La loi relative à la protection des données personnelles validée

Dans sa décision n° 2018-765 DC du 12 juin, le Conseil constitutionnel a déclaré la loi relative à la protection des données personnelles conforme à la Constitution (1).

Rappelons que loi relative à la protection des données personnelles, définitivement adoptée par le Parlement le 14 mai dernier, a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin,

• d’une part, de l’adapter au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD/GDPR)
• d’autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. 

Comme l’indique le communiqué de presse du Conseil constitutionnel sur la décision n° 2018-765 DC, les sénateurs qui avaient déféré le texte au Conseil constitutionnel, contestaient, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles (2).

Décision n° 2018-765 DC : l’impartialité et la proportionnalité des peines

Le Conseil a notamment écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.

Le Sages de la rue de Montpensier ont notamment jugé que ni les avertissements, ni les mises en demeure prononcées par le président de Cnil ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.

Décision n° 2018-765 DC : le consentement des mineurs

Le Conseil constitutionnel a jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen, résultant de l’article 88-1 de la Constitution, l’article 20 de la loi déférée qui introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel «en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans».

Selon le deuxième alinéa de cet article : «Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur».

Il a relevé à cet égard qu’il résulte de l’emploi par le législateur européen des termes «donné ou autorisé» que le règlement permet aux États membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Décision n° 2018-765 DC : le recours par l’administration à des algorithmes

Le Conseil constitutionnel a également jugé conformes à la Constitution les dispositions de la loi déférée modifiant l’article 10 de la loi du 6 janvier 1978 afin d’étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Amené à se prononcer pour la première fois sur le recours par l’administration à des algorithmes pour l’édiction de ses décisions, il a notamment relevé que les dispositions que contestait le recours se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement. Elles n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Il n’en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

Il s’est également fondé sur ce que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions.

• d’une part, conformément à l’article L. 311-3 du Code des relations entre le public et l’administration, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte qu’une décision individuelle ne saurait être prise à l’aide d’un algorithme dont les principes de fonctionnement ne pourraient être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration ;
• d’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième de ce code. L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l’algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d’exiger de l’administration la communication de l’algorithme.
• enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l’une des données sensibles mentionnées au paragraphe I de l’article 8 de la loi du 6 janvier 1978, c’est-à-dire des données à caractère personnel «qui révèlent la prétendue origine raciale ou l’origine ethnique», les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Enfin, le Conseil constitutionnel a relevé que le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme «auto-apprenant»).

Par l’ensemble des motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme. 

Décision n° 2018-765 DC : le traitement de données à caractère personnel en matière pénale

En revanche, le Conseil constitutionnel a censuré les mots «sous le contrôle de l’autorité publique» figurant à l’article 13 de la loi déférée, modifiant l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.

Il a en effet jugé que l’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements «sous le contrôle de l’autorité publique». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il en résulte que les mots «sous le contrôle de l’autorité publique ou» sont entachés d’incompétence négative et donc contraires à la Constitution.

Eric Bonnet .
Directeur de la communication juridique

[1] Décision n° 2018-765 DC du 12 juin 2018 sur la loi relative à la protection des données personnelles (Loi n° 2018-493 du 20 juin 2018, JORF du 21 juin 2018).

[2] Dans sa décision, avant de se prononcer sur les critiques adressées aux dispositions de la loi, le Conseil constitutionnel apporte d’utiles précisions sur la nature du contrôle qu’il opère sur des dispositions législatives tirant des conséquences du droit de l’Union européenne, lorsque celui-ci procède d’un règlement. Nous renvoyons sur ce point nos lecteurs à la décision elle-même ainsi qu’au communiqué de presse du Conseil constitutionnel.