A la une
Numérique

Le Conseil constitutionnel valide l’essentiel de la loi « données personnelles »

14/06/2018
Hier, les Sages ont rendu une décision de non-conformité partielle sur la loi relative à la protection des données personnelles. Les sanctions de la CNIL, l’âge du consentement des mineurs et le recours aux algorithmes par l’Administration ont été jugés conformes.

Saisi par plus de 60 sénateurs en mai dernier, le Conseil constitutionnel a statué, hier, sur la validité des dispositions de la loi relative à la protection des données personnelles.

Mises en demeure prononcées par le président de la CNIL

Concernant les sanctions infligées par la CNIL en cas de violation du RGPD, le Conseil constitutionnel écarte les principaux griefs exprimés par les requérants.

L’article 7 de la loi prévoit que le président de la Commission prononce des mises en demeure, susceptibles d’être rendues publiques, en cas de manquement aux obligations posées par le réglement par le responsable de traitement ou le sous-traitant. Les sénateurs considéraient la disposition contraire au principe d’impartialité et de proportionnalité des peines « dès lors que ces mesures sont instruites et prononcées par une seule autorité », et que cela permet « qu’un même comportement donne lieu successivement à un avertissement ou à une mise en demeure de la part du président de la Commission puis à des sanctions prises par la formation restreinte ».

Le Conseil constitutionnel juge que « ni les avertissements ni les mises en demeure prononcées par le président de la Commission ne constituent des sanctions ayant le caractère de punition ». Il précise qu'au contraire, la disposition « vise à permettre à son destinataire de se mettre en conformité avec le règlement ».

Mineurs : conformité du « double consentement »

Les Sages se sont ensuite déclarés favorables à l’âge minimum – fixé à 15 ans par le législateur français –, auquel le mineur peut consentir seul au traitement de ses données, concernant l’offre directe de services de la société de l’information.

Les sénateurs critiquaient, en particulier, le double consentement prévu par le texte pour les mineurs de 15 ans. « Lorsque le mineur est âgé de moins de 15 ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur » (art. 20 al. 2). Cette disposition est également jugée conforme. Le Conseil indique en effet que, par l’usage des termes « donné ou autorisé », le RGPD permet aux États membres de « prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale » (hypothèse du double consentement).

Décisions de l’Administration fondées sur des algorithmes

Pour la première fois, le Conseil s'est exprimé sur la validité du recours aux algorithmes par l’Administration, lorsqu’elle rend des décisions individuelles. Il juge ainsi conforme à la Constitution la disposition qui prévoit qu'« une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel ». 

Les Sages estiment qu’« il n'en résulte aucun abandon de compétence du pouvoir réglementaire » et que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes concernées. Ils rappellent par ailleurs que le recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de 3 conditions :

  • la décision doit « mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande » ; 
  • la décision doit pouvoir faire l'objet de recours administratifs. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l'algorithme. 
  • Le recours exclusif à un algorithme est prohibé si le traitement porte des données sensibles (« origine raciale ou origine ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données de santé ou données relatives à la vie sexuelle ». 
Traitement de données pénales : censure partielle

En revanche, un dernier pan de la loi, visant les traitements de données en matière pénale qui ne sont pas mis en œuvre par les autorités compétentes à des fins pénales, a été censuré (article 13). Le Conseil constitutionnel estime que le législateur aurait dû déterminer les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, et quelles finalités devraient être poursuivies par la mise en œuvre de tels traitements de données. « En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques », conclut le Conseil.

Prochaine étape : la promulgation et la publication au Journal officiel de la loi, qui devraient avoir lieu dans les jours qui suivent.

Leslie Brassac
Ecrit par
Leslie Brassac
Mots-clés