43.

< Avis du Conseil d'État >

Le Conseil d’Etat constate que les traitements de données à caractère personnel entrant dans le champ de la directive (UE) 2016/680 sont, jusqu’à présent, soit créés après autorisation de la CNIL, soit, pour ceux mis en œuvre pour le compte de l’Etat, créés par un arrêté ministériel ou un décret en Conseil d’Etat après avis de la CNIL. Le troisième paragraphe de l’article 1er de la directive prévoyant que les Etats-membres peuvent apporter des garanties plus étendues pour la protection des droits et libertés des personnes concernées et son considérant 15 indiquant que l’application de la directive ne devrait pas conduire à un affaiblissement des garanties déjà offertes par la législation des Etats-membres, le Conseil d’Etat estime qu’il est possible, sans procéder à une « sur-transposition », de maintenir la création des traitements de données entrant dans le champ de la directive et mis en œuvre pour le compte de l’Etat, par un arrêté ministériel ou un décret en Conseil d’Etat après avis de la CNIL, conformément à l’article 26 de la loi du 6 janvier 1978. Si, conformément à la directive, il est possible de ne prévoir désormais aucune formalité préalable à la création des traitements qui ne sont pas mis en œuvre pour le compte de l’Etat, le Conseil d’Etat considère toutefois qu’il résulte de l’article 27 de la directive, qui impose une analyse d’impact préalable lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, que peut être prévue au nouvel article 70-4 de la loi du 6 janvier 1978, en cas de traitement de données sensibles au sens de l’article 8 de cette loi, la réalisation systématique d’une telle analyse d’impact. Le Conseil d’Etat estime, en outre, que, pour les traitements qui ne sont pas mis en œuvre pour le compte de l’Etat, cette dernière hypothèse devrait logiquement conduire à une consultation préalable de la CNIL sur le fondement du 1° du paragraphe 1 de l’article 28 de la directive. Dès lors, il semble au Conseil d’Etat qu’une telle transposition de la directive ne conduira pas à une diminution des garanties existant actuellement pour les traitements de données entrant dans son champ.

< Avis du Conseil d'État >