CHAPITRE II - DISPOSITIONS RELATIVES À LA SIMPLIFICATION DES FORMALITÉS PRÉALABLES À LA MISE EN oeUVRE DES TRAITEMENTS
Article 9 (art. 22, 23, 24, 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16-1-A du code pénal) - Suppression des régimes de formalités administratives préalables, sauf exceptions
L'article 9 du projet de loi supprime les principaux régimes de formalités préalables obligatoires (déclaration du traitement, autorisation par la CNIL ou autorisation par décret en Conseil d'État après avis de la CNIL), remplacés par le mécanisme directement prévu par le RGPD en cas de risque pour la vie privée (analyse d'impact, consultation de l'autorité de régulation, possibilité d'objections et de sanctions).
Par exception toutefois, il maintient certaines formalités spécifiques pour certains traitements utilisant le numéro de sécurité sociale (« NIR ») et pour certains traitements de données biométriques ou génétiques opérés par l'État.
1. Le contrôle des traitements de données personnelles jusqu'ici : un régime administratif régulé par la CNIL et centré sur le respect de formalités préalables
En l'état du droit, la loi Informatique et libertés soumet la mise en oeuvre, par une personne publique ou privée, de traitements de données personnelles à des formalités préalables obligatoires (chapitre IV, articles 22 à 31), sous le contrôle de la CNIL, et selon une gradation de procédures qui tient compte à la fois de la finalité du traitement, de sa sensibilité en termes de type de données traitées et de l'identité de son responsable .
Ces formalités doivent être respectées sous peine de sanctions pénales 49 ( * ) , administratives 50 ( * ) ou civiles 51 ( * ) .
En fonction de critères multiples, et selon une grille considérablement enrichie et complexifiée au fil des années pour suivre l'évolution des technologies, les traitements sont alternativement :
- soit dispensés de déclaration (la dispense est prévue dans certains cas par la loi elle-même et peut aussi être prononcée par la CNIL 52 ( * ) ) ;
- soit préalablement déclarés à la CNIL , (articles 22 à 24) ; pour les traitements de données courants les moins sensibles ;
- soit autorisés par la CNIL (article 25) ;
- soit encore autorisés par arrêté ou par décret en Conseil d'État après avis de la CNIL (article 26 et 27).
En 2016, la CNIL avait reçu 102 629 dossiers de formalités, dont 54 000 dossiers de formalités simplifiées, accordé 190 autorisations et reçu 316 demandes d'autorisation en matière de biométrie.
2. Un régime particulièrement protecteur mais extrêmement complexe : l'accès au « NIR » (numéro d'inscription au répertoire des personnes physiques de l'Insee, dit « numéro de sécurité sociale »)
Le numéro d'inscription au répertoire des personnes physiques de l'Insee (« NIR », plus communément dénommé « numéro de sécurité sociale »), est une donnée particulièrement sensible.
Il s'agit d'une donnée très identifiante : d'une part, chaque personne en France est associée à un NIR unique , d'autre part, le procédé de construction de ce numéro renforce cette qualité identifiante (puisqu'il est formé à partir de plusieurs autres numéros qui, chacun, donnent une information sur la personne désignée - son sexe, l'année et le mois de sa naissance, ainsi que sa commune de naissance).
Le législateur a soumis les fichiers susceptibles d'utiliser le NIR à un régime plus contraignant que le droit commun, en fonction de la qualité de la personne pour laquelle il est mis en oeuvre (publique ou privée) et du type d'utilisation (utilisation de ce numéro au nombre des données traitées par le fichier ou consultation par ledit fichier du répertoire national des personnes physique) 53 ( * ) .
D'autres procédures juridiques ont été progressivement ajoutées à ce dispositif déjà complexe :
- par la loi de modernisation de notre système de santé, pour faciliter le recours au NIR dans la gestion des services sanitaires et médico-sociaux, la recherche médicale et la gestion des alertes sanitaires ;
- puis par la loi pour une République numérique, en faveur de la statistique publique conduite par l'Insee et des recherches scientifiques ou historiques.
En l'état du droit, le régime foisonnant applicable en la matière est résumé par le tableau suivant :
Comme le souligne la CNIL dans son avis sur le projet de loi : « le régime juridique [de l'utilisation du NIR] était devenu, au fil des ans, largement incompréhensible par les responsables de traitement concernés ».
3. La « responsabilisation » des acteurs par le RGPD : une démarche d'auto-évaluation accompagnée par le régulateur qui ne permet aux États membres de conserver que quelques formalités résiduelles
À la différence de l'ancienne directive de 1995 qu'il remplace, le RGPD n'autorise plus un recours systématique par les États aux régimes de formalités préalables, mais introduit à la place en droit de la protection des données une logique de « responsabilisation » des acteurs tout au long du cycle de vie des données largement inspirée du droit anglo-saxon (« accountability » en anglais).
Aux termes de son article 5, il fait ainsi figurer au titre des « principes relatifs au traitement des données à caractère personnel » celui selon lequel « le responsable du traitement est responsable du respect [des principes relatifs au traitement des données à caractère personnel] et est en mesure de démontrer que celui-ci est respecté (responsabilité) » 54 ( * ) .
Le règlement privilégie une approche fondée sur le risque et ne maintient des formalités que pour certains types de traitements , dans une démarche d'auto-évaluation accompagnée par le régulateur (et, bien sûr, sous la menace de sanctions dissuasives) :
- en cas de traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes », les responsables devront mener une analyse d'impact afin de mesurer le risque en matière de protection des données ; cette évaluation préalable est expressément obligatoire dans certains cas déterminés, tels que le profilage ou le traitement à grande échelle de données sensibles (article 35 du RGPD) ;
- lorsqu'une analyse d'impact révèle un risque élevé si le responsable du traitement ne prenait pas de mesures pour l'atténuer, la consultation préalable de l'autorité de contrôle est de droit (article 36 du RGPD) ;
- l'autorité pourra émettre un avis négatif au traitement et faire usage de ses pouvoirs de sanction si elle estime que celui-ci « constituerait une violation du règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque ».
En outre, pour certains types de traitements ou dans certaines matières, en raison de la sensibilité particulière des données traitées, des articles spécifiques du RGPD autorisent des régimes dérogatoires nationaux pouvant inclure des formalités, au titre de garanties ou de conditions supplémentaires . Il en va ainsi notamment pour le traitement :
- « des données génétiques , des données biométriques ou des données concernant la santé » (article 9, § 4, du RGPD) ;
- « des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » (article 10 du RGPD) ;
- « effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique » (article 36, § 5, du RGPD) ;
- « d'un numéro d'identification national ou de tout autre identifiant d'application générale » (article 87 du RGPD) ;
- et celui « des données à caractère personnel des employés dans le cadre des relations de travail , aux fins, notamment, du recrutement, de l'exécution du contrat de travail » (article 88 du RGPD).
4. Le projet transmis
L'article 9 du projet de loi tire les conséquences de la nouvelle logique de conformité et de responsabilité mise en place par le règlement.
Il supprime tant les régimes de déclaration préalable que les régimes d'autorisation figurant aux articles 22 à 25 de la loi Informatique et libertés (remplacés par les obligations découlant directement du RGPD, dont celle d'effectuer une analyse d'impact en cas de traitement à risque et, en cas de risque élevé, de consulter la CNIL, qui peut alors s'y opposer).
Utilisant les marges de manoeuvre reconnues aux États membres par le règlement, il conserve cependant un régime d'autorisation préalable pour certains traitements d'une sensibilité particulière :
- pour les traitements mis en oeuvre pour le compte de l' État agissant dans l'exercice de ses prérogatives de puissance publique qui portent sur des données génétiques ou biométriques , mis en oeuvre aux fins d' authentification ou de contrôle de l'identité des personnes (réécriture de l' article 27 de la loi, utilisant la marge de manoeuvre de l'article 9, § 4, du RGPD). Ces traitements nécessiteront une autorisation par décret en Conseil d'État après avis motivé et publié de la CNIL ;
- et pour les traitements mis en oeuvre pour le compte de personnes publiques ou privées traitant des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ( NIR ) (réécriture de l' article 22 utilisant la marge de manoeuvre de l'article 87 du RGPD).
Par principe, un décret-cadre pris après avis motivé et publié de la CNIL définira les catégories de responsables de traitement et les finalités pour lesquelles les traitements pourront être mis en oeuvre.
Des exceptions seront en outre prévues pour certains traitements identifiés (traitements à finalités de statistique publique, de recherche scientifique ou historique, de téléservices) dès lors que le NIR a fait l'objet préalablement d'une opération cryptographique lui substituant un code statistique non signifiant.
Enfin, les données de santé utilisant le NIR sont soumises au régime spécifique prévu au chapitre IX de la loi, à l'exception des traitements portant sur les alertes sanitaires qui seront, quant à elles, soumises au droit commun de l'analyse d'impact ou, lorsqu'elles utilisent le NIR, au régime d'autorisation prévu par le décret-cadre précité.
Votre commission a adopté un amendement de coordination COM-50 rectifié de son rapporteur puis l'article 9 ainsi modifié.
* 49 Pour les traitements soumis à cette obligation, le fait de ne pas procéder aux formalités requises est passible d'une peine de 5 ans d'emprisonnement et de 300 000 euros d'amende (art. 226-16 et 226-16-1-A du code pénal). En pratique, la doctrine s'accorde à reconnaître que de telles peines sont cependant rarement prononcées, et que, lorsqu'elles le sont, le quantum est assez léger.
* 50 Voir le commentaire des articles 3 et 6 pour une description du pouvoir de sanction de la CNIL, et notamment celui d'infliger des amendes.
* 51 Engagement de la responsabilité civile, nullité de certains actes et caractère illicite de la preuve obtenue en méconnaissance des obligations du responsable du traitement.
* 52 Pour les catégories les plus courantes de traitements de données à caractère personnel dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.
* 53 En substance, pour les personnes privées, l'utilisation du NIR ou la consultation du répertoire Insee doivent être autorisées par la CNIL. Si le fichier incluant le NIR parmi les données à traiter est mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, l'autorisation doit alors être délivrée par décret en Conseil d'État pris après avis motivé et publié de la CNIL. S'il ne s'agit que d'autoriser la consultation du RNIPP, un arrêté (ou une décision de l'organe délibérant) pris après avis motivé et publié de la CNIL suffit. La même procédure d'arrêté est applicable si le traitement utilisant le NIR vise uniquement à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration.
* 54 La protection devra désormais être assurée dès la conception du service ou du produit (« privacy by design ») et en minimisant l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default »). Les responsables de traitement et leurs sous-traitants doivent opérer un suivi continu pour être en mesure de démontrer à tout moment la conformité au règlement (en se dotant de procédures appropriées, comme un registre des traitements pour les grandes structures), voire de moyens humains dédiés ( délégués à la protection des données désormais obligatoires dans certains cas : pour les autorités publiques et, dans le privé, pour certains acteurs traitant des données à « grande échelle » de façon régulière ou en cas de données sensibles.).