RGPD : les données pénales épinglées par le Conseil constitutionnel
Le Conseil constitutionnel a peu à redire sur la transposition du RGPD. Saisis sur dix articles, les Sages n’ont épinglé que le traitement des données pénales.
Saisis à ce sujet le mois dernier par 60 sénateurs, les Sages ont rendu leur décision ce 12 juin 2018.
Ils ont, en premier lieu, écarté toute inintelligibilité de la loi informatique et libertés modifiée. Ce quand bien même le législateur a fait le choix d’y introduire certaines dispositions « formellement différentes » de celles inscrites dans le règlement européen.
Sur les dix articles que contestaient les requérants, le Conseil constitutionnel a décelé, en tout en pour tout, une irrégularité. Elle entache la nouvelle version de l’article 9 de la loi informatique et libertés.
Ledit article fixe le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Il s’applique lorsque les traitements en question ne sont pas mis en œuvre par les autorités compétentes à des fins pénales.
Y figure une liste de personnes habilitées à réaliser de tels traitements… qui peuvent aussi être effectués « sous le contrôle de l’autorité publique ».
Les sénateurs ont considéré que le législateur n’avait pas suffisamment précisé les catégories de personnes autorisées. Et que le texte n’apportait par ailleurs pas les garanties nécessaires à la protection du droit au respect de la vie privée, à défaut notamment de prévoir une autorisation administrative préalable.
Les Sages ont reconnu que le législateur s’était « borné » à reproduire les termes du RGPD. Ils ont surtout estimé qu’en raison de l’ampleur potentielle des traitements et de la nature des informations concernées, les garanties fondamentales pour l’exercice des libertés publiques étaient affectées.
Sur la question de l’autorisation administrative, le Conseil constitutionnel a trouvé suffisamment de garde-fous, entre nécessité, proportionnalité, intérêt général et avis motivé de la Cnil.
O. K. Cnil
Cette dernière a été citée à de nombreuses reprises par les requérants, qui n’ont pas obtenu satisfaction.
L’article 11 de la loi informatique et libertés était pointé du doigt. Il pose les conditions de consultation de la commission sur toute proposition de loi relative à la protection ou au traitement de données à caractère personnel.
Les sénateurs en dénonçaient le manque de clarté, que ce soit sur les conditions de dépôt de saisines ou le délai de réponse de la Cnil.
Ils visaient aussi les articles 17 et 18 de la même loi, relatifs à la procédure de sanction à l’encontre des responsables de traitements ou de leurs sous-traitants. Et plus particulièrement la circonstance que les agents des services chargés des sanctions soient placés sous l’autorité du président de la commission.
Le principe d’impartialité n’est pas méconnu dans ce cadre, affirme le Conseil constitutionnel. Par ailleurs, les dispositions contestées ne modifient pas les règles relatives à la séparation, au sein de la Cnil, entre, d’une part, les fonctions de poursuite et d’instruction et, d’autre part, celles de jugement et de sanction.
Les Sages ont également rejeté la saisine sur l’article 45 de la loi informatique et libertés, où sont prévues les mesures susceptibles d’être prises par la Cnil en cas de manquements.
Ils soutiennent que la publication d’une mise en demeure ne lui confère pas la nature d’une sanction ayant le caractère d’une punition. La question d’une éventuelle infraction au principe d’impartialité – au sens où une seule autorité instruit et prononce des mises en demeure constituant des sanctions – ne se pose donc pas.
Algorithmes : des « garanties appropriées »
Les arguments des sénateurs n’ont pas non plus fait mouche sur le volet des décisions administratives individuelles exclusivement fondées sur des algorithmes (article 10).
Ils estimaient que l’administration renonçait là à l’exercice de son pouvoir d’appréciation des situations individuelles. Non sans souligner qu’avec les algorithmes « auto-apprenants », elle ne pouvait connaître les règles sur le fondement desquelles les décisions étaient prises.
Pour le Conseil constitutionnel, la loi ne fait qu’autoriser l’exploitation d’un algorithme dont les règles et critères sont définis à l’avance par le responsable du traitement. Elle offre plus globalement des garanties appropriées pour la sauvegarde des droits et libertés des personnes ».
Sur les traitements de données de santé (article 16), les sénateurs s’inquiétaient de la possibilité offerte aux organismes d’assurance maladie complémentaires d’avoir accès, sans consentement préalable, à des données stratégiques. Au sens où elle pourraient être utilisée pour « fixer le prix des assurances » ou « à des fins de choix thérapeutique ou médical ».
Les Sages ont conclu que les traitements concernés n’étaient pas exemptés du respect des autres dispositions du RGPD et de la loi informatique et libertés.