Article 9 (Formalités et NIR)

< Délibération CNIL >

Le chapitre II du projet de loi, qui contient un unique article 9, vise à simplifier les formalités préalables à la mise en œuvre des traitements. A ce titre, il supprime l’ensemble des formalités préalables jusqu’ici imposées par la loi, à savoir l’obligation de déclaration ou d’autorisation auprès de la Commission, à l’exception des traitements dans le domaine de la santé, visés à l’article 14 du présent projet de loi, et des traitements relevant de l’article 26 de la loi en vigueur. Ces formalités seront remplacées, conformément au Règlement, par l’obligation, pour le responsable, d’effectuer préalablement une analyse d’impact lorsque son traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes et de consulter la Commission le cas échéant. Néanmoins, le Règlement prévoit un certain nombre de marges de manœuvre permettant aux Etats membres de maintenir ou d’établir des formalités préalables à titre de condition ou garantie supplémentaire.

- La Commission souscrit à l’orientation générale retenue de ne pas traduire l’ensemble des marges de manœuvre permises par le Règlement par le maintien de régimes spécifiques d’autorisation dans la loi Informatique et Libertés . La suppression des formalités préalables individuelles s’inscrit pleinement dans la logique du Règlement qui tend à responsabiliser les acteurs mettant en œuvre des traitements de données à caractère personnel. Cette suppression doit également être lue à la lumière des nouveaux pouvoirs de la Commission lui permettant de prescrire, d’une part, des mesures techniques et organisationnelles pour le traitement des données biométriques, génétiques et de santé – à l’exception des traitements mis en œuvre par l’Etat agissant dans l’exercice de ses prérogatives de puissance publique – en vue d’assurer la sécurité des systèmes et, d’autre part, des garanties complémentaires en matière de traitement de données relatives à des infractions.

- Au regard de cette logique générale, la Commission s’interroge toutefois sur le maintien des régimes d’autorisation prévus par des textes spécifiques, tels que, par exemple, les articles L. 581-9 du code de l’environnement, L. 4123-9-1 du code de la défense, R. 162-1-10 du code de la sécurité sociale ou L. 252-1 du code de la sécurité intérieure.

- A l’inverse, elle estimerait utile, comme le permet le Règlement (article 9.4), le maintien du régime d’autorisation préalable des traitements portant sur des données génétiques dans les conditions prévues actuellement par l’article 25–I-2° de la loi. En effet, la sensibilité particulière de ces données, en ce qu’elles peuvent révéler des renseignements sur l’état de santé de la personne auxquelles elles se rapportent mais aussi des membres de sa famille, et les perspectives de développement d’offres commerciales portant sur de telles données devraient conduire à ce que la Commission soit en mesure d’encadrer préalablement la mise en œuvre de tels traitements.

- Concernant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), le projet de loi semble postuler un principe général d’interdiction du traitement de cette donnée. Si cette interdiction, à supposer qu’elle corresponde à l’intention du Gouvernement, gagnerait à être explicitée, il est prévu que seul un décret en Conseil d’Etat, pris après avis motivé et publié de la CNIL, peut autoriser son utilisation par des organismes déterminés et pour des finalités limitativement énumérées. Trois catégories de traitements (traitements à finalité exclusivement statistique, traitements répondant à une alerte sanitaire et téléservices de l’administration électronique) seraient quant à elles dispensées d’une telle autorisation par décret.

La Commission souligne l’effort de simplification concernant l’utilisation du NIR dont le régime juridique était devenu, au fil des ans, largement incompréhensible par les responsables de traitement concernés.

Néanmoins, le système envisagé par le projet de loi, qui ne permet l’utilisation du NIR qu’après autorisation par décret en Conseil d’Etat, n’offre aucune souplesse aux responsables de traitement ne pouvant bénéficier des trois exceptions rappelées ci-dessus. A titre d’exemple, les fournisseurs de solutions de télémédecine qui doivent traiter le NIR des patients à des fins de remboursement ne pourraient le faire qu’après y avoir été autorisés par voie réglementaire, ce qui pourrait freiner le développement de dispositifs innovants, en particulier dans le domaine de la santé. De même, les traitements actuellement crées par arrêté ministériel ou décision de l’organe délibérant d’un établissement public ou d’une collectivité en vertu du II de l’article 27 de la loi en vigueur, qui portent sur le NIR et sont mis en œuvre par des services ayant pour mission de déterminer les conditions d’ouverture d’un droit, d’établir l’assiette ou de recouvrer des taxes de toute nature, devraient faire l’objet d’un décret en Conseil d’Etat.

La Commission estime donc nécessaire de compléter le dispositif prévu en réintroduisant la possibilité de lui permettre d’autoriser l’utilisation du NIR au vu des éléments présentés par le demandeur. Cet ajout semble, de plus, indispensable afin de garantir la sécurité juridique des traitements ayant été préalablement autorisés par la CNIL ou le pouvoir réglementaire à utiliser le NIR.

A défaut, l’objectif de souplesse et de sécurisation des traitements existants ne pourrait être atteint qu’au bénéfice d’un renversement de la logique sous-tendant le projet, en renonçant à un principe d’interdiction et en prévoyant un trépied constitué des autorisations par la CNIL ou par acte réglementaire, des décrets-cadres et d’un certain nombre de dispenses de toute formalité dans les trois cas mentionnés ci-dessus.

- En tout état de cause, le maintien d’un pouvoir d’autorisation de la Commission – que celui-ci soit ou non étendu comme elle le souhaite en matière de traitements portant sur les données génétiques et sur le NIR – doit s’accompagner du maintien du mécanisme des autorisations uniques , actuellement prévu au II de l’article 25 de la loi du 6 janvier 1978.

- Enfin, la Commission prend acte du maintien de l’autorisation par décret en Conseil d’Etat, pris après son avis motivé et publié, des traitements mis en œuvre pour le compte de l’Etat portant sur des données biométriques nécessaires à l’authentification ou au contrôle des personnes. Elle relève que ce régime d’autorisation sera dorénavant limité aux seuls traitements mis en œuvre par l’Etat agissant dans l’exercice de ses prérogatives de puissance publique et qui méritent en effet, comme par exemple le fichier TES, une attention particulière.

< Délibération CNIL >