Décision du Conseil constitutionnel portant sur la loi relative à la protection des données personnelles

Saisi par soixante sénateurs, le Conseil constitutionnel a rendu, le 12 juin 2018, sa décision(1) sur la loi relative à la protection des données personnelles(2) qui a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d'une part, de l’adapter au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit « règlement général sur la protection des données »(3) (RGPD) et, d'autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016(4) relative au traitement des données personnelles en matière pénale.

Par cette décision, le Conseil constitutionnel a étendu sa jurisprudence sur la transposition des directives(5) aux lois ayant pour objet d’adapter le droit interne à un règlement de l'Union européenne. Ainsi, en vertu de l’article 88-1 de la Constitution(6) , il incombe au législateur, dans le cas où il intervient afin d’adapter la législation nationale à un règlement européen, de respecter ce règlement.

Le contrôle que le Conseil constitutionnel est ensuite amené à opérer sur une telle loi a la même portée et obéit aux mêmes conditions que celui qu'il exerce sur les lois de transposition d'une directive européenne : contrôle restreint, d’une part, à l’absence de méconnaissance d’une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti, lorsque la loi se borne à tirer les conséquences nécessaires de dispositions du règlement européen et, d’autre part, à l’absence d’incompatibilité manifeste entre la loi et le règlement européen(7) ; impossibilité de saisir la Cour de justice de l’Union européenne à titre préjudiciel ; possible contrôle du respect par le législateur de l'étendue de sa compétence (absence d’incompétence négative).

S’agissant des griefs dirigés à l’encontre de certaines dispositions du projet de loi, le Conseil constitutionnel juge que ni les avertissements ni les mises en demeure prononcés par le président de la Commission nationale de l’informatique et des libertés (CNIL) ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence, et, par conséquent, que les dispositions en cause ne méconnaissent pas les principes d’impartialité et de proportionnalité des peines.

De même le Conseil constitutionnel juge que les dispositions par lesquelles un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans » ou « lorsque le mineur est âgé de moins de quinze ans, (…) si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur » ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Le Conseil constitutionnel juge que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Il relève :
 
i) en premier lieu, que les dispositions contestées, qui « se bornent à autoriser l'administration à procéder à l’appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement », « n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur ». Il n’en résulte dès lors « aucun abandon de compétence du pouvoir réglementaire ».
 
ii) en second lieu, que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions - mention explicite des exigences prévues à l’article L. 311-3-1 du code des relations entre le public et l’administration(8) ; possibilité de l’exercice d’un recours administratif ; exclusion en matière de données sensibles(9). Le Conseil constitutionnel juge ainsi que :
 
a) « lorsque les principes de fonctionnement d’un algorithme ne peuvent être communiqués », sauf document administratif dont le secret est protégé(10), « aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme » ;
 
b) l’administration ne peut, en cas de recours administratif, se fonder exclusivement sur l’algorithme alors que la décision demeure, en outre, soumise au contrôle du juge qui est susceptible d’exiger de l’administration la communication des caractéristiques de l’algorithme ;
 
c) le recours à un algorithme est exclu si le traitement porte sur des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique » ainsi que « des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique » ;
 
d) enfin, relevant que « le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard », le Conseil juge que « ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement ».

En revanche, s'agissant des dispositions relatives au traitement de données à caractère personnel en matière pénale, le Conseil constitutionnel juge entachés d’incompétence négative, les mots « sous le contrôle de l'autorité publique ». Relevant que législateur s’était borné à reproduire les termes du règlement européen, « sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données », le Conseil constitutionnel juge qu’ « en raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».
 
Notes
puce note (1) Décision n° 2018-765 DC du 12 juin 2018 - Loi relative à la protection des données personnelles
puce note (2) Projet de loi relative à la protection des données personnelles
puce note (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
puce note (4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
puce note (5) Décision n° 2004-496 DC du 10 juin 2004 – Loi pour la confiance dans l’économie numérique (considérant 7 à 9)
puce note (6) Article 88-1 de la Constitution
puce note (7) Décision n° 2006-540 DC du 27 juillet 2006 - Loi relative au droit d'auteur et aux droits voisins dans la société de l'information (considérant 18 à 20)
puce note (8) Article L. 311-3-1 du code des relations entre le public et l’administration
puce note (9) Paragraphe I de l'article 8 de la loi du 6 janvier 1978
puce note (10) 2° de l'article L. 311-5 du code des relations entre le public et l'administration
 
 
Informations légales | Données personnelles