Article 12 (Données d’infraction)

< Délibération CNIL >

L’article 12 du projet de loi vise à modifier les dispositions de l’article 9 de la loi Informatique et Libertés , relatives au traitement de données portant sur des infractions. L’article 10 du Règlement limite en effet, tout comme les dispositions nationales actuellement en vigueur, les possibilités de traitement de ces données, tout en permettant au droit national d’en autoriser le traitement, sous réserve de garanties appropriées, hors du contrôle de l’autorité publique. Dans ce contexte, deux séries de modifications de l’article 9 sont prévues.

En premier lieu, le projet de loi vise à clarifier le champ d’application de cet article, en prévoyant que ses dispositions s’appliquent aux traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sécurité connexes . Ces précisions, qui constituent la reprise exacte des termes de l’article 10 du Règlement, limitent ainsi expressément le champ d’application de ces dispositions à la seule sphère pénale. Elles n’appellent pas d’observation particulière de la part de la Commission, qui a toujours interprété ces dispositions comme limitées à la matière pénale.

En second lieu, le projet de loi vise à étendre les responsables de traitement autorisés à traiter de telles données à trois nouvelles catégories.

Il s’agit tout d’abord des personnes morales de droit privé collaborant au service public de la justice. La Commission estime opportun l’ajout de cette catégorie de responsables de traitement, dans la mesure où de tels organismes doivent en effet traiter des données d’infractions aux fins du bon exercice de leurs missions, sans pour autant pouvoir être qualifiés de personnes morales gérant un service public , au sens de l’article 9-1° de la loi du 6 janvier 1978.

S’agissant des garanties qui doivent nécessairement encadrer le traitement de ces données, la Commission prend acte que le projet de loi renvoie à un décret en Conseil d’Etat, pris après avis de la Commission, la définition des catégories de personnes morales ainsi habilitées à traiter des données d’infractions. Elle estime néanmoins que l’alinéa projeté pourrait utilement prévoir que ce traitement ne peut avoir lieu que dans la stricte mesure nécessaire à l’exercice de ces missions, afin de limiter les finalités pour lesquelles ces données particulières peuvent être traitées par ces personnes morales.

La deuxième catégorie de responsables de traitements que le projet de loi vise à autoriser à traiter des données relatives aux infractions est constituée des personnes physiques ou morales victimes d’infractions ou mises en cause dans une procédure. Cet ajout vise à donner suite à la décision DC n° 2004-499 du Conseil constitutionnel qui avait censuré pour incompétence négative des dispositions en ce sens, tout en rappelant que cette déclaration d’inconstitutionnalité ne saurait être interprété[e] comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime .

La Commission, qui a pu autoriser certains traitements de données relatives à des infractions mis en œuvre par des victimes d’infractions sur le fondement de cette réserve, accueille dès lors favorablement l’objet de cette disposition centrée sur le droit à agir en justice. Elle relève que des garanties sont prévues afin de limiter les atteintes au droit au respect de la vie privée susceptibles de résulter de tels traitements, et notamment la restriction des finalités pour lesquels ceux-ci pourraient être mis en œuvre, le rappel de la nécessité de ne conserver les données que pour une durée proportionnée à ces finalités et les limitations prévues s’agissant de la communication de telles données aux tiers.

Il est également prévu que les réutilisateurs des décisions de justice mises à disposition du public soient autorisés à traiter des données d’infractions. Les dispositions du code de justice administrative et du code de l’organisation judiciaire imposent en effet la mise à disposition du public, en open data, de l’ensemble des décisions des juridictions administratives et judiciaires (décisions de premier ressort, d’appel et de cassation), dans le respect de la vie privée des personnes concernées et après une analyse du risque de ré-identification des personnes concernées. Un décret en Conseil d’Etat, qui sera pris après avis de la Commission, doit en fixer les modalités d’application. Il est prévu que les données contenues dans ces décisions soient, non pas anonymisées, mais pseudonymisées, conformément à la recommandation de la Commission de 2001.

Dans la mesure où il s’agit donc de données personnelles, offertes à la réutilisation mais dans des conditions conformes au droit à la protection des données, qui peuvent porter sur des infractions ou condamnations , la Commission estime nécessaire d’autoriser par la loi leur traitement par des réutilisateurs, dans des conditions appropriées.

A cet égard, la Commission relève que seuls les réutilisateurs des jugements et décisions mentionnés aux codes précités, c’est-à-dire de données ayant fait l’objet d’une pseudonymisation plus forte que celle appliquée aujourd’hui aux décisions de justice, sont concernés par les dispositions projetées. Ces traitements sont en outre soumis à une condition impérative : n’avoir ni pour objet ni pour effet de permettre la réidentification des personnes concernées. La Commission prend acte que ces dispositions inscrivent ainsi dans la loi ses propres recommandations en matière de réutilisation des décisions de justice.

Elle relève néanmoins que les décisions de justice sont également susceptibles de comporter des données sensibles au sens de l’article 8 de la loi. Elle appelle dès lors l’attention du Gouvernement sur la nécessité de prévoir des dispositions législatives, conformes à celles prévues par le Règlement s’agissant du traitement de ces données, afin d’autoriser la réutilisation des données contenues dans ces décisions. Le traitement des données sensibles devrait en tout état de cause être soumis à la même condition d’interdiction de réidentifier les personnes concernées, sans préjudice d’autres garanties.

< Délibération CNIL >