Article 17 (Limitation des droits des personnes pour certains traitements de l’Etat)

< Délibération CNIL >

L’article 17 du projet de loi prévoit de créer un nouvel article 37-1 de la loi du 6 janvier 1978 modifiée, afin de faire application des possibilités ouvertes par l’article 23 du Règlement s’agissant des limitations pouvant être apportées à la portée des droits des personnes concernées et des obligations des responsables de traitement en ce domaine. Ces dispositions permettent au droit national de prévoir de telles limitations, dès lors qu’elles respectent les libertés et droits fondamentaux et constituent une mesure nécessaire et proportionnée pour garantir certains intérêts publics.

Le projet de loi vise à faire application de ces marges de manœuvre, dont la Commission ne conteste aucunement la nécessité, et dispose que l’acte réglementaire portant création d’un traitement mis en œuvre pour le compte de l’Etat et relevant du champ d’application du Règlement peut prévoir de telles limitations, dans les conditions prévues par l’article 23 précité.

Ledit article prévoit que ces limitations doivent être prévues par des mesures de droit national, qui doivent comporter de nombreuses précisions. Si la Commission prend acte que ces dispositions n’imposent pas de prévoir, dans la loi du 6 janvier 1978, l’ensemble de ces précisions, elle relève que le caractère général de la rédaction projetée ne permet pas d’appréhender l’étendue des limitations dont pourraient bénéficier les traitements concernés, la nature exacte de ceux-ci et, par conséquent, le caractère proportionné des limitations ainsi autorisées par la loi. Elle relève en outre que le projet de loi renvoie au seul pouvoir réglementaire le soin de définir, pour chaque traitement ou pour des catégories de traitements, la portée exacte de ces limitations à l’ensemble des droits des personnes concernées. Ainsi, aucun encadrement général des conditions d’application de ces dérogations substantielles au droit à la protection des données personnelles n’est prévu par le projet de loi et seul un contrôle a posteriori et ponctuel de la légalité des limitations effectivement mises en œuvre pourra être exercé.

Par ailleurs, la Commission relève que seuls les traitements mis en œuvre pour le compte de l’Etat sont concernés par les dispositions projetées de l’article 37-1 de la loi Informatique et Libertés. Ces dispositions excluent donc de leur champ d’application les traitements mis en œuvre par les collectivités territoriales, les établissements publics ou les personnes morales de droit privé ou de droit public gérant un service public, qui pourraient pourtant légitimement bénéficier, dans des conditions appropriées, de certaines de telles limitations. Il en est de même de certains traitements mis en œuvre en application d’une obligation légale, pour lesquels le droit d’opposition, par exemple, peut actuellement être écarté en vertu des dispositions en vigueur de l’article 38 de la loi du 6 janvier 1978.

Au regard de ces éléments, la Commission considère que ces dispositions, qui ne semblent, en l’état de leur rédaction, ni nécessaires ni suffisantes, ne comportent pas les garanties légales de nature à assurer un juste équilibre entre le droit à la protection des données à caractère personnel et les intérêts publics en cause.

< Délibération CNIL >