I. Observations d’ordre général

< Délibération CNIL >

Sur le texte pris dans son ensemble, la Commission entend souligner deux apports substantiels du projet de loi soumis à son examen.

En premier lieu, la Commission souligne que, sur le fond, le projet qui lui est soumis remplit globalement l’objectif principal qui lui était assigné, à savoir adapter le droit français au nouveau cadre européen pour en assurer la pleine effectivité pour les citoyens et les opérateurs.

Il donne ainsi corps au nouveau Règlement, qui constitue une avancée considérable pour la protection des données à caractère personnel dans l’espace européen. Sous réserve des omissions relevées et des clarifications ou compléments proposés ci-après dans le cadre de l’examen article par article, le projet de loi dote en effet le régulateur des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs. Il organise en outre l’articulation nécessaire des procédures internes aux nouveaux mécanismes européens de coopération.

En second lieu, la Commission se félicite de ce que le projet de loi mobilise de manière judicieuse les marges de manœuvres ouvertes aux Etats par le Règlement et soit ainsi en pleine cohérence avec la logique sous-tendant la démarche européenne.

Le Règlement comporte en effet plus d’une cinquantaine de renvois au droit national, permettant aux Etats membres de maintenir des formalités préalables à certains traitements, de poser des règles de fond propres ou de moduler les garanties offertes aux personnes. Il appartient au législateur national de se prononcer sur chacun de ces points, en décidant si et dans quelle mesure il souhaite faire usage de ces marges.

Si, sur certains points, la Commission pourra exprimer une appréciation divergente et proposera de positionner différemment le curseur, elle tient à souligner que, de manière globale, le projet de loi lui semble faire un usage raisonnable de ces marges, ne conservant une spécificité nationale que par exception, dans les cas qui le justifient absolument. Il s’inscrit ainsi pleinement dans la logique du Règlement, cadre unique et harmonisé pour l’ensemble des citoyens et opérateurs de l’espace européen.

Tout en soulignant ces deux apports du texte soumis à son examen, la Commission se doit d’attirer l’attention sur trois limites notables.

En premier lieu, la Commission regrette le calendrier retenu pour l’adaptation du droit français. Si elle a été associée en amont, par le ministère de la justice, aux réflexions sur cette entreprise législative, elle déplore d’avoir été saisie aussi tardivement du projet et de ne pas avoir disposé du délai nécessaire à l’examen, dans des conditions acceptables, d’un texte d’une telle portée.

Surtout, la Commission souligne le risque réel de non-respect des délais de mise en œuvre du paquet européen , qui doit impérativement être en application à compter du 6 mai 2018 pour ce qui concerne la Directive et du 25 mai 2018 pour ce qui concerne le Règlement.

Tenir ce calendrier n’est pas seulement un enjeu juridique : il s’agit d’un enjeu opérationnel majeur, la mise en œuvre effective des mécanismes de coopération prévus par le Règlement pouvant être compromise en l’absence de textes nécessaires, ainsi que d’un enjeu de crédibilité politique tant la France, par la voix notamment de la Commission a, aux niveaux national et européen, promu ces nouveaux instruments.

Le respect de ces délais suppose l’adoption et l’entrée en vigueur impératives, avant les dates indiquées ci-dessus, non seulement du présent projet de loi, mais aussi des textes subséquents devant venir le compléter au niveau réglementaire, à savoir le(s) nécessaire(s) décret(s) d’application et une modification du règlement intérieur de la Commission.

En deuxième lieu, la Commission dénonce le défaut de lisibilité de l’état du droit résultant du projet de loi.

Cette complexité est pour partie inévitable en raison du choix fait par le législateur européen lui-même d’adopter un Règlement et une Directive. De ce choix découle pour les citoyens la nécessité de combiner la lecture du Règlement, qui ne nécessite formellement aucune mesure de transposition en droit interne et ne peut d’ailleurs être recopié par des textes nationaux, et d’un certain nombre de dispositions nationales, prises au titre des marges de manœuvre du Règlement, pour la transposition de la Directive ou pour les traitements situés en dehors du champ de l’un comme de l’autre. Cette combinaison d’un Règlement et de textes nationaux remplacera le corpus unique que constitue aujourd’hui la loi de 1978.

La Commission constate cependant que ce premier degré de complexité, inévitable, se trouve aggravé par les choix légistiques retenus, à ce stade, au niveau interne. En effet, le Gouvernement a fait le choix de n’opérer que les modifications strictement indispensables, sur le fond, à la mise en œuvre du Règlement et de la Directive, et de renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure, conformément à l’habilitation prévue à l’article 23 du projet de loi.

Or, dans l’attente de cette ordonnance, ce choix induit une double difficulté de lecture.

D’une part, la loi pourra induire en erreur le lecteur sur la portée de ses droits et obligations. En effet, des dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du Règlement (par exemple sur le consentement, la base légale des traitements ou la portée des droits reconnus aux personnes), tandis que la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations posés par le Règlement.

D’autre part, la loi du 6 janvier 1978 ne donnera pas de grille de lecture permettant aux citoyens et aux responsables de traitement de comprendre les droits et obligations différenciés qui existeront demain dans les trois grands compartiments de la protection des données que seront le champ du Règlement (à savoir les fichiers civils et commerciaux , mais également certains fichiers relevant de l’administration), celui de la Directive (traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites) et, enfin, ce qui ne relève pas du champ du droit de l’Union ou relève du seul chapitre 2 du titre V du traité sur l’Union européenne (traitements intéressant la sûreté de l’Etat et la défense).

Un dernier enjeu de lisibilité tient aux difficultés de frontière, que le projet de loi ne saurait d’ailleurs résoudre à lui seul, qui se poseront entre les différents régimes applicables aux traitements de données selon leurs finalités, parfois multiples, certains traitements pouvant relever du Règlement et de la Directive, d’autres relevant à la fois du champ de la Directive et du hors-champ du droit de l’Union.

Cet enjeu de lisibilité dépasse la seule structuration technique du texte. Il conditionne la pleine effectivité des droits des citoyens et des obligations des différents acteurs. Le choix fait est d’autant plus dommageable que la loi du 6 janvier 1978 constitue, par son objet et par son rayonnement aux niveaux européen et international, l’un des grands marqueurs du droit français, connu et pris comme standard.

La Commission appelle dès lors de ses vœux l’adoption des plus rapprochées de l’ordonnance annoncée, ainsi qu’une réécriture du droit français conforme aux principes ci-dessus, de manière à ce que la loi du 6 janvier 1978 puisse donner un mode d’emploi clair, ce qui est démocratiquement l’une de ses vocations.

En troisième et dernier lieu, la Commission regrette que, compte tenu notamment du calendrier retenu, le projet de loi constitue à certains égards une occasion manquée de procéder à un réexamen global du droit de la protection des données en France, de compléter le dispositif législatif sur certains points et d’approfondir les droits des personnes pour les traitements entrant dans le champ de la Directive ainsi que pour ceux situés en dehors du champ du droit de l’Union.

Autant il est nécessaire, dans le champ du Règlement, de s’inscrire, compte tenu de la nature de ce texte, dans la logique d’harmonisation de celui-ci, autant le Gouvernement pouvait s’interroger, en dehors du champ du Règlement, sur l’opportunité de retenir un niveau d’ambition supérieur au socle minimal que constitue la Directive.

Dans le champ de la Directive en particulier, si la Commission se félicite du maintien d’une autorisation de mise en œuvre de tels traitements par acte réglementaire pris après son avis publié et motivé, elle relève que le projet de loi n’apporte aucune garantie supérieure à ce que prévoit la Directive, alors que même le droit national et sa pratique ont permis la mise en œuvre de telles garanties, qu’il conviendrait de faire figurer expressément dans ces dispositions spéciales. S’agissant des traitements ne relevant pas du champ du droit de l’Union, la Commission estime regrettable que les garanties prévues par la Directive précitée ne leur soient pas rendues applicables, alors même qu’elles permettraient d’accroître le niveau de protection des données traitées notamment dans le cadre de la sûreté de l’Etat sans affecter pour autant l’exercice des missions des autorités compétentes. La Commission estime que le législateur pourrait utilement intervenir sur ces points.

< Délibération CNIL >