CHAPITRE II - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIESDE DONNÉES
Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978relative à l'informatique, aux fichiers et aux libertés) - Traitement des données personnelles dites « sensibles »
L'article 7 du projet de loi harmonise les dispositions nationales encadrant le traitement des données dites « sensibles » avec celles du RGPD et de la directive : il élargit le champ de ces données et complète par ailleurs les cas dans lesquels de telles données peuvent être exceptionnellement traitées.
En l'état du droit , la loi Informatique et libertés instaure une interdiction relative de collecte et de traitement des données sensibles. Elle s'inspire, ce faisant, de l'ancienne directive de 1995 qu'elle transpose 42 ( * ) .
Elle exclut d'abord par principe collecte et traitement pour toute une série de données personnelles (celles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci »).
Elle ménage cependant une série d' exceptions autorisées :
- lorsque la personne concernée a donné son consentement exprès (sauf si la loi exclut de lever l'interdiction) ;
- pour certains types ou finalités de traitements (sauvegarde de la vie humaine ; organismes à but non lucratif pour les seules données correspondant à leur objet et ne concernant que leurs membres ; constatation, exercice ou défense d'un droit en justice ; données rendues publiques par la personne concernée ; médecine préventive, diagnostics médicaux, administration de soins ou de traitements ou gestion de services de santé mis en oeuvre par un professionnel de santé ; statistiques réalisées par l'Insee ou l'un des services statistiques ministériels, après autorisation de la CNIL et avis du Conseil national de l'information statistique ; recherche dans le domaine de la santé) ;
- si les données sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation (approuvé par la CNIL) ;
- et pour les traitements, autorisés ou déclarés, justifiés par l'intérêt public.
À ces exceptions s'ajoute une dérogation générale 43 ( * ) concernant les traitements de ce type de données à des fins de journalisme et d'expression littéraire et artistique.
L'article 7 du projet de loi modifie la rédaction de l'article 8 de la loi du 6 janvier 1978 précité de manière à assurer sa compatibilité avec l'article 9 du règlement et l'article 10 de la directive. Il harmonise le champ des données dites « sensibles » grâce à une définition s'appliquant à tous les traitements portant sur ces données, qu'ils relèvent du droit de l'Union européenne ou du droit national.
La liste existante des données sensibles est conservée à quelques précisions sémantiques près, notamment l'ajout explicite des données concernant l'« orientation sexuelle » (distinguées de celles déjà prévues concernant la « vie sexuelle »), des données génétiques et des données biométriques 44 ( * ) .
Concernant les dérogations à l'interdiction de traitement , outre celles déjà autorisées par l'article 9 du RGPD, d'application directe, et qui recoupent celles prévues par le droit national, le projet de loi ajoute explicitement :
- une dérogation pour les traitements mis en oeuvre par les employeurs ou les administrations qui portent sur des données biométriques nécessaires aux contrôles de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents, conformément aux recommandations de la CNIL ; à cet égard, votre commission a adopté un amendement COM-49 de son rapporteur complétant ces dispositions afin de prendre en compte le cas des prestataires et des stagiaires pouvant aussi être amenés à utiliser ces systèmes pour accéder aux locaux ;
- une dérogation pour les traitements mis en oeuvre par l'État qui sont autorisés 45 ( * ) et justifiés par l'intérêt public ;
- et une dérogation en faveur de la réutilisation des informations figurant dans les jugements et décisions de justice rendus publics en open data , conformément à la loi du 7 octobre 2016 pour une République numérique, à la condition que cette réutilisation n'ait ni pour objet ni pour effet de permettre la ré-identification des personnes concernées.
Votre commission a adopté l'article 7 ainsi modifié.
* 42 Concernant le champ des données dites « sensibles », outre les dérogations à l'interdiction de traitement déjà expressément contenues dans la directive, l'article 8, paragraphe 4, de l'ancienne directive de 1995 autorisait les États membres à prévoir, sous réserve de garanties appropriées, des dérogations supplémentaires pour un motif d'intérêt public important, soit par leur législation nationale, soit par leur autorité de contrôle.
* 43 Prévue à l'article 67 de la loi Informatique et Libertés.
* 44 Le projet de loi transmis maintient d'ailleurs certaines formalités préalables pour certains traitements concernant ces données sensibles ( données biométriques et génétiques) en utilisant une marge de manoeuvre du RGPD, dont le 4 de l'article 9 permet de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données de la santé » (voir le commentaire de l'article 9).
* 45 Par décret en Conseil d'État pris après avis motivé et publié de la commission (en pratique, ces traitements sont principalement mis en oeuvre par les ministères de la défense ou de l'intérieur).