Conditions de consultation de la CNIL sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel

Par sa décision du 20 juin 2018(1), le Conseil d’État s’est prononcé sur la portée des dispositions du a) du 4° de l’article 11 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés(2) qui prévoit, dans sa rédaction alors en vigueur, que la Commission nationale de l’informatique et des libertés (CNIL) « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données ».

Par cette décision, le Conseil d’État revient sur une grille de lecture différente de celle qu’avait alors retenue l’Assemblée générale du Conseil d’État dans son avis du 15 décembre 2016(3) pour laquelle tout projet de loi ou de décret qui institue ou précise des droits ou obligations nouveaux en matière de protection de données personnelles ou de création de traitements relatifs à ces données, au-delà ou en-deçà de ceux garantis par la loi du 6 janvier 1978, devait être soumis préalablement à l’avis de la CNIL. Le Conseil d’État distinguait alors deux hypothèses : d’une part, s’il était prévu la création d’un traitement, au sens de l’article 2 de la loi n° 78-17 du 6 janvier 1978, sans instituer de règles dérogatoires à cette loi ou à ses décrets d’application, la CNIL n’avait pas à être consultée, dès lors qu’elle était amenée à se prononcer à un stade ultérieur (selon les cas, lors de la déclaration ou de l’autorisation de la création du traitement) ; d’autre part, s’il était institué des règles dérogatoires (nouvelle règle de compétence, de procédure ou de fond modifiant les conditions de mise en œuvre d’un traitement) s’écartant de celles posées par la loi précitée ou ses décrets d’application, la CNIL devait alors être consultée.

Cependant, selon la décision du 20 juin 2018, il résulte des dispositions de la loi du 6 janvier 1978 que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret comportant des dispositions « soit qui portent sur le cadre général de la protection des droits et libertés des personnes s’agissant de leurs données à caractère personnel ou du traitement de ces données », « soit qui déterminent, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement ou une catégorie de traitements de données à caractère personnel ». En retenant des critères différents, la formation contentieuse du Conseil d’État élargit ainsi le champ de l’obligation de consultation de la CNIL.

Faisant par conséquent application de cette grille de lecture au cas d’espèce, le Conseil d’État juge que, si les dispositions attaquées prévoyant seulement que des déclarations comprenant des données personnelles sont transmises par voie électronique impliquent la mise en œuvre d’un traitement automatisé de données à caractère personnel, ces dispositions ne sauraient être regardées par elles-mêmes comme fixant les conditions de création ou de mise en œuvre d’un traitement de données à caractère personnel. Dès lors, le Conseil d’État juge que le Premier ministre n’était pas tenu de consulter la CNIL avant l’adoption des dispositions litigieuses.
 
Notes
puce note (1) CE, chr., 20 juin 2018, Syndication national des vétérinaires d’exercice libéral et autre, n° 408185, mentionné au Lebon
puce note (2) Article 11 de la loi n° 78-17 di 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
puce note (3) cf. Rapport public 2017 du CE, p. 321 (pdf)
 
 
Informations légales | Données personnelles