36.

< Avis du Conseil d'État >

Le Gouvernement entend user, au profit des traitements mis en œuvre par l’Etat, de la faculté que lui reconnaît l'article 23 du règlement (UE) 2016/679 de déroger à la plupart des droits garantis au profit des destinataires d'un traitement pour des motifs d'intérêt général largement définis, à condition d'entourer cette dérogation des garanties nécessaires la préservation des droits et libertés fondamentales.

Mais la simple reproduction, au demeurant incomplète, du dispositif de l'article 23 du règlement de l’Union apparaît au Conseil d’Etat comme étant à la fois inutile et incertaine. Elle risque surtout d’entacher d'incompétence négative l’intervention du législateur en renvoyant trop généralement à des dispositions réglementaires pour définir les droits reconnus aux personnes concernées.

Le Conseil d'Etat écarte pour ces motifs les dispositions envisagées, mais il admet en revanche un premier cas de mise en œuvre de la faculté de l'article 23 : pour les seuls traitements répondant à une obligation légale, et aux seules fins de protection de la sécurité nationale, de la défense nationale ou de la sécurité publique, le seul droit à être informé des violations d'un traitement de données personnelles, régi par l'article 34 du règlement, peut être restreint par l’acte créant ce traitement. L’effet concret de ces dispositions est de permettre aux responsables du traitement de ne pas prévenir la personne dont les données ont fait l'objet d'une violation par un tiers dans des conditions mettant en cause, à raison de données ou à raison de l'emploi de la personne (par exemple s'il s'agit d'un agent des forces de sécurité ou d’un militaire), la sécurité ou la défense, afin de mieux assurer la lutte contre les auteurs de ces violations. L'intervention du législateur pour aménager une garantie à l'exercice des libertés publiques est justifiée. Elle est suffisamment précise pour permettre un contrôle de l'adéquation de la restriction aux finalités poursuivies.

< Avis du Conseil d'État >