Observations particulières sur la transposition de la Directive

< Délibération CNIL >

_ Sur le registre (article 70.11 nouveau de la loi) _

Le projet d’article 70-11 de la loi du 6 janvier 1978 a pour objet de transposer les dispositions de l’article 24 de la Directive relatif au registre des activités de traitement des responsables du traitement et des sous-traitants. L’article 24.1 de la Directive impose que les Etats membres prévoient que les responsables du traitement tiennent un registre de toutes les catégories d’activités de traitement et fixe le contenu de ce registre. L’article 24.2 de la Directive impose que les Etats membres prévoient que chaque sous-traitant tienne un registre de toutes les catégories d’activités de traitement et fixe le contenu de ce registre. La transposition de ces dispositions constitue un progrès notable en matière de protection des données traitées à des fins répressives.

La Commission s’interroge néanmoins sur la nécessité d’un renvoi à un décret en Conseil d’Etat pour préciser le contenu de ce registre, alors même que l’article 24 de la Directive énumère explicitement les informations devant y figurer. Il conviendrait donc de reprendre dans le projet de loi les informations devant figurer dans le registre du responsable du traitement (article 24.1 de la Directive) et dans le registre du sous-traitant (article 24.2 de la Directive).

Enfin, l’article 24.3 de la Directive prévoit que les registres se présentent sous une forme écrite, y compris la forme électronique . Cette précision utile n’a pas été reprise dans le projet de loi, qui pourrait compléter l’article 70-11 nouveau sur ce point.

Les violations de données (nouvel article 70-14)

Le projet d’article 70-14 de la loi du 6 janvier 1978 prévoit la notification des violations de données à caractère personnel, auprès de la Commission et des personnes concernées, dans certaines conditions. Cette obligation constitue une avancée majeure de la Directive du point de vue de la protection des données, que le présent projet de loi vise donc à établir dans le droit national.

Les délais de notification à la Commission de telles violations ne sont néanmoins pas prévus, en contrariété avec les dispositions de l’article 30 de la Directive, de même que ceux afférant à leur notification aux personnes concernées. La Commission demande donc que des conditions précises de notification soient prévues, d’autant plus nécessaires que ces conditions ont vocation à être également applicables aux sous-traitants qui doivent notifier les mêmes violations auprès des responsables de traitement.

Elle relève en outre que le projet de loi ne prévoit pas une obligation, mais une simple possibilité, de procéder à une communication publique ou à une mesure similaire quant à l’intervention d’une violation lorsque sa communication aux personnes concernées exige des efforts disproportionnés, contrairement aux dispositions prévues à l’article 31 de la Directive.

Les dispositions prévues au III du projet d’article 70-14 de la loi prévoient, conformément à l’article 31 de la Directive, la possibilité pour la Commission de mettre en demeure le responsable de traitement d’informer les personnes concernées par une violation. La Commission relève que les dispositions générales de la loi Informatique et Libertés , telles que modifiées par le présent projet de loi, lui confèrent déjà cette prérogative et estime dès lors nécessaire, afin d’asseoir la sécurité juridique de ses actions, de supprimer ces dispositions spécifiques, dont il est prévu au projet d’article 70-1 de la même loi qu’elles s’exercent le cas échéant par dérogation aux dispositions générales.

Cette suppression lui apparaît d’autant plus souhaitable que le IV du même projet d’article 70-14 prévoit la possibilité, pour le responsable de traitement, de retarder, limiter ou ne pas délivrer les informations relatives à la violation aux personnes concernées, si ces informations sont de nature à mettre en danger ou à faire obstacle à certains intérêts publics importants. Si cette possibilité, expressément prévue par la Directive, n’appelle pas de réserve de principe de la part de la Commission, il convient néanmoins de s’assurer que le contrôle de celle-ci sur la légalité d’une absence de communication d’une violation de données aux personnes concernées, qui peut conduire, le cas échéant, à la mise en demeure d’informer ces dernières, comprend nécessairement la vérification du respect de ces conditions, ce que ne permet pas d’établir clairement le projet de loi.

La Commission relève en outre que les dispositions projetées sur ces limitations sont insuffisamment précises par rapport aux dispositions de la Directive, qui prévoient que de telles limitations ne peuvent intervenir que dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée . Elle souligne à cet égard que ces dispositions imposent au responsable de traitement un contrôle spécifique à chaque situation et ne sauraient être interprétées comme autorisant de telles limitations pour l’ensemble des violations affectant un traitement ou des catégories de traitements.

Enfin, la Commission estime que le projet d’article 70-14 devrait être complété de dispositions réglementaires d’application, qui devraient être expressément prévues par le projet de loi, afin de fixer des modalités de mise en œuvre de ces nouvelles obligations conformes aux dispositions des articles 30 et 31 de la Directive. En particulier, le contenu des notifications adressées à la Commission, le contenu des notifications aux personnes concernées, ainsi que les procédures exactes de ces notifications devraient être définis par décret en Conseil d’Etat pris après avis de la Commission.

Sur les droits des personnes (articles 70-16 à 70-20)

Le projet d’article 70-16 de la loi Informatique et Libertés instaure un droit à l’information des personnes qui était, jusqu’à présent exclu pour les traitements ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales. La Commission relève qu’il s’agit d’une avancée importante pour les droits des personnes mais souligne néanmoins que son manque de précision peut en restreindre la portée.

Conformément à la Directive, une distinction est en effet opérée entre, d’une part, les informations qui doivent être systématiquement mises à disposition des personnes et, d’autre part, les informations fournies de manière additionnelle et dans des cas particuliers , sans que ces cas soient pour autant précisés. La Commission souligne que cette simple reprise des termes de l’article 13 de la Directive ne permet pas de déterminer les situations dans lesquelles les personnes sont en droit d’obtenir de telles informations complémentaires de la part du responsable du traitement. Cette absence de lisibilité peut être un frein à l’exercice des droits tout en étant source d’insécurité juridique pour les responsables des traitements concernés.

La Commission estime dès lors, au regard de la nature de ces informations additionnelles, qui peuvent notamment figurer dans l’acte réglementaire portant création du traitement en cause, que les cas dans lesquels elles devraient être fournies à la demande de la personne concernée ne devraient pas être excessivement limités et pourraient en particulier comprendre les hypothèses de collecte directe des données auprès de ces personnes.

Elle estime que cette clarification est en outre rendue nécessaire pour lui permettre d’exercer pleinement la compétence nouvelle qui lui est confiée, en vertu du projet d’article 70-20 de la loi du 6 janvier 1978, à savoir l’exercice indirect de ce droit à l’information additionnelle en cas de restriction du responsable de traitement.

A cet égard, la Commission observe que la portée de ce droit est ambigüe, dans la mesure où son exercice viserait à fournir ou non des informations générales sur la base de demandes individuelles, sous le contrôle de la Commission. En tout état de cause, le projet de loi ne permet pas d’écarter clairement des restrictions au cas par cas de ce droit à l’information, sur la base de la seule appréciation du responsable de traitement. Afin d’éviter toute incertitude juridique, la Commission estime que les situations dans lesquelles la fourniture d’informations peut être retardée, limitée ou refusée et pour lesquelles un tel droit indirect peut dès lors s’appliquer devraient être prévues à titre général par l’acte réglementaire portant création du traitement en cause.

Le projet d’article 70-17 de la loi précitée définit le droit d’accès applicable aux traitements relevant du champ de la Directive en posant le principe d’un droit d’accès direct des personnes auprès du responsable du traitement, afin d’obtenir la confirmation que des données à caractère personnel la concernant sont ou non traitées et, dans ce dernier cas, la communication des données. La personne est également en droit d’obtenir, dans le cadre de ce droit d’accès, d’autres informations limitativement énumérées telles que les finalités du traitement, les catégories de données à caractère personnel concernées.

La Commission souligne que cet article omet néanmoins le droit pour la personne de se faire communiquer les informations disponibles quant à l’origine des données, qui constitue une information importante, notamment en cas de donnée inexacte, incomplète ou périmée, et expressément prévue par l’article 14 de la Directive.

Le projet d’article 70-18 de la loi du 6 janvier 1978 prévoit que la personne concernée doit être informée par le responsable du traitement de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs de ce refus.

La Commission relève que ces dispositions ne distinguent pas clairement les droits de rectification et d’effacement ouverts aux personnes concernées et ne créent pas à leur profit un droit autonome à la limitation du traitement, pourtant rendu possible par les dispositions de la Directive. La Commission estime que ce projet d’article devrait dès lors être complété et précisé sur ces points.

Le projet d’article 70-19 de la même loi a pour objet de transposer l’article 17 de la Directive qui prévoit l’exercice des droits de la personne concernée par l’intermédiaire de l’autorité de contrôle en cas de restriction de ses droits. De telles restrictions doivent être définies par l’acte réglementaire portant création du traitement en cause.

Le projet de loi ne prévoit la possibilité de saisir la Commission en matière de rectification ou d’effacement des données que dans le cas où la personne ne peut obtenir de la part du responsable du traitement l’information quant à sa décision de refus et ses motifs. La Commission rappelle que, dans cette hypothèse, son intervention dans les conditions prévues par l’article 41 de la loi du 6 janvier 1978 modifiée peut permettre de rectifier ou d’effacer des données et ne saurait se limiter à la seule vérification des motifs du refus du responsable du traitement. Il en est naturellement de même en matière de communication des informations demandées par les personnes concernées.

La Commission suggère enfin de modifier la rédaction du IV du projet d’article 70-19 de la loi, afin de définir plus précisément le périmètre de l’exercice indirect des droits de la personne, dans les termes suivants : En cas de restriction des droits de la personne concernée intervenue en application du II ou du III de l’article 70-19 .

Le projet d’article 70-20 de la même loi rappelle la possibilité pour les personnes concernées de saisir la Commission en cas de restriction des droits et fixe le cadre d’intervention de la celle-ci, à savoir les deuxième et troisième alinéas de l’article 41 de la loi en vigueur.

La Commission relève que, pour ce qui concerne l’accès, ces dispositions permettent uniquement aux personnes d’obtenir, sous réserve de l’accord du responsable du traitement, l’accès aux données les concernant contenues dans le traitement, ce qui est plus restreint que les exigences créées par le projet d’article 70-17 de la loi et conformes aux dispositions de la Directive. Elle souligne que les responsables de traitement devront donc être mesure de mettre l’ensemble de ces informations, et notamment les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, à la disposition du membre de la Commission qui sera chargé des vérifications au titre de l’article précité. De même, la rédaction de l’article 41 devrait être complétée des nouveaux droits créés par le présent projet de loi.

Enfin, le projet prévoit que, lorsque la Commission informe la personne qu’il a été procédé aux vérifications nécessaires, elle doit également lui indiquer son droit de former un recours juridictionnel. La Commission relève que les vérifications menées au titre de l’article 41 par un membre de la Commission peuvent conduire, en accord avec le responsable du traitement, à lever les restrictions initiales tant pour l’information, l’accès ou la rectification et qu’il lui semble donc nécessaire de préciser la rédaction projetée, en mentionnant par exemple lorsque la Commission informe uniquement la personne concernée qu’il a été procédé aux vérifications nécessaires .

Sur les transferts de données (articles 70-23 à 70-25)

Les projets d’articles 70-23 à 70-25 de la loi du 6 janvier 1978 concernent les règles applicables aux transferts de données à caractère personnel vers des Etats n’appartenant pas à l’Union européenne ou vers des destinataires établis dans des Etats non membres de l’Union européenne. L’article 70-23 (nouveau) vise à transposer les dispositions de la Directive relatives aux principes généraux applicables aux transferts de données à caractère personnel. Les dispositions prévues au 2° dudit article transposent le principe suivant lequel les données à caractère personnel ne peuvent être transférées qu’à un responsable dans un pays tiers ou à une organisation internationale qui est une autorité compétente chargée dans cet Etat des fins visées au paragraphe 1 de l’article 1er de la Directive. La Commission estime que ce projet d’article ne transpose pas correctement le texte de la Directive, dans la mesure où le projet de loi ne fait référence qu’aux fins relevant en France du 1° de l’article 70-1, sans viser les autres Etats membres, ce qui restreint le champ de cette disposition.

De même, elle considère que les dispositions prévues au 4° du même projet d’article 70-23 ne sont pas conformes aux dispositions correspondantes de la Directive. En effet, les conditions permettant de procéder à un transfert de données y sont présentées comme potentiellement alternatives et cumulatives, alors que l’article 35 de la Directive établit clairement une hiérarchie au sein de ces conditions.

Sur la traçabilité (70-12) et les dispositions transitoires de l’article 28 du projet de loi

Les dispositions prévues au projet d’article 70-12 de la loi Informatique et Libertés concernant les mesures de traçabilité des opérations de traitement que doit mettre en œuvre tout responsable de traitement n’appellent pas d’observations particulières de la part de la Commission. Celle-ci observe néanmoins que l’article 28 du projet de loi prévoit, conformément à l’article 63 de la Directive et dans certaines conditions, une entrée en vigueur de ces obligations à une date ultérieure, ne pouvant excéder le 6 mai 2026.

Si la Commission est consciente des contraintes liées à ces nouvelles obligations, elle rappelle que les traitements relevant actuellement de l’article 26 de la loi Informatique et Libertés prévoient déjà, dans leur majorité, des mesures rigoureuses de traçabilité et qu’une journalisation minimale pourrait être prévue pour les traitements qui ne permettent pas de satisfaire à l’ensemble des conditions posées au projet d’article 70-12 de la même loi. Dans ces conditions, elle estime que les motifs de ces reports, qui doivent être notifiés à la Commission européenne, devraient également lui être communiqués et que l’acte réglementaire déterminant les traitements concernés par ces reports devrait faire l’objet d’un contrôle préalable de la Commission, afin de s’assurer que ces dérogations temporaires à une exigence impérieuse en matière de protection des données soient effectivement limitées aux cas strictement nécessaires.

< Délibération CNIL >