Le Conseil constitutionnel a rendu sa décision sur la loi relative à la protection des données personnelles, qui adapte le Règlement général sur la protection des données dans le droit français. Le texte a été globalement jugé conforme à la Constitution.

Sollicité par soixante sénateurs pour vérifier la conformité de la loi sur la protection des données personnelles, qui adapte le Règlement général sur la protection des données (RGPD) en France, le Conseil constitutionnel a rendu son verdict mardi 12 juin : pour l’instance chargée de contrôler la conformité des lois avec la Constitution, le texte respecte la Constitution française.

Les élus à l’origine de cette saisine, survenue mi-mai, contestaient divers points de cette loi, mais aussi son intelligibilité et son accessibilité, qui sont des objectifs de valeur constitutionnelle.

Intelligibilité et accessibilité

Ces deux derniers reproches ont été écartés par le Conseil constitutionnel, qui observe par exemple que si « le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 [relative à l’informatique, aux fichiers et aux libertés] en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résulte pas une inintelligibilité de la loi ».

Il ajoute que la loi qui lui a été déférée autorise le gouvernement à une « réécriture de l’ensemble de la loi du 6 janvier 1978 afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le droit de l’Union européenne ».

Le Conseil constitutionnel. // Source : ActuaLitté

Le Conseil constitutionnel.

Source : ActuaLitté

Accord sous la majorité numérique

Les autres arguments avancés par les sénateurs, qui portaient sur plusieurs dispositions du texte, ont aussi été écartés, à l’image de celui relatif à la majorité numérique, c’est-à-dire le moment à partir duquel un jeune peut donner son accord pour le traitement de ses données personnelles, sans avoir besoin de passer par ses parents ou la personne qui exerce l’autorité parentale.

Pour les élus, la formulation législative semblait nécessiter un double consentement quand le mineur a moins de 15 ans (c’est le seuil qui a finalement été retenu pour la majorité numérique) : le traitement des données à caractère personnel ne serait licite que si sont recueillis le consentement du mineur mais aussi celui du titulaire de l’autorité parentale.

Le Conseil a contesté cette interprétation, en faisant observer que le RGPD, dans sa rédaction, permet aux États membres de prévoir deux possibilités : « soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement ».

Source : Pexels

Le RGPD introduit une notion de majorité numérique.
CC Pexels

Emploi d’algorithmes

La décision du Conseil a aussi établi une jurisprudence constitutionnelle concernant l’usage des algorithmes par l’administration. « Le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard », écrit-il.

En conséquence, le Conseil fait savoir que l’administration n’a pas le droit d’employer des algorithmes auto-apprenants « comme fondement exclusif d’une décision administrative individuelle », c’est-à-dire concernant un individu. Ces algorithmes auto-apprenants sont ceux « susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement ».

Pour le Conseil, « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes », en fixant notamment des conditions préalables à remplir, et cela même si la loi adaptant le RGPD « autorise l’administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d’un algorithme ».

code-source-programmation-informatique-developpement

Le traitement algorithmique est amené à prendre de l’ampleur.
CC WOCinTech Chat

La CNIL

La décision du Conseil constitutionnel a également écarté une série de griefs portant sur la Commission nationale de l’informatique et des libertés, à commencer par les conditions de sa participation, à des fins consultatives, « sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données », mais aussi de son organisation interne, avec la formation restreinte.

Les Sages de la rue de Montpensier ont aussi considéré que les critiques des élus portant sur l’absence de contrôle de la part de la CNIL sur les pouvoirs publics constitutionnels et sur les pouvoirs du président de la CNIL, qui est autorisé à prononcer des avertissements ou des mises en demeure, n’avaient pas lieu d’être, car les dispositions ne méconnaissent aucune exigence constitutionnelle.

isabelle-falque-pierrotin-cnil

Isabelle Falque-Pierrotin, la présidente de la CNIL.

Source : Mariano Bordon

Données de santé

Les sénateurs craignaient que les organismes d’assurance maladie complémentaire privés puissent « avoir accès aux données à caractère personnel issues de la facturation des soins, sans avoir à recueillir le consentement préalable des patients ». Ils s’inquiétaient aussi puissent se servir de ces informations « pour fixer le prix des assurances ou à des fins de choix thérapeutique ou médical ».

Le Conseil rappelle toutefois « les données de santé recueillies dans le cadre de ces traitements ne peuvent faire l’objet d’un traitement ultérieur incompatible avec la finalité d’origine du traitement » et que ces traitements sont tenus de respecter les dispositions du RGPD et de la loi Informatique & Libertés « relatives aux principes régissant le traitement des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées ».

Il est aussi souligné que les dispositions contestées par les parlementaires « n’ont, en tout état de cause, pas pour effet d’autoriser ces organismes à imposer à leurs assurés le choix d’un médecin ni d’interdire la prise, par ce dernier, de décisions médicales ». Pour le Conseil, « le grief manque en fait », c’est-à-dire que les faits invoqués sont matériellement inexistants.

esante-medecine-hopital

L’enjeu de l’accès aux données de santé.
CC NEC Corporation of America

Dispositions pénales

Les dernières dispositions attaquées par les sénateurs touchent à des éléments du droit pénal, qu’il s’agisse du « régime des traitements de données personnelles relatives aux condamnations pénales », des « conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires » ou des traitements de données personnelles « à des fins de prévention et de détection ».

Ces dispositions ont toutes été validées par le Conseil constitutionnel, à une exception : les Sages ont déclaré contraires à la Constitution les mots « sous le contrôle de l’autorité publique ou » de l’article 13 de la loi relative à la protection des données personnelles. Cet article concerne justement le régime des traitements de données personnelles relatives aux condamnations pénales.

prison

Une prison près de Bézier. Image d'illustration.

Source : Jeroen Komen

Le Conseil reproche au parlement de ne pas avoir déterminé « ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données ». Or, la disposition est attaquée dans le cas de figure où « ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales ».

« En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées », et parce que le législateur n’a pas « suffisamment précisé les catégories de personnes désormais autorisées à mettre en œuvre de tels traitements de données pénales à des fins autres que policières et judiciaires », « ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ».

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !