La nouvelle loi Informatique et Libertés vient d’être votée par l’Assemblée nationale, le 14 mai 2018.

Sera-t-elle promulguée à temps, avant le 25 mai, date d’entrée en application du RGPD ?
Sera-t-elle déférée devant le Conseil constitutionnel par le président du Sénat ou soixante Sénateurs, ce qui retardait alors sa promulgation ?
Quels seraient les effets d’une telle saisine ?
Et où en sont les décrets qui doivent accompagner la nouvelle loi ?

Quels scenarii après le vote de la loi « Informatique et Libertés » dans sa troisième version ?

L’association AFCDP, qui regroupe et représente les DPO, dresse une synthèse sur ces nombreux points d’interrogation. Après être revenu sur les étapes ayant mené au texte final, cette note décrit les deux scenarii (absence de saisine ou recours au Conseil constitutionnel) et les conséquences dans les deux cas.

Dans cette note d’analyse :
1. Retour sur les étapes ayant menées au vote de la loi
2. Ce qui devrait se passer maintenant, sans saisine du Conseil constitutionnel
3. Et en cas de saisine du Conseil constitutionnel ?
4. Quels impacts pour les responsables de traitement et la CNIL ?

1. Retour sur les étapes ayant menées au vote de la loi

13 décembre 2017 : La garde des sceaux, ministre de la justice présente un projet de loi relatif à la protection des données personnelles destiné à adapter au droit de l’Union européenne la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et transposer le nouveau cadre juridique européen (le règlement RGPD (UE) 2016/679 et la directive (UE) 2016/680) qui entrera en application le 25 mai 2018. Le texte est présenté en procédure accélérée.
13 février 2018 : L’Assemblée nationale adopte le texte en 1ère lecture.
21 mars 2018 : Le Sénat adopte le texte en 1ère lecture.
6 avril 2018 : Échec de la commission mixte paritaire.
12 avril 2018 : L’Assemblée nationale adopte le texte en nouvelle lecture.
19 avril 2018 : Le Sénat adopte le texte en nouvelle lecture.
14 mai 2018 : L’Assemblée nationale adopte le texte en lecture définitive.

Les points de désaccord entre les deux chambres portaient notamment sur l’action de groupe, la création d’une dotation spécifique et l’exonération de toute sanction pour les collectivités territoriales, le fléchage des amendes et astreintes, l’open data des décisions de justice ou encore l’âge du consentement des mineurs.

Comme nous allons le voir, certains de ces désaccords font peser un risque sur la date effective de promulgation de la loi.

Rappelons que bien que le RGPD soit d’application directe, il laissait 56 marges de manœuvre aux Etats Membres. La nouvelle loi Informatique et Libertés sert également à supprimer les contradictions entre le droit français et européen. Parmi les articles les plus importants, on peut citer :

- l’âge du consentement numérique fixé à 15 ans ;
- la création de régimes d’exception, appelés à être précisé par décrets, pour les traitements des données génétiques ou biométriques nécessaires à l’authentification des personnes et pour les traitements du répertoire national d’identification des personnes physique ;
- la permission accordée à la CNIL de « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé » ;
- l’introduction d’une exception pour le traitement des données biométriques par les employeurs ou administrations si elles sont strictement nécessaires au contrôle de l’accès aux lieux de travail ou aux appareils utilisés dans le cadre de missions ;
- l’interdiction de fonder une décision de justice impliquant une appréciation sur le comportement d’une personne sur un traitement automatisé destiné à évaluer certains aspects de sa personnalité ;
- l’autorisation des actions de groupe non seulement pour la cessation des manquements, mais aussi pour réparation des préjudices matériels ou moraux.

2. Ce qui devrait se passer maintenant, sans saisine du Conseil constitutionnel

Pour gagner en clarté et créer un véritable « Code de la donnée », le gouvernement est autorisé à réécrire la nouvelle loi Informatique et Libertés ainsi que « l’ensemble de la législation applicable à la protection des données à caractère personnel », par ordonnance et après avis de la CNIL, dans un délai de six mois à compter de la promulgation de la loi.

Mais, dans cette attente, la nouvelle loi Informatique et Libertés est promulguée après signature par le Président de la République, au maximum deux semaines après adoption du texte (donc avant le 28 mai).

Cette nouvelle loi est applicable telle quelle dès le 25 mai pour toutes ses parties qui ne nécessitent pas de décret d’application.

Trois points font exception :
- l’article 17 (qui modifie le code de l’éducation et oblige les établissements publics d’enseignement scolaire de mettre à la disposition du public le registre des traitements) entre en vigueur à la rentrée scolaire 2018 ;
- la fin du 2° de l’article 21 (qui modifie le code des relations entre le public et l’administration concernant les décisions administratives individuelles) entre en vigueur le 1er juillet 2020 ;
- l’article 70-15 (relatif au journal des opérations de traitement mais dans le champ de la Directive) entre en vigueur au plus tard en mai 2026 : ce point sera précisé dans un décret simple.

Un décret simple modifiera le code de la santé publique concernant la désignation et le mode de fonctionnement de la fonction d’information médicale. En outre, les décrets complétant ou fondés sur l’actuelle loi Informatique & Libertés devront être modifiés pour assurer la cohérence du droit.

Plusieurs points nécessiteront par contre un décret en Conseil d’État :
- la détermination des catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le NIR (numéro de sécurité sociale) ;
- la fréquence de renouvellement de l’opération cryptographique sur le NIR ;
- les relations entre l’organisme national d’accréditation et la CNIL concernant les agréments des organismes certificateurs ;
- les conditions et limites pour la délégation des signatures du Président et Vice-Président délégué de la CNIL ;
- l’article 49-3 sur la procédure de la CNIL lorsqu’elle est autorité de contrôle chef de file ;
- la procédure d’urgence contradictoire de la CNIL en cas de constat de violation des droits et libertés qui nécessitent une intervention en urgence ;
- la liste des catégories de personne morale de droit privé pouvant traiter des données relatives aux infractions, condamnations et mesures de sûreté ;
- la possibilité pour l’Institut National des Données de Santé (INDS) de se saisir ou d’être saisi par la CNIL sur le caractère d’intérêt public d’un traitement automatisé pour la recherche ;
- la composition du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé chargé de donner un avis à la CNIL « pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine » ;
- la composition du comité d’audit du système national des données de santé ;
- la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données (en cas de risque pour sécurité ou défense nationale) ;
- les conditions de sous-traitance pour les traitements dans le champ de la directive ;
- les traitements mis en œuvre pour le compte de l’État qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
- les conditions et garanties sous lesquelles un traitement à des fins de recherche scientifique ou historique ou à des fins statistiques peut déroger à certains droits des individus ;
- les conditions d’application de l’article limitant la possibilité d’indiquer la qualité de militaire d’une personne ;
- les modalités de contrôle de services de communication au public en ligne par les agents de la CNIL.

Nous n’avons pour le moment pas d’indication de date sur la parution de ces décrets, dont les projets sont préparés par la Chancellerie (Ministère de la Justice) avec le concours des ministères concernés. Sera-t-il possible, par exemple, de mettre en œuvre un nouveau traitement portant sur le NIR en l’absence du décret cadre attendu ?

3. Et en cas de saisine du Conseil constitutionnel ?

Après l’échec de la commission mixte, le 6 avril, M. Philippe Bas, vice-président du Sénat avait évoqué la possibilité de voir la chambre haute saisir le Conseil constitutionnel. Mme Joissains, rapporteure, a précisé que la décision serait prise après le vote définitif de l’Assemblée.

Selon les informations du journal NextInpact, cette saisine serait en cours de rédaction. « Le Conseil constitutionnel va être saisi. Je ne sais encore comment les groupes vont s’organiser ou bien si nous allons nous contenter de 60 sénateurs, mais un recours va être déposé » - Sophie Joissains

Les points de crispation se focalisaient sur :
-  L’article 30 du projet de loi, qui permet à l’administration de prendre (dans certaines conditions) des décisions individuelles « sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage ». Pour le Sénat, de telles dispositions pourraient se révéler contraires à certains principes constitutionnels, dans le prolongement de la jurisprudence du Conseil d’État, selon laquelle il revient aux autorités administratives de se livrer à un examen particulier des données propres à chaque dossier ;
-  L’article 36, qui a trait aux modalités d’effacement des données inscrites dans le fichier TAJ (Traitement d’Antécédents Judiciaires). Le Sénat estime que les dispositions votées par les députés portent une atteinte disproportionnée au droit au respect de la vie privée, dans la mesure où certaines « garanties » voulues par le Sénat n’ont pas été retenues : délai de réponse aux demandes de rectification et d’effacement fixé à un mois, etc.
-  L’article 13, qui étend la liste des personnes autorisées à mettre en œuvre des fichiers pénaux. La rapporteure du Sénat considère que la copie des députés manque de précision, notamment sur le contrôle de l’accès à ces fichiers, ce qui serait une potentielle source d’incompétence négative de la part du législateur.

Lors de la lecture finale le lundi 14 mai 2018, les Députés ont peu concédé aux Sénateurs.

Le Sénat a également évoqué la possibilité de demander au Conseil constitutionnel si une autorité administrative comme la CNIL peut infliger des sanctions à une collectivité territoriale.

Si elle intervient, la saisine du Conseil constitutionnel – qui suspend la promulgation - doit se faire entre l’adoption du texte par le Parlement et la signature du Président pour promulgation (pour rappel, celle-ci intervient au maximum deux semaines après), c’est-à-dire au plus tard le 28 mai.

Quelle que soit la suite réservée au projet de loi, le RGPD entrera de toute façon en application le 25 mai. La partie directive, qui n’est pas d’applicabilité directe, exigeait d’être transposée par les États membres avant … le 6 mai 2018. La jurisprudence indique qu’une directive peut avoir un effet direct si elle n’a pas été transposée avant sa date de transposition obligatoire, dans certaines conditions, dont l’étude dépasse le périmètre de la présente note.

Le Conseil constitutionnel doit statuer dans le délai d’un mois. Toutefois, à la demande du Gouvernement, s’il y a urgence, ce délai peut être ramené à huit jours.

Dans ce scenario :
- Jusqu’au 24 mai 2018, la loi Informatique et Libertés du 6 janvier 1978 modifiée continue à s’appliquer ;
- À partir du 25 mai 2018, ce sont les dispositions du RGPD qui entrent en application, complétées par les dispositions de la loi Informatique et Libertés du 6 janvier 1978 modifiée (celles qui ne sont pas contradictoires avec le RGPD) ;
- Au plus tôt 8 jours après la saisine et au plus tard le 28 juin (décision du Conseil constitutionnel), le RGPD est complété par le nouveau texte (conservé dans sa version votée par l’Assemblée nationale le 14 mai ou censuré de certains de ses articles).

Quelle peut être la décision du Conseil constitutionnel ?

Si le Conseil constitutionnel déclare que les dispositions législatives contestées sont conformes à la Constitution, ces dispositions conservent leur place dans l’ordre juridique interne et la nouvelle loi Informatique et Libertés est promulguée telle que votée le 14 mai 2018 par l’Assemblée nationale.

Si, au contraire, le Conseil constitutionnel déclare que les articles contestés sont contraires à la Constitution, la décision a pour effet de les abroger : la nouvelle loi Informatique et Libertés est promulguée, mais amputée des dispositions en question. Un nouveau projet de loi serait-il alors nécessaire pour traiter des points qui ne seraient couverts par aucun texte ? En attendant, en cas de litige, ce serait au régulateur ou au juge de trancher.

4. Quels impacts pour les responsables de traitement et la CNIL ?

Dans l’hypothèse d’une saisine du Conseil constitutionnel et d’une décision abrogeant quelques dispositions, seuls seraient impactés les responsables de traitement directement concernés par les articles contestés. On note que les points principaux de crispation entre le Sénat et l’Assemblée nationale concernent principalement les autorités publiques et les collectivités, et peu les acteurs du secteur privé.

Concernant les conséquences d’une abrogation de la loi par le Conseil constitutionnel pour la CNIL, le dernier rapport annuel de la Commission apporte un premier éclairage : « Tenir ce calendrier n’est pas seulement un enjeu juridique : il s’agit d’un enjeu opérationnel majeur, la mise en œuvre effective des mécanismes de coopération prévus par le Règlement pouvant être compromise en l’absence de textes nécessaires. »

Dans le cadre d’interviews, Isabelle Falque-Pierrotin, Présidente de la CNIL, s’est inquiétée des effets d’un possible retard de promulgation de la loi : « S’il y a le 26 mai ou le 1er juin une plainte sur un litige transfrontière qui nécessite de faire intervenir la coopération entre l’autorité chef de file et les autorités concernées européennes, nous serons extrêmement handicapés. » En effet, il est nécessaire que les États membres aient légiféré pour permettre certaines opérations des autorités de contrôle, comme l’envoi d’agents d’une autorité de contrôle dans un autre État membre, ou la réception d’agent d’une autorité de contrôle étrangère.

Informations ajoutées après la publication de la présente note d’analyse :

16 mai 2018 : La saisine par au moins 60 sénateurs a été formalisée au Conseil constitutionnel le 16 mai 2018. - Saisine n°2018-765 DC [relative à la protection des données personnelles] DC du 16 mai 2018. A noter : « Les dates des séances du Conseil constitutionnel ne sont pas rendues publiques. Les saisines sur les lois déférées sont rendues publiques en même temps que la décision »

18 mai 2018 : Il semble NextInpact ait eu accès à la saisine des Sénateurs. En synthèse : Les sénateurs (en tout cas au moins soixante d’entre eux) considèrent que le projet de loi ne répond pas à l’objectif d’accessibilité et d’intelligibilité de la loi et pointent des différences avec le RGPD. Les critiques visent également la procédure de sanction au sein de la CNIL. Les sénateurs considèrent aussi que le projet de loi autorise des immixtions auprès des pouvoirs centraux, ce qui violerait le principe de la séparation des pouvoirs. Est soulevée aussi la question de l’automatisation intégrale des décisions administratives individuelles, dont l’encadrement est jugé trop flou, et donc susceptible d’abus.

13 juin 2018 : Le 12 juin 2018, Conseil Constitutionnel a rendu sa décision sur la saisine par 60 sénateurs sur le projet de loi adaptant la Loi Informatique et Libertés au Règlement Européen sur la Protection des Données.

Il a publié à ce sujet un communiqué de presse et sa décision au format pdf.

À part la censure des mots « sous le contrôle de l’autorité publique ou » figurant au 1° de l’article 13 de la loi relative à la protection des données personnelles, qui sont contraires à la Constitution, le Conseil Constitutionnel a estimé conformes à la Constitution toutes les autres dispositions contestées par les sénateurs.

Le Conseil Constitutionnel a estimé conformes à la Constitution toutes les dispositions contestées par les sénateurs à une seule exception : il a censuré les mots « sous le contrôle de l’autorité publique ou » figurant au 1° de l’article 13 de la loi relative à la protection des données personnelles, car le législateur n’a déterminé « ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données », alors qu’il aurait dû au vu de l’ampleur du traitement et de la nature des données (relatives aux condamnations pénales, infractions ou mesures de sûreté connexes).

03 août 2018 : Parution du décret d’application de la loi traitant des pouvoirs de la CNIL et du DPO, ainsi que de l’avis de la CNIL sur ce décret

Vous voulez rester informé ? Abonnez-vous (gratuitement) à la newsletter de l’AFCDP, "L’Actualité des données personnelles".





Agenda

16 janvier 2019
13è Université des DPO - Paris