Observations générales sur la transposition de la Directive

< Délibération CNIL >

Sur l’économie générale des articles 20, 21 et 22

L’article 20 du projet de loi prévoit de créer un nouvel article 3bis de la loi du 6 janvier 1978, comportant les définitions prévues dans la Directive qui ne figurent pas dans les dispositions actuellement en vigueur de cette loi.

L’article 21 du projet de loi prévoit pour sa part la suppression des dispositions de l’article 42 de la loi du 6 janvier 1978 relatives à l’exercice indirect des droits des personnes concernées à l’égard des traitements relevant de la Directive, pour lesquels des dispositions spécifiques sont prévues. Ainsi, seuls les traitements mis en œuvre aux fins de contrôle et de recouvrement des impositions pourront être concernés par les dispositions de l’article 42 précité, sous réserve de satisfaire aux conditions prévues à l’article 23 du Règlement s’agissant de limitations aux droits des personnes.

L’article 22 du projet de loi prévoit la création de nouveaux articles 70-1 à 70-25 de la loi du 6 janvier 1978, spécifiquement consacrés aux traitements relevant de la Directive, c’est-à-dire, en substance, aux fichiers de police et de justice qui relèvent actuellement de l’article 26-I-2° de la loi précitée.

Dans l’ensemble, le projet de loi procède à une transposition fidèle de la Directive et apporte dès lors des garanties importantes du point de vue de la protection des données traitées dans ce champ, en ce qui concerne en particulier le délégué à la protection des données, l’obligation de réaliser des analyses d’impact relatives à la protection des données, la notification des violations de données, le principe de privacy by default , ou encore les conditions de traitement de certaines données ou de certaines catégories de personnes concernées.

La plupart de ces projets d’articles, qui constituent des reprises intégrales des dispositions de la Directive, n’appellent dès lors pas d’observation particulière de la part de la Commission. Néanmoins, le choix de transposition a minima de cet instrument n’emporte pas les mêmes conséquences que celui concernant l’exercice des marges de manœuvre prévues par le Règlement, pour les raisons évoquées dans les observations d’ordre général du présent avis. Les dispositions du projet de loi appellent dès lors les observations suivantes de la part de la Commission.

Sur le champ d’application de ces nouvelles dispositions

La Commission estime que le projet de loi ne permet pas d’appréhender clairement le champ d’application des dispositions projetées.

En effet, le projet d’article 70-1 de la loi du 6 janvier 1978, qui reprend les termes de l’article 1er de la Directive et prévoit que sont soumis à ces nouvelles dispositions, le cas échéant dérogatoires aux autres dispositions de la même loi, les traitements mis en œuvre à des fins de prévention et détection d’infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces , ne permet pas d’identifier sans équivoque les traitements nationaux relevant de ce champ d’application. En particulier, il ne permet pas d’établir si les traitements intéressant la sécurité publique , au sens des dispositions de l’article 26-I-1° de la loi du 6 janvier 1978, qui ne sont d’ailleurs pas modifiées par le présent projet de loi, relèvent ou non du champ d’application du chapitre XIII (nouveau) de la même loi.

De même, ni l’article 70-1 nouveau ni le projet d’article 70-2 ne permettent de régler la situation des nombreux traitements qui, par les finalités qu’ils poursuivent et les données qu’ils comportent, peuvent relever tout à la fois du champ d’application du Règlement et de celui de la Directive. Il en est ainsi, par exemple, de certains traitements mis en œuvre par l’administration fiscale, en matière d’immigration ou de douanes, qui peuvent avoir notamment pour finalités certaines de celles prévues au projet d’article 70-1 précité. L’imprécision de ces dispositions ne permet pas davantage d’établir le régime juridique applicable aux traitements poursuivant simultanément de telles finalités ainsi que des finalités de sécurité publique et de sûreté de l’Etat.

Au regard de ces éléments, la Commission considère que le projet de loi soulève des problèmes de lisibilité et de sécurité juridique importants, qui peuvent s’avérer préjudiciables pour les responsables de traitement comme pour les personnes concernées, dont le niveau de protection à l’égard du traitement de leurs données est susceptible de varier de manière substantielle en fonction des règles de droit applicables. Si ces questions de frontières résultent au premier chef de la Directive elle-même et du recours par le législateur européen à deux instruments distincts, la formulation de critères précis permettant de déterminer le ou les régime(s) juridique(s) applicable(s) à ces catégories de traitements devrait être envisagée.

Sur les omissions du projet de loi

Au-delà des dispositions expressément prévues par le projet de loi, la Commission estime que ce projet est incomplet sur certains points, en ce qui concerne notamment la consécration du principe de sécurité du traitement au titre des conditions de licéité du traitement de données, les conséquences qui s’attachent à la qualité de responsable de traitement, la notion de responsabilité conjointe de traitement, les conditions de traitement des données sensibles, l’obligation de faciliter l’exercice des droits des personnes concernées, le principe de protection des données dès la conception ou les conséquences que peut tirer la Commission de la transmission d’une analyse d’impact, dont le contenu n’est d’ailleurs pas davantage précisé, concernant un traitement qu’elle considérerait comme constituant une violation des dispositions de la loi. Si certaines autres dispositions pourraient être transposées par voie réglementaire, la Commission estime dès lors que le projet de loi devrait être complété sur ces points.

Sur le niveau d’ambition du projet de loi

La Commission regrette que le projet de loi ne fasse pas application de la possibilité de prévoir des garanties supérieures en matière de protection des données traitées à des fins pénales, expressément prévue à l’article 1er de la Directive. Si la Commission se félicite du maintien d’une autorisation de mise en œuvre de tels traitements par acte réglementaire pris après son avis publié et motivé, elle relève que le projet de loi n’apporte aucune garantie supérieure à ce que prévoit la Directive, alors que même le droit national et sa pratique ont permis la mise en œuvre de telles garanties, qu’il conviendrait de faire figurer expressément dans ces dispositions spéciales.

Ainsi, le projet de loi comporte de très nombreuses précautions rédactionnelles, qui n’apparaissent ni justifiées ni nécessaires et pourraient donner lieu à un abaissement du niveau de protection des données actuellement assuré au niveau national, en ce qui concerne par exemple la distinction, pourtant fondamentale, entre les données personnelles fondées sur les faits de celles fondées sur des appréciations et entre les différentes catégories de personnes concernées, l’effacement ou la rectification des données et la vérification de leur qualité avant toute transmission ou encore l’identification des personnes consultant, communiquant ou recevant des données.

De manière plus substantielle, le projet de loi ne prévoit aucune disposition concernant le droit d’opposition des personnes concernées, qui doit pouvoir, y compris en ces matières, trouver à s’appliquer dans des circonstances particulières, comme par exemple dans le cadre du traitement de données relatives à des personnes victimes dans le Traitement des Antécédents Judiciaires (TAJ). Il ne prévoit pas davantage de dispositions relatives à l’exercice des droits des personnes par voie électronique, actuellement exclu par les dispositions de l’article 43 bis de la loi du 6 janvier 1978, au traitement de données relatives à des mineurs, qui doit faire l’objet de garanties particulières dans ses conditions de mise en œuvre, ou aux conditions de traitement des données qui doivent compléter les distinctions prévues au projet d’article 70-9 (nouveau) de la même loi concernant les catégories de personnes concernées.

Comme cela a été rappelé, ce manque d’ambition se révèle tout particulièrement pour les traitements ne relevant pas du champ du droit de l’Union et en particulier pour les traitements intéressant la sûreté de l’Etat, pour lesquels le projet de loi ne prévoit aucune modification du cadre juridique actuel.

< Délibération CNIL >