Article 13 (Archives, recherche scientifique et statistique)

< Délibération CNIL >

L’article 13 du projet de loi vise à modifier l’article 36 de la loi du 6 janvier 1978, afin de faire application des dispositions prévues à l’article 89 du Règlement relatives aux traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique et à des fins statistiques.

Le Règlement prévoit un régime particulier pour ces traitements, qui peuvent bénéficier directement, dans certaines conditions, de dérogations substantielles au cadre général et qui peuvent en outre faire l’objet de dispositions nationales autorisant des dérogations supplémentaires. Le Règlement retient en outre une interprétation large des notions de recherche historique, qui comprend par exemple les recherches à des fins généalogiques, de recherche scientifique, qui couvre notamment le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et de fins statistiques, qui ne se réduit pas aux productions du service statistique public.

Le projet de loi vise à exercer les marges de manœuvre nationales autorisées par le Règlement pour ces traitements. Ces dispositions seront également applicables aux traitements relevant de la Directive et ne relevant pas du champ du droit de l’Union.

Elles appellent deux séries d’observations de la part de la Commission.

- En premier lieu, sur la rédaction projetée, le projet de loi, qui vise à reformuler les dispositions en vigueur relatives à la possibilité de conserver, aux fins de tels traitements, les données à caractère personnel au-delà de la durée de conservation initialement fixée, fait référence à la durée prévue au e) du 1 de l’article 5 du Règlement. Si cette possibilité est expressément prévue par ces dispositions et n’est donc pas nécessaire en droit national s’agissant des traitements relevant du champ d’application du Règlement, ces dispositions ne sont en revanche pas applicables aux autres traitements soumis à la loi du 6 janvier 1978. La Commission estime dès lors nécessaire de clarifier la rédaction de ces dispositions pour en afficher clairement la vocation horizontale.

- En second lieu, sur le fond, la Commission relève que le projet de loi vise à faire application de l’ensemble des dérogations autorisées par le Règlement, sur les droits des personnes ou sur les obligations des responsables de traitement.

Néanmoins, si le projet de loi renvoie aux garanties que le Règlement impose en tout état de cause, la Commission relève que ces dispositions recouvrent un ensemble très hétérogène de traitements de données et ont vocation à concerner des catégories de responsables de traitement particulièrement variées.

De même, le projet de loi ne prévoit aucune distinction entre les catégories de finalités prévues, alors même que les conditions de traitement des données peuvent et doivent être précisément adaptées à chacune de ces catégories, par exemple en termes de pseudonymisation ou d’exercice des droits des personnes. Il ne prévoit pas davantage de distinction entre les objectifs généraux poursuivis par ces traitements, à l’exception des traitements archivistiques, et notamment entre ceux qui sont mis en œuvre à des fins d’intérêt public et ceux qui poursuivent un intérêt privé ou un intérêt commercial.

La Commission estime que ces distinctions, en particulier la justification éventuelle d’un intérêt public, pourraient être prises en compte au niveau législatif pour encadrer davantage l’intervention du pouvoir réglementaire, afin de moduler, le cas échéant, l’étendue des dérogations possibles et les garanties associées à chaque catégorie de traitements, afin de s’assurer que les dispositions projetées comportent les garanties légales propres à permettre une conciliation entre la protection des données personnelles et les intérêts poursuivis.

S’agissant de ces garanties, il est prévu, outre la mise en œuvre des mesures techniques et organisationnelles mentionnées à l’article 89 du Règlement, qu’un décret en Conseil d’Etat pris après avis de la Commission définisse les conditions et garanties appropriées pour les traitements mis en œuvre à des fins de recherche scientifique ou historique et à des fins statistiques. Des garanties supplémentaires et adaptées à chaque catégorie de traitement, portant par exemple sur les modalités d’exercice des droits des personnes ou des conditions d’accès aux données, sont en effet nécessaires pour assurer une protection suffisante des données personnelles.

La Commission estime dès lors que le projet de loi devrait prévoir les éléments que doit comporter ce décret d’application, et notamment les objets de ces garanties et l’adaptation de l’étendue des dérogations précitées en fonction des catégories concernées de traitement et d’intérêt poursuivi.

Elle considère en outre qu’un tel décret d’application devrait également être prévu s’agissant des traitements mis en œuvre à des fins archivistiques dans l’intérêt public, dont les conditions exactes de mise en œuvre ne sauraient être déterminées uniquement par les dispositions applicables en matière d’archives publiques. Ce décret pourrait en particulier prévoir les modalités d’exercice des droits des personnes concernées par ces traitements ainsi que les limitations afférentes aux modalités de diffusion des données traitées, en matière d’indexation sur les moteurs de recherche externe par exemple.

Enfin, la Commission rappelle qu’elle dispose d’un pouvoir de certification et d’homologation de processus d’anonymisation des données, en vertu de l’article 11-2°-g) de la loi du 6 janvier 1978, et d’une solide expertise des processus de pseudonymisation, qui constituent une des garanties prévues pour l’ensemble de ces traitements par le Règlement. Elle estimerait dès lors utile de compléter ces dispositions et de mentionner expressément la possibilité de certifier ou homologuer des processus de pseudonymisation dans le cadre des traitements relevant de l’article 36 de la loi précitée, tel que modifié par le présent projet de loi.

< Délibération CNIL >