Le Conseil constitutionnel a validé la quasi-totalité du projet de loi sur les données personnelles. Un texte venant adapter notre droit à l’arrivée du règlement général sur la protection des données personnelles (RGPD). Le texte est maintenant prêt pour une publication au Journal officiel.
Le RGPD, fort de 99 articles et 173 considérants, est certes d’application directe, mais il offre plusieurs options aux États membres. Par exemple, l’âge à partir duquel un mineur peut autoriser, sans l’aval de ses parents, la collecte et le traitement de ses données par les services en ligne.
De même, l’arrivée d’un tel texte, qui vient remettre à l’heure des pans entiers de la législation, a conduit chaque pays européen à prévoir un véhicule législatif. En France, tel est l’objet du projet de loi sur les données personnelles adopté par l’Assemblée nationale et le Sénat, après passage en commission mixte paritaire.
Ce véhicule a néanmoins été trainé devant le Conseil constitutionnel par plus de 60 sénateurs LR, dans une saisine révélée par Next INpact. Les Sages ont rendu hier leur copie. C’est sans doute une satisfaction pour la CNIL, qui craignait des retards encore plus importants : la quasi-totalité des dispositions est validée.
Validation des procédures relatives à la CNIL
Les neuf Sages ont répondu point par point aux différentes critiques. Ils ont balayé celles liées aux défauts d’accessibilité et d’intelligibilité du texte, qui auraient pu être sources d’arbitraire à l’application de la loi.
Le Conseil constitutionnel ne partage pas l’analyse. À ces remarques, il oppose en particulier l’article 32 de la loi déférée qui programme une ordonnance visant justement à simplifier les règles en vigueur, en conformité avec celles de l’Union.
Un autre reproche ciblait la possibilité pour la CNIL d’être consultée par la présidence de l’Assemblée nationale ou du Sénat, les commissions compétentes ainsi qu'à la demande d'un président de groupe, afin d’ausculter la solidité d’une proposition de loi relative aux données personnelles.
Aux sénateurs qui devinaient un manque d’encadrement législatif de cette procédure, le conseil répond que ces menus détails ne relèvent pas du domaine de la loi.
Toujours dans le domaine de la procédure, il était avancé une possible atteinte au principe de séparation des fonctions de poursuite et d’instruction avec celles de jugement et de sanction. Pour les sénateurs, le fait que des agents soient placés sous l’autorité de la présidente de la CNIL tout en étant chargés de la tenue de ces séances, pourrait maltraiter le principe d’impartialité. L’argumentaire n’a pas davantage suffi à inquiéter le Conseil constitutionnel.
Validation du droit de communication de la CNIL
Un point plus solide avait été épinglé dans la saisine : le projet de loi ne prévoit pas d’exception au droit de communication de la CNIL au profit des pouvoirs publics constitutionnels (présidence de la République, Parlement ou Conseil constitutionnel…). Les sénateurs devinaient en conséquence une violation du principe de séparation des pouvoirs.
Pour la juridiction suprême, au contraire, « les opérations de contrôle de la Commission nationale de l'informatique et des libertés ne sauraient mettre en cause le fonctionnement régulier des pouvoirs publics constitutionnels », d’autant que celle-ci agit dans le cadre de la loi française et européenne.
Validation du cumul « mise en demeure et sanction »
S’agissant du volet coercitif des nouveaux pouvoirs de la CNIL, les parlementaires estiment qu'elle ne peut profiter du pouvoir de prononcer un avertissement ou une mise en demeure suivi(e) d’une sanction. Ce cumul serait incompatible avec le principe d’impartialité, mais aussi de proportionnalité des peines, voire du principe d’égalité devant la loi, puisque les critères de sélection ne sont pas précisés par le législateur.
Des remarques repoussées par le Conseil constitutionnel qui rappelle notamment qu’une mise en demeure, même publique, tout comme l’avertissement, n’ont pas la nature d’une sanction ayant le caractère de punition.
Alors certes, le RGPD prévoit la possibilité de poursuivre un même fait sur le terrain de la loi CNIL et de la loi pénale. Aucun souci, là encore: « si l'éventualité que deux procédures soient engagées peut conduire à un cumul de sanctions, le principe de proportionnalité implique qu'en tout état de cause le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ». S’agissant du principe d’égalité, même sort : « le législateur n'a institué aucune différence de traitement », considère le CC.
Invalidation partielle visant les traitements relatifs aux infractions
Un point a néanmoins été censuré. Il concerne les traitements de données à caractère personnel relatifs aux infractions, condamnations et mesures de sûreté, qui ne sont pas mis en œuvre par les autorités publiques. Le règlement autorise ces traitements dans plusieurs cas de figure, en particulier lorsqu’ils sont effectués « sous le contrôle de l’autorité publique ». Le législateur a reproduit docilement cette condition, mais sans définir « ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données » a remarqué le Conseil constitutionnel.
Or, « en raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Conclusion : les mots « sous le contrôle de l'autorité publique » ont été déclarés contraires aux textes fondateurs.
Au passage, il a inversement validé la possibilité pour des personnes morales de droit privé collaborant au service public de la justice, ou des victimes et associations représentant leurs intérêts, de mettre en œuvre un traitement de données à caractère personnel en matière pénale.
Et pour cause, le texte a été suffisamment circonscrit à ses yeux et limité au strict nécessaire. Selon lui, en conséquence, le législateur n’était pas tenu d’organiser un système d’autorisation préalable pour ces traitements.
Validation des traitements des complémentaires santé
Même traitement pour le régime spécifique accordé aux complémentaires privées d’assurance maladie. Selon les requérants, le texte laisse croire que ces entreprises pourraient avoir accès aux données issues de la facturation des soins, sans recueil du consentement.
Cette porte les autoriserait à utiliser ces données pour faire varier le prix des assurances, voire imposer tel ou tel médecin. Le Conseil constitutionnel a tenu à les rassurer : les services de prestations d’assurance maladie restent aux premières loges. Mieux, « les dispositions contestées n'ont, en tout état de cause, pas pour effet d'autoriser ces organismes à imposer à leurs assurés le choix d'un médecin ni d'interdire la prise, par ce dernier, de décisions médicales. »
Validation du double consentement entre 13 et 15 ans
Autre attaque : l’âge du consentement. Le régime français fixe à 15 ans l’âge à partir duquel un mineur peut autoriser l’exploitation de ses données personnelles. De 13 à cette limite, un site doit également recueillir le consentement des parents. Pour les requérants, cette double autorisation est contraire au RGPD.
Mauvaise analyse selon le CC : le texte européen dit qu’à ce seuil inférieur, un « traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant ». L’expression « autorisé » laisse bien entendre qu’un double consentement est possible.
Validation et encadrement des traitements algorithmiques
L’un des gros points concerne les décisions prises sur le fondement d’un traitement automatisé de données. « Il en va ainsi des décisions administratives individuelles dès lors que l'algorithme de traitement utilisé ne porte pas sur des données sensibles, que des recours administratifs sont possibles et qu'une information est délivrée sur l'usage de l'algorithme » résume la haute juridiction.
Pour les 60 sénateurs, cette mesure est contraire à la Constitution, d’autant plus « en raison de l'existence d'algorithmes « auto-apprenants » susceptibles de réviser eux-mêmes les règles qu'ils appliquent ». Ce mécanisme viendrait heurter les grands principes dans la mesure où le législateur n’a pas prévu que les règles soient conforme au droit.
Pire encore, en confiant un plein pouvoir du code, l’administration aurait finalement abandonné son pouvoir règlementaire sans que les mesures de publicité inhérentes à son activité soient prévues. Une analyse toujours pas partagée par le Conseil constitutionnel, qui, à la lecture de la loi, a expliqué ce nouveau régime.
D’un, « ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement ».
En imposant d’une certaine manière une grille de lecture, il ajoute qu’elles « n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire ».
De deux, le seul recours à un algorithme pour fonder une décision administrative repose sur trois conditions :
- Une telle information doit être portée à la connaissance de l’administré et les principales caractéristiques de l’algorithme, communiquées à sa demande. La conséquence logique est que lorsque ces caractéristiques ne peuvent être communiqués en sans porter atteinte à l'un des secrets prévus par le Code des relations entre le public et l'administration (secrets industriels, défense nationale, etc.), « aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme ».
- Il doit toujours être possible d’exercer un recours devant les juridictions administratives. « L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme ». Elle doit également transmettre au juge, à sa demande, ses caractéristiques.
- Ces traitements sont interdits dès lors qu’ils concernent des données sensibles (biométrie, génétique, prétendue origine raciale, ethnique, opinions politiques, convictions religieuses, orientations sexuelles, etc.)
De trois, enfin, « le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard ». Conséquence : « ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement ».
Validation des traitements relatifs aux infractions pénales
D’autres articles ont été attaqués, concernant spécifiquement le domaine pénal. En vain. Le Conseil constitutionnel a par exemple validé les traitements de données mis en œuvre « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
Le texte peut désormais être publié au Journal officiel, corrigé après la déclaration d’inconstitutionnalité partielle. Les dispositions déclarées conformes sont désormais inattaquables par question prioritaire de constitutionnalité, contraiement aux autres qui peuvent toujours être mises en cause devant la Cour de cassation ou le Conseil d’État.
Commentaires (9)
#1
« ces dispositions se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement »
Enfin du bon sens
#2
“Même traitement pour le régime spécifique accordé aux complémentaires privées d’assurance maladie. Selon les requérants, le texte laisse croire que ces entreprises pourraient avoir accès aux données issues de la facturation des soins, sans recueil du consentement.Cette porte les autoriserait à utiliser ces données pour faire varier le prix des assurances, voire imposer tel ou tel médecin. Le Conseil constitutionnel a tenu à les rassurer : les services de prestations d’assurance maladie restent aux premières loges. Mieux, « les dispositions contestées n’ont, en tout état de cause, pas pour effet d’autoriser ces organismes à imposer à leurs assurés le choix d’un médecin ni d’interdire la prise, par ce dernier, de décisions médicales. »”Un flou juridique en perspective?
#3
#4
“Au passage, il a inversement validé la possibilité pour des personnes morales de droit privé collaborant au service public de la justice, ou des victimes et associations représentant leurs intérêts, de mettre en œuvre un traitement de données à caractère personnel en matière pénale.” merci Marc ca m’évite de chercher ^^
Elle est très intéressante la grille de lecture donnée par le Conseil sur les algos et l’administration, car s’il ne censure pas le problème des décisions individuelles prises par une administration, il borne comment l’administration peut y recourir, notamment en imposant de pouvoir expliquer comment l’algo fonctionne (et là j’ai déjà quelques recours en tête…).
Dommage en revanche sur le traitement des mutuelles car si naturellement elles ne peuvent imposer un médecin en particulier et interdire tel acte, en revanche le montant des mutuelles va nécessairement être conditionné par les traitements des données de soins (avec du “prédictif” à la gomme etc…).
#5
#6
Bonjour,
“Validation du double consentement entre 13 et 15 ans ”
j’ai vu à quelques reprises l’âge de 13 ans apparaitre dans des articles “RGPD”, or je ne trouve pas de texte faisant référence à cet âge, la limite de 13 ans est généralement liée à la COPPA (Children’s Online Privacy Protection Act – 1998) qui est une loi américaine que l’on retrouve sur Facebook notamment, mais dans le cadre de RGPD on parle de majorité digitale (15 ans en France) en dessous de laquelle il faut un consentement parentale, mais le 13 ans je ne vois pas…
Si vous avez des infos je suis preneur :) Merci.
#7
#8
Article 8 du RGPD : « Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. - Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». la décision du Conseil constitutionnel
« Art. 7-1. – En application du 1 de l’article 8 du règlement (UE) 2016⁄679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information àcompter de l’âge de quinze ans.« Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concernéet le ou les titulaires de l’autorité parentale à l’égard de ce mineur.« Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communicationsrelatives au traitement qui le concerne. » Projet de loi adopté, relatif à la protection des données personnelles.
#9
Merci bien ! Donc 13 ans est l’âge minimum qu’un état membre peut choisir sachant qu’en France c’est 15 ans donc. Il faudrait donc s’adapter à la provenance de l’utilisateur pour fixer l’âge adéquat.