, l’obligation pour la Commission nationale de l’informatique et libertés, prévue à l’article 31 de la loi n°78-17, de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements arrêtée à cette date, pour une durée de dix ans.

Le droit à l’information des personnes concernées, mais également des usagers des services publics à connaître des traitements mis en œuvre par les administrations, sera prolongé couvrant ainsi des traitements existants.

4. Analyse des impacts de la disposition envisagée

4.1. Impacts juridiques

Cette disposition vise à maintenir en l’état l’obligation faite à la Commission nationale de l’informatique et des libertés de mettre à disposition un registre en open data la liste des traitements ayant fait l’objet de formalités préalables, prévue par la loi pour une République numérique, pour une durée de 10 ans.

4.2 Impacts sur les particuliers

La présente disposition aura un impact sur les particuliers puisqu’ils pourront continuer à consulter la liste des traitements, mis en œuvre avant le 25 mai 2018, ayant fait l’objet de formalités préalables publiques.

Il s’agit d’une mesure qui contribue à l’exercice effectif du droit à l’information, tant au titre de l’accès à l’information publique pour les traitements mis en œuvre par des administrations, qu’à l’égard des personnes concernées.

4.3 Impact sur les entreprises

Les entreprises auront la possibilité de réutiliser les informations contenues dans ce registre, dans le respect de la loi n°78-17.

5. Consultation

La Commission nationale de l’informatique et des libertés a été consultée sur cet article.

ARTICLE 23

MODIFICATION DE L’ARTICLE 230-8 DU CODE DE PROCEDURE PENALE

L’article 23 du présent projet de loi réécrit le premier alinéa de l’article 230-8 afin de tirer les conséquences de la décision 2017-670 QPC du 27 octobre 2017 par laquelle le Conseil constitutionnel a censuré cet alinéa.

1. ETAT DES LIEUX ET DIAGNOSTIC

1.1. ETAT DES LIEUX

L’article 230-8 du CPP est issu de la loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, dite « LOPPSI », qui a inséré au sein de ce code un chapitre dédié aux « fichiers de police judiciaire », dont la première section traite des « fichiers d’antécédents » (articles 230-6 à 230-9).

L’article 230-6 du CPP autorise les services de police et de gendarmerie, afin de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs, à inscrire dans un fichier les données recueillies dans deux cadres :

- d’une part, au cours des enquêtes préliminaires ou de flagrance ou des investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que les contraventions de la cinquième classe sanctionnant un trouble à la sécurité ou à la tranquillité publiques ou une atteinte aux personnes, aux biens ou à l’autorité de l’État ;

- d’autre part, au cours des procédures de recherche des causes de la mort mentionnées à l’article 74 du CPP ou de recherche des causes d’une disparition mentionnées à l’article 74-1.

En application de l’article 230-7 du CPP, trois catégories de personnes sont susceptibles de voir leurs données personnelles inscrites dans un fichier d’antécédents judiciaires :

- les personnes, sans limitation d’âge, à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient pu participer, comme auteurs ou complices, à la commission des infractions mentionnées précédemment ;

- les victimes de ces infractions ;

- les personnes faisant l’objet d’une enquête ou d’une instruction pour recherche des causes de la mort ou d’une disparition.

À l’instar de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, concernant les anciens fichiers « système de traitement des infractions constatées » (STIC) et « système judiciaire de documentation et d’exploitation » (JUDEX), la loi du 14 mars 2011 a placé les fichiers de traitement des antécédents judiciaires, destinés à remplacer ces deux fichiers, sous le contrôle du procureur de la République territorialement compétent. Elle a cependant innové en confiant également ce contrôle à un « magistrat référent »1 doté des mêmes pouvoirs pour le suivi des données contenues dans les fichiers d’antécédents judiciaires (article 230-9 CPP). Les personnes mises en cause peuvent donc s’adresser à deux magistrats différents pour obtenir la même décision.

Le texte renvoie à un décret le soin de fixer la durée de conservation des données.

Toutefois, il a prévu deux mécanismes d’effacement anticipé des données concernant les personnes mises en cause :

- un effacement de principe en cas de décision de relaxe ou d’acquittement devenue définitive, sauf si le procureur de la République ou le magistrat référent décide d’en prescrire le maintien « pour des raisons liées à la finalité du fichier » (cette formule a été modifiée par la loi du 3 juin 2016). Dans ce dernier cas, la décision doit faire l’objet d’une mention dans le fichier – ce qui exclut l’accès aux données personnelles dans le cadre d’enquêtes administratives – et la personne en est avisée ;

- une possibilité d’effacement en cas de décision de non-lieu ou de classement sans suite motivée par une insuffisance de charges (le périmètre de cette faculté a ensuite été étendu par la loi du 3 juin 2016 précitée). Contrairement au cas précédent, le principe est ici le maintien des données, assorti d’une mention au fichier (cette mention interdisant l’utilisation des données personnelles correspondantes dans le cadre d’enquêtes administratives), et l’exception l’effacement, discrétionnairement ordonné par le procureur de la République ou le magistrat référent.

Corrélativement, les personnes mises en cause dont les données ont été inscrites dans un fichier de traitement d’antécédents judiciaires se sont vues reconnaître la possibilité d’exiger une rectification en cas de requalification judiciaire. Cette rectification est de droit.

Pour les autres hypothèses d’inscription dans un fichier d’antécédents judiciaires, telles qu’une condamnation pénale ou un classement sans suite fondé sur un autre motif que l’insuffisance de charges, aucune possibilité expresse d’effacement anticipé n’avait en revanche été prévue à l’article 230-8 du CPP. Dans un avis rendu le 30 mars 20163, le Conseil d’État a cependant considéré que si l’effacement n’était pas possible dans le premier cas, il l’était malgré tout dans le second. En effet, le Conseil d’État a tout d’abord fait valoir que « les dispositions de l’article 230-8 du code de procédure pénale […] ne prévoyant de règles particulières relatives au maintien ou à l’effacement des données du traitement des antécédents judiciaires qu’en cas de décisions de relaxe, d’acquittement, de non-lieu ou de classement sans suite, le législateur doit être regardé comme n’ayant entendu ouvrir la possibilité d’effacement que dans les cas où les poursuites pénales sont, pour quelque motif que ce soit, demeurées sans suite. Hors cette hypothèse, les données ne peuvent être effacées qu’à l’issue de la durée de conservation fixée par voie réglementaire et le procureur de la République ne peut alors que refuser une demande d’effacement avant ce terme ». Puis, s’attachant au second cas, il a estimé que « Lorsque les faits à l’origine de l’enregistrement des données dont l’effacement est demandé ont fait l’objet d’un classement sans suite pour un autre motif que l’insuffisance de charges, les données sont assorties d’une mention et les dispositions précitées de l’article 230-8 du code de procédure pénale, si elles ne le prévoient pas expressément, ne font pas obstacle à ce que le procureur de la République ou le magistrat référent décide d’accueillir une demande d’effacement ».

Enfin, en application de l’article 230-10 du CPP : « Les personnels spécialement habilités des services de la police et de la gendarmerie nationales désignés à cet effet ainsi que les personnels spécialement habilités de l’État investis par la loi d’attributions de police judiciaire, notamment les agents des douanes, peuvent accéder aux informations, y compris nominatives, figurant dans les traitements de données personnelles prévus par la présente section », soit les fichiers d’antécédents judiciaires. Cet accès est également ouvert aux magistrats du parquet et aux magistrats instructeurs.

1.2. Application de l’article 230-8 dans le fichier « traitement des antécédents judiciaires »

Avant la loi du 14 mars 2011, des fichiers d’antécédents judiciaires étaient déjà utilisés par les services de police et de gendarmerie, mais leur existence était restée officieuse jusqu’à la fin des années 1990. L’officialisation intervint d’abord avec la création du STIC pour la police nationale et du JUDEX pour la gendarmerie nationale, qui donnèrent une assise réglementaire à ces fichiers de police, puis avec la loi du 18 mars 2003 précitée qui les dota d’une base légale.

À la suite de la LOPPSI, le STIC et le JUDEX ont été abrogés par le décret n° 2012-652 du 4 mai 2012 pour laisser place à un fichier commun aux services de police et de gendarmerie, dénommé « traitement des antécédents judiciaires » (TAJ), entré en vigueur le 31 décembre 2013.

Ce nouveau fichier, réglementé par les articles R. 40-23 et suivants du CPP, s’inscrit dans le cadre défini par les articles 230-6 à 230-9 du CPP. Ce fichier met ainsi en œuvre les finalités mentionnées à l’article 230-6 du CPP.

Le TAJ n’est toutefois pas seulement conçu comme un outil d’aide aux enquêtes judiciaires puisqu’il peut également être consulté dans le cadre des enquêtes administratives menées en vue de l’acquisition de la nationalité française et de la délivrance de titres pour les étrangers, de la promotion dans les ordres nationaux et de l’accès à certains emplois, notamment ceux participant à l’exercice des missions de souveraineté de l’État ou relevant du domaine de la sécurité ou de la défense.

Les informations susceptibles d’être collectées ainsi que leur durée de conservation varient en fonction des catégories d’individus en cause. Si l’on s’en tient aux seules personnes physiques mises en cause dans une affaire pénale, peuvent figurer au sein du TAJ : l’identité (nom – y compris le nom marital ou le nom d’emprunt officiel –, prénoms, surnom, sexe, date et lieu de naissance), la situation familiale, la filiation, la nationalité, les adresses postales, la profession, l’état de la personne, le signalement et toute photographie utile (article R. 40-26 CPP).

En mutualisant les anciens fichiers STIC et JUDEX, le TAJ a permis aux services de police et de gendarmerie de se doter d’une banque de données considérable puisqu’en 2015, la CNIL estimait à 9,5 millions le nombre de personnes enregistrées en qualité de « mises en cause ».

Les données concernant les individus majeurs mis en cause dans une affaire pénale sont conservées dans le TAJ pendant vingt ans, sous réserve des infractions pour lesquelles la durée est abaissée à cinq ans (tel est par exemple le cas du délit d’usage de stupéfiants) ou augmentée à quarante ans. La durée de conservation des données concernant les mineurs est de cinq ans, sous réserve des infractions pour lesquelles elle peut atteindre dix, voire vingt ans

Les victimes d’infractions ne peuvent voir leurs données conservées pendant plus de quinze ans. Quant aux données concernant les personnes faisant l’objet d’une enquête ou d’une instruction pour recherche des causes de la mort, de blessures graves ou d’une disparition, elles doivent être effacées dès lors que l’enquête a permis de retrouver la personne disparue ou d’écarter toute suspicion de crime ou délit.

L’accès aux données contenues dans le TAJ pour les besoins des enquêtes judiciaires est ouvert en totalité aux acteurs investis par la loi d’attributions de police judiciaire. Dans le cadre d’enquêtes administratives, il est réservé à des personnels investis de missions de police administrative et ne permet pas l’accès aux données à caractère personnel se rapportant à des procédures judiciaires où sont intervenues des mesures ou décisions de classement sans suite, de non-lieu, de relaxe ou d’acquittement devenues définitives, ainsi que des données relatives aux victimes.

1.3. CADRE CONSTITUTIONNEL

Le cadre légal résultant de la LOPPSI a été jugé dans son ensemble conforme à la Constitution par le Conseil constitutionnel dans sa décision n° 2011-625 DC.

Le Conseil a notamment considéré que la différence de régime de conservation des données collectées à l’occasion d’une procédure ayant donné lieu à un classement sans suite, selon qu’un tel classement était motivé par une insuffisance de charges ou un autre motif, était justifiée par l’absence d’intérêt de conserver, dans le premier cas, de telles données dans le fichier.

Le Conseil s’est par ailleurs régulièrement prononcé sur des dispositions relatives à des traitements de données à caractè