Article 7 (Données sensibles)

< Délibération CNIL >

L’article 7 modifie la rédaction actuelle de l’article 8 de la loi du 6 janvier 1978 en vue de la mettre en cohérence avec les dispositions du paragraphe 1 de l’article 9 de Règlement. Il reprend donc le principe d’interdiction de traitement des données sensibles et élargit le champ de ces données par rapport à la rédaction actuelle de l’article 8 (ajout des données biométriques, génétiques et des données concernant l’orientation sexuelle des personnes).

- La Commission entend d’abord souligner des difficultés tenant à l’articulation entre champs du Règlement et de la Directive. Cet article du projet de loi figure en effet dans les dispositions communes à l’ensemble des traitements, y compris ceux relevant de ces deux instruments, soumis à la loi (titre 1er).

Or, la Directive ne retient pas les mêmes principes pour le traitement des données sensibles. En effet, si l’article 10 de la Directive a un champ d’application identique en ce qui concerne les données, il prévoit que le traitement de données sensibles est
autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement : / a) lorsqu'ils sont autorisés par le droit de l'Union ou le droit d'un État membre ; / b) pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique; ou / c) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée .

Dès lors, la Commission considère que la rédaction proposée n’est pas conforme à la Directive. Si, pour les traitements relevant du Règlement, il est fait application directe de l’article 9 dudit texte pour le principe d’interdiction de traitement de ces données, il est nécessaire de prévoir une disposition pour transposer les principes énoncés à l’article 10 de la Directive et de circonscrire l’adoption de dispositions nationales destinées à mettre en œuvre le Règlement au champ de cet instrument.

Par ailleurs, se pose la question du traitement de données sensibles qui sont hors du champ d’application du Règlement et de la Directive (par exemple, pour les traitements intéressant la défense et la sûreté de l’Etat). La Commission considère qu’un régime identique à celui prévu par la Directive pour ce type de traitements serait cohérent et plus protecteur.

- Par ailleurs, du fait que les données biométriques sont des données sensibles, leur traitement ne peut être autorisé que dans les conditions mentionnées à l’article 9.2 du Règlement. Ainsi un traitement de données biométriques peut notamment être justifié par un motif d’intérêt public important (g) ou par le fait que la personne concernée a donné son consentement explicite (a). Ils peuvent également être mis en œuvre si le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée (b).

Au regard de ces dispositions, le seul intérêt légitime du responsable de traitement ne saurait désormais servir de fondement à la mise en œuvre d’un tel traitement.

Or, la Commission relève que les employeurs peuvent, en l’état du droit, mettre en place des dispositifs biométriques concernant leurs employés après autorisation de la Commission, sur le seul fondement de leur intérêt légitime. Compte tenu du nombre important de demandes, la Commission a adopté plusieurs autorisations uniques en la matière, relatives à l’usage de la biométrie pour le contrôle d’accès aux lieux de travail, sous réserve de la mise en œuvre de garanties de protection des données suffisantes.

Dans la mesure où le Règlement ne rend plus possible le recours au seul intérêt légitime, la Commission souligne que la poursuite de ces traitements au-delà du 25 mai 2018 n’apparaît pas sécurisée.

En effet, il n’est tout d’abord pas évident, dans tous les cas de figure, de se fonder sur la base légale du consentement des personnes dans le contexte particulier d’un traitement mis en œuvre par un employeur sur les données de ses employés. Par ailleurs, le motif tiré des obligations et de l’exercice des droits propres au responsable du traitement […] en matière de droit du travail suppose, d’une part, la démonstration de la nécessité du traitement des données biométriques et requiert, d’autre part, l’existence dans le droit de l’Union ou dans le droit national d’une base légale autorisant un tel traitement de données à caractère personnel. Or, l’existence d’une telle base n’apparaît pas établie à ce stade de l’examen du texte.

Par suite, la Commission appelle l’attention du Gouvernent et du législateur sur la nécessité, s’il est souhaité de permettre la poursuite de ces traitements, de prévoir dès à présent, a minima , une base légale appropriée. Celle-ci pourrait soit figurer de manière pérenne dans le projet de loi lui-même, soit prendre la forme, à court terme, d’une disposition transitoire permettant, en des termes suffisamment spécifiques, la poursuite des traitements compatibles avec l’article 9.2.(b) du Règlement jusqu’au passage en revue, dans un délai fixé à l’avance, de l’ensemble de la législation interne.

Dans cette optique, les décisions d’autorisation adoptées ces dernières années par la Commission pourraient offrir un éclairage au législateur et au pouvoir réglementaire, y compris dans le cadre de règlements types, quant aux garanties à mettre en œuvre pour s’assurer de l’intégration des principes de protection des données personnelles par défaut et dès la conception des dispositifs biométriques.

< Délibération CNIL >