Le 12 juin dernier, le Conseil Constitutionnel a rendu sa décision sur la loi modifiant la loi Informatique et Libertés de 1978 afin d’adapter en droit français au RGPD. Il avait été saisi le 16 mai dernier par plus de soixante sénateurs.
Le Conseil Constitutionnel la valide dans son ensemble, en se contentant d’apporter quelques précisions quant à son interprétation et en ne censurant que quelques termes de son article 13.
- Les sénateurs faisaient notamment valoir que donner à la CNIL le pouvoir de prendre des mesures en cas de manquement aux obligations découlant du RGPD et de la loi déférée serait contraire au principe d’impartialité et au principe de proportionnalité des peines.
Le Conseil a écarté cet argument, jugeant que « ni les avertissements, ni les mises en demeure prononcées par le président de la Commission (Informatique et Libertés) ne constituent des sanctions ayant le caractère de punition ».
- Les Sénateurs s’inquiétaient également du projet d’étendre les cas de figure où, par exception, «une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significatives peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel ».
Le Conseil a minimisé cette inquiétude, faisant valoir que ces dispositions « n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur », de sorte qu’il « n’en résulte aucun abandon de compétence du pouvoir règlementaire ».
Les Sages ont cependant précisé que comme la personne concernée par le traitement est en droit d’obtenir des informations sur la façon dont il s’est déroulé, il incombe au responsable de traitement de garder la maîtrise du traitement algorithmique qui a eu lieu. Dès lors, des algorithmes dits « auto-apprenant », qui sont « susceptible de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement », ne peuvent être utilisés comme fondement exclusif d’un décision administrative individuelle.
- En revanche, concernant l’article 13 de la loi déférée sur le régime des traitements de données à caractère personnel en matière pénale ne relevant pas du RGPD mais de la directive du 27 avril 2016 dite « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données », le Conseil a décidé de censurer le fait que la mise en œuvre de ces traitements s’effectuerait « sous le contrôle de l’autorité publique ».
Selon lui, de par l’ampleur de ces traitements et de par la nature des informations traitées, « ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Dès lors, les termes « sous le contrôle de l’autorité publique » sont « entachés d’incompétence négative et donc contraires à la Constitution ».
La loi ainsi validée entrera en vigueur à compter de sa promulgation par le Président de la République et de sa publication au JOFR, ce qui n’a pas été fait à ce jour.
Julien Andrieu pour ATurquoise
This post is also available in: Anglais
Comments are closed.