Accéder au contenu principal

Conseil constitutionnel : la loi relative à la protection des données à caractère personnel ...

Le Conseil constitutionnel valide la quasi-totalité des dispositions de la loi relative à la protection des données personnelles modifiant la loi Informatiques et Libertés du 6 janvier 1978, mettant ainsi la législation nationale en conformité avec le RGPD entré en vigueur le 25 mai 2018.

Le Conseil constitutionnel valide la quasi-totalité des dispositions de la loi relative à la protection des données personnelles modifiant la loi Informatiques et Libertés du 6 janvier 1978, mettant ainsi la législation nationale en conformité avec le RGPD entré en vigueur le 25 mai 2018.

Par sa décision n° 2018-765 DC du 12 juin 2018, le Conseil constitutionnel déclare la loi relative à la protection des données personnelles, adoptée par le Parlement le 14 mai 2018, conforme à la Constitution.
Cette loi a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d’une part, de l’adapter au règlement général sur la protection des données (RGPD) et, d’autre part, de transposer la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Une soixantaine sénateurs ont contesté, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles.
Le Conseil constitutionnel a tout d’abord écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi Informatique et Libertés du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi. Selon lui, ni les avertissements ni les mises en demeure prononcées par le président de la Commission ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.
Le Conseil a ensuite jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen l’article 20 de la loi déférée selon lequel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans » et « lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur ». A ce titre, les Sages précisent que l’emploi des termes « donné ou autorisé » dans le RGPD permet aux Etats membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, supposant alors le double consentement prévu par la loi attaquée. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.
Par ailleurs, s’agissant du recours par l’administration à des algorithmes pour l’édiction de ses décisions, le Conseil constitutionnel a notamment relevé que les dispositions contestées autorisent uniquement l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement, sans avoir pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Les Sages rappellent d’ailleurs que le recours à des algorithmes, pour fonder une décision administrative individuelle, nécessite le respect de trois conditions :- la mention explicite que la décision a été adoptée sur le fondement d’un algorithme ;- la possibilité de recours administratifs de cette décision ;- l’interdiction du recours exclusif à un algorithme si ce traitement porte sur l’une des données sensibles visées à l’article 8 de la loi du 6 janvier 1978.Le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions. Au regard de ces éléments, le Conseil estime que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme.
Cependant, le Conseil constitutionnel a censuré les mots « sous le contrôle de l’autorité publique » figurant à l’article 13 de la loi déférée, au motif que l’article 10 du RGPD n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du 27 avril 2016 que dans certaines hypothèses, notamment s’il est mis en oeuvre sous le contrôle de l’autorité publique. Le législateur s’est borné à reproduire ces termes, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni les finalités à poursuivre par la mise en œuvre d’un tel traitement. Les mots litigieux sont entachés d’incompétence négative et donc contraires à la Constitution.

– Communiqué de presse du Conseil constitutionnel du 12 juin 2018 – « Communiqué de presse – 2018-765 DC » – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Conseil constitutionnel, 12 juin 2018 (décision n° 2018-765 DC) – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Projet de loi relatif à la protection des données personnelles, n° 490, déposé le 13 décembre 2017 – Assemblée nationale, dossier législatif – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html- Constitution du 4 octobre 1958 – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/communique-de-presse.151486.html-