Décision du Conseil constitutionnel portant sur la loi relative à la protection des données personnelles

Paru dans le N°254 - 21 juin 2018
Institutions

Saisi par soixante sénateurs, le Conseil constitutionnel a rendu, le 12 juin 2018, sa décision(1) sur la loi relative à la protection des données personnelles(2) qui a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d'une part, de l’adapter au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit « règlement général sur la protection des données »(3) (RGPD) et, d'autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016(4) relative au traitement des données personnelles en matière pénale.

Par cette décision, le Conseil constitutionnel a étendu sa jurisprudence sur la transposition des directives(5) aux lois ayant pour objet d’adapter le droit interne à un règlement de l'Union européenne. Ainsi, en vertu de l’article 88-1 de la Constitution(6) , il incombe au législateur, dans le cas où il intervient afin d’adapter la législation nationale à un règlement européen, de respecter ce règlement.

Le contrôle que le Conseil constitutionnel est ensuite amené à opérer sur une telle loi a la même portée et obéit aux mêmes conditions que celui qu'il exerce sur les lois de transposition d'une directive européenne : contrôle restreint, d’une part, à l’absence de méconnaissance d’une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti, lorsque la loi se borne à tirer les conséquences nécessaires de dispositions du règlement européen et, d’autre part, à l’absence d’incompatibilité manifeste entre la loi et le règlement européen(7) ; impossibilité de saisir la Cour de justice de l’Union européenne à titre préjudiciel ; possible contrôle du respect par le législateur de l'étendue de sa compétence (absence d’incompétence négative).

S’agissant des griefs dirigés à l’encontre de certaines dispositions du projet de loi, le Conseil constitutionnel juge que ni les avertissements ni les mises en demeure prononcés par le président de la Commission nationale de l’informatique et des libertés (CNIL) ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence, et, par conséquent, que les dispositions en cause ne méconnaissent pas les principes d’impartialité et de proportionnalité des peines.

De même le Conseil constitutionnel juge que les dispositions par lesquelles un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans » ou « lorsque le mineur est âgé de moins de quinze ans, (…) si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur » ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Le Conseil constitutionnel juge que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Il relève :
 
i) en premier lieu, que les dispositions contestées, qui « se bornent à autoriser l'administration à procéder à l’appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement », « n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur ». Il n’en résulte dès lors « aucun abandon de compétence du pouvoir réglementaire ».
 
ii) en second lieu, que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions - mention explicite des exigences prévues à l’article L. 311-3-1 du code des relations entre le public et l’administration(8) ; possibilité de l’exercice d’un recours administratif ; exclusion en matière de données sensibles(9). Le Conseil constitutionnel juge ainsi que :
 
a) « lorsque les principes de fonctionnement d’un algorithme ne peuvent être communiqués », sauf document administratif dont le secret est protégé(10), « aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme » ;
 
b) l’administration ne peut, en cas de recours administratif, se fonder exclusivement sur l’algorithme alors que la décision demeure, en outre, soumise au contrôle du juge qui est susceptible d’exiger de l’administration la communication des caractéristiques de l’algorithme ;
 
c) le recours à un algorithme est exclu si le traitement porte sur des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique » ainsi que « des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique » ;
 
d) enfin, relevant que « le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard », le Conseil juge que « ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement ».

En revanche, s'agissant des dispositions relatives au traitement de données à caractère personnel en matière pénale, le Conseil constitutionnel juge entachés d’incompétence négative, les mots « sous le contrôle de l'autorité publique ». Relevant que législateur s’était borné à reproduire les termes du règlement européen, « sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données », le Conseil constitutionnel juge qu’ « en raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».

Informations légales | Données personnelles