1

La limitation des droits dans le domaine numérique

< Rapport d'information de la commission des affaires européennes >

L’économie générale du RGPD, ainsi que les lois portant adaptation de la législation nationale au nouveau régime européen de protection des données, visent la protection la plus grande possible des droits, anciens et nouveaux (droit à l’oubli et droit à la portabilité des données), consacrés dans le domaine numérique.

Il demeure toutefois que, pour des considérations d’ordre public, ces droits souffrent de limitations, justifiées, selon le règlement, si elles ne s’appliquent que dans la « _mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires (_46 ). »

Cet ensemble de critères permettant de limiter l’exercice de droits aussi fondamentaux que le droit à l’information ou le droit d’accès aux données se traduit à l’article 23 du règlement. Ainsi, le droit de l’État membre auquel sont soumis responsables de traitement et sous-traitants peut limiter les droits et libertés inscrits au chapitre III du même règlement, sous la condition expresse de respecter des critères formels et des dispositions garantissant le bon exercice des libertés publiques dans le domaine numérique (47).

La loi n° 78-17 prévoit elle-même un certain nombre de limitations à l’exercice de ces droits, comme en matière d’accès aux données, auquel le responsable de traitement peut légalement s’opposer si les demandes sont manifestement abusives, eu égard notamment à leur caractère répétitif ou systématique (48). Le droit d’accès n’est pas garanti non plus lorsque les données à caractère personnel sont conservées sous une forme telle qu’aucune violation pouvant aboutir à une atteinte de la vie privée des personnes concernées n’est à craindre.

D’autres libertés peuvent évidemment aller à l’encontre de certains droits des personnes concernées. Ainsi, la liberté d’expression et d’information, des motifs d’intérêt public dans le domaine de la santé publique, des fins archivistiques dans l’intérêt public ou encore des fins scientifiques peuvent s’opposer à ce que soit mis en œuvre de manière absolue le droit à l’effacement ou à la rectification, tel qu’il peut découler de la jurisprudence de la CJUE ou du RGPD lui-même.

Le projet de loi s’appuie sur la grande marge de manœuvre qu’autorise l’article 23 du règlement pour introduire une dérogation supplémentaire à l’exercice des droits des personnes concernées. Il s’agit de traiter des cas dans lesquels la communication d’une divulgation ou d’un accès non autorisé à des données est susceptible de présenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique, et lorsque sont en cause des traitements ou catégories de traitements nécessaires au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public. Cette disposition s’inscrit dans le contexte actuel de menace terroriste et de détournement de données potentiellement cruciales. La divulgation de l’intérêt que présentent les données peut en effet attirer l’attention des organisations terroristes sur la valeur des données usurpées, le cas échéant.

D’autres États membres font usage des limitations prévues à l’article 23. Le texte estonien actuel prévoit ainsi que les pouvoirs publics peuvent traiter des données personnelles collectées initialement à d’autres fins, en vue d’établir l’existence d’une menace à l’ordre public, de contrer ladite menace ou encore pour assurer la bonne application des peines.

Votre rapporteure considère que la limite à l’exercice des droits des personnes contenue dans le projet de loi est appropriée, mais estime, globalement, qu’il convient de faire en sorte que les traitements mis en œuvre par l’État ne fassent pas l’objet d’un traitement préférentiel. À ce titre, elle estime que le Parlement devrait disposer d’un droit de regard accru sur le traitement des données à caractère personnel, avec l’assistance de la CNIL, à l’instar des débats qu’avait pu occasionner l’autorisation du fichier TES par le décret n° 2016-1460 du 28 octobre 2016.

< Rapport d'information de la commission des affaires européennes >