Projet de loi relatif à la protection des données personnelles

TITRE III - DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2009/977/JAI DU CONSEIL

Les articles 18 et 19 qui composent le titre III du projet de loi tendent à transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2009/977/JAI du Conseil.

La directive doit être transposée avant le 6 mai 2018.

1. Les objectifs de la directive (UE) 2016/680

La directive 95/46 a doté l'Union européenne d'un premier cadre de protection des données personnelles. Cette directive ne s'appliquait néanmoins pas aux activités relevant du pilier interétatique relatif à la justice et aux affaires intérieures (dit « JAI »).

Après les attentats terroristes de Londres de 2005, les États membres de l'Union européenne ont souhaité faciliter les échanges d'informations dans le cadre des enquêtes : cette volonté politique s'est traduite par l'adoption de la décision-cadre 2008/977/JAI  qui a permis d'harmoniser les règles relatives aux traitements à des fins de prévention, de détection, d'enquêtes, de poursuites ou d'exécution des sanctions en matière pénale (soit pour les fichiers dit « de souveraineté »). Ces règles ne s'appliquaient néanmoins qu'aux échanges de fichiers entre États membres ou entre États membres et États tiers de l'Union européenne.

Les États membres ont souhaité poursuivre le renforcement de l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière . La facilitation des échanges d'informations entre autorités nationales supposait une clarification du cadre juridique applicable aux transferts de données hors de l'Union européenne vers des États tiers mais également une harmonisation des règles nationales afin d'assurer dans tous les États membres un niveau élevé de protection des données à caractère personnel . Par cohérence avec les règles posées par le règlement (UE) 2016/679, la directive (UE) 2016/680 tend à affirmer des droits pour les personnes concernées (droit à l'information, droit d'accès, droit de rectification ou d'effacement des données et droit de limitation des données) qui peuvent faire l'objet de restrictions, mais également des obligations pour les responsables de traitements .

2. Le champ d'application de la directive

La directive est applicable à tout traitement de données à caractère personnel qui dépend d'une autorité « compétente » à des finalités de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Les dispositions de la directive sont applicables lorsque sont remplies deux conditions cumulatives tenant :

- à la nature de l'autorité chargée de traiter les données à caractère personnel ; est une autorité compétente l'autorité judiciaire, la « police », toute autorité répressive, tout organisme ou entité à qui le droit national confie l'exercice de l'autorité publique ou des prérogatives de puissance publique ;

- et aux finalités du traitement.

À défaut de la réunion de ces deux conditions, dès lors que le traitement relève du droit de l'Union, les dispositions du règlement (UE) 2016/679 s'applique.

Le tableau ci-après illustre la détermination du cadre légal applicable.

Détermination du cadre légal applicable

Source : commission des lois du Sénat

Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droit à l'information en matière pénale - Suppression de certains régimes d'exercice indirect du droit d'accès

L'article 18 du projet de loi vise à adapter la loi n° 78-17 du 6 janvier 1978 à certaines dispositions de la directive (UE) 2016/680.

1. Le régime actuel des traitements de données à caractère personnel en matière pénale : des droits limités pour les personnes concernées

Actuellement, il existe un régime dérogatoire pour les traitements de données à caractère personnel en matière pénale et pour les fichiers dits de police permettant de déroger à certains droits ou d'en moduler les effets afin de tenir compte des finalités poursuivies par ces fichiers.

a) L'absence de droit à l'information de la personne concernée en matière pénale

En application du VI de l'article 32 de la loi n° 78-17 du 6 janvier 1978, le droit à l'information ne s'applique pas aux traitements ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Dans la mesure où une telle limitation est « nécessaire au respect des fins poursuivies par le traitement », le droit à l'information ne s'exerce pas non plus pour les traitements mis en oeuvre pour le compte de l'État et intéressant la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement, en application du V du même article 32.

b) L'exercice indirect du droit d'accès, de rectification et d'effacement

Pour certains traitements, et notamment les traitements intéressant la sécurité publique ou qui ont pour mission de prévenir, rechercher ou constater des infractions, le droit d'accès peut être prévu par l'acte d'autorisation : dans cette hypothèse, il s'exerce de manière indirecte , en application des articles 41 et 42 de la loi n° 78-17 du 6 janvier 1978.

La demande est adressée par la personne concernée à la CNIL « qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires . » Avec l'accord du responsable du traitement, ces données peuvent être communiquées au requérant. Si la communication de l'acte réglementaire portant création du fichier ne met pas en cause les finalités de celui-ci, le responsable du traitement peut transmettre ce dernier.

2. Les innovations de la directive (UE) 2016/680 pour les droits des personnes concernées

Pour les traitements de données à caractère personnel concernés ^{116 ( * )} , la directive (UE) 2016/680 affirme de nouveaux droits pour les personnes concernées.

a) L'affirmation d'un droit à l'information de la personne concernée par l'article 13 de la directive (UE) 2016/680

L'article 13 de la directive (UE) 2016/680 consacre, en matière pénale ^{117 ( * )} , un droit à l'information pour la personne concernée par un traitement de données à caractère personnel.

Sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, « retarder ou limiter la fourniture des informations à la personne concernée » ou « ne pas fournir ces informations » pour certaines catégories de traitement afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui.

b) Un droit d'accès, de rectification et d'effacement des données

L'article 14 de la directive (UE) 2016/680 affirme, sous réserve des limitations prévues par l'article 15, le droit d'accès des personnes concernées aux traitements dont elles font l'objet.

Comparaison des exigences liées au droit d'accès

L'article 15 de la directive autorise certaines restrictions à ce droit d'accès.

Pour certaines catégories de traitement définies par la loi et sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, supprimer ou limiter le droit d'accès afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle limitation constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

En cas de restriction, partielle ou totale, du droit d'accès, le responsable de traitement doit informer, par écrit, la personne concernée de cette mesure ainsi que des motifs. Cette information n'a pas à être fournie lorsqu'elle risque de compromettre les objectifs liés à la protection de la sécurité, des droits et libertés d'autrui ou à la prévention, détection, d'infractions pénales, aux enquêtes, recherches, procédures, poursuites ou à l'exécution des sanctions pénales.

c) L'affirmation d'un droit de rectification ou d'effacement et de limitation du traitement

L'article 16 de la directive (UE) 2016/680 consacre le droit pour les personnes concernées d'obtenir du responsable de traitement « dans les meilleurs délais » que toute information inexacte soit rectifiée et que toute information incomplète soit complétée.

La personne peut obtenir le droit à l'effacement de ses données :

- lorsque le traitement ne respecte pas les principes de licéité, de sécurité, de compatibilité avec les finalités légitimes, de conservation pour une durée adaptée, d'exactitude des données,

- lorsqu'il porte de manière illicite sur des données dites sensibles,

- ou lorsqu'une obligation légale l'exige.

Lorsqu'il ne peut être déterminé si des données sont exactes ou non (et que la contestation porte sur l'exactitude des données) ou lorsque les données doivent être conservées à des fins probatoires , le responsable de traitement peut « limiter » le traitement plutôt que de procéder à l'effacement des données : par exemple, restreindre le champ de recherches dans ce fichier.

Tout refus de rectifier, d'effacer des données ou de limiter le traitement, donne lieu à une information de la personne, notamment concernant les motifs de refus. Sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, limiter, voire supprimer ce droit à l'information concernant ce refus afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle restriction constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

d) Des droits s'exerçant, par principe, de manière directe

Si ces droits s'exercent, par principe, de manière directe, l'article 17 de la directive (UE) 2016/680 autorise un exercice indirect en cas de restriction, via l'autorité de contrôle (c'est-à-dire la CNIL).

3. L'objet de l'article 18 du projet de loi : assurer les coordinations nécessaires

La plupart des droits créés par la directive ne sont pas garantis par les dispositions actuelles de la loi n° 78-17 du 6 janvier 1978 : l'article 19 du projet de loi tend à les créer. Par cohérence, l'article 18 du projet de loi vise à assurer les coordinations nécessaires dans la loi Informatique et libertés en supprimant les dispositions inutiles au regard des dispositions créées par l'article 19 du projet de loi ^{118 ( * )} .

Par ailleurs, les traitements intéressant la sécurité publique relèvent, en principe, du champ d'application de la directive. Votre rapporteur s'est interrogée sur la pertinence de l'article 18 du projet de loi qui prévoit, concernant ces fichiers, de continuer à les soumettre au régime des fichiers intéressant la sûreté de l'État ou de la défense, « sans préjudice de l'application des dispositions du chapitre XIII » pour les seuls fichiers intéressant la sécurité publique.

Votre rapporteur regrette cette articulation maladroite et peu claire retenue par le projet de loi entre les dispositions générales de la loi n° 78-17 du 6 janvier 1978 et les dispositions de cette même loi concernant les seuls fichiers relevant du champ d'application de la directive (UE) 2016/680. Une intervention législative sera nécessaire pour clarifier l'agencement des dispositions de la loi « Informatique et libertés » : dans cette perspective, votre rapporteur invite le Gouvernement à mieux différencier le régime applicable aux fichiers intéressant la sûreté de l'État ou la défense, qui ne relèvent pas du droit de l'Union européenne, des fichiers intéressant seulement la sécurité publique, qui relève du champ d'application de la directive.

Sous cette réserve, votre commission a adopté l'article 18 sans modification .

Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données à caractère personnel en matière pénale

L'article 19 du projet de loi vise à transposer les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer par dérogation aux autres dispositions de la loi n° 78-17 du 6 janvier 1978. À cet effet, il prévoit la création d'un nouveau chapitre XIII de la loi n° 78-17 du 6 janvier 1978 composé de 27 articles numérotés 70-1 à 70-27.

Votre rapporteur examinera ces nouvelles dispositions, article par article, selon les quatre sections prévues par le nouveau chapitre XIII de la loi n° 78-17 du 6 janvier 1978.

SECTION 1 : DISPOSITIONS GÉNÉRALES (ART. 70-1 À ART. 70-10)

1. Champ d'application du nouveau chapitre XIII et conditions de licéité des traitements concernés (nouvel article 70-1 de la loi n° 78-17 du 6 janvier 1978)

• Le nouvel article 70-1 de la loi n° 78-17 du 6 janvier 1978 a pour objet de préciser le champ d'application des dispositions qui seraient définies dans le nouveau chapitre XIII de la loi « Informatique et libertés », en application de la directive (UE) 2016/680.

Les dispositions de la directive ont vocation à régir tout traitement de données à caractère personnel, effectué par une autorité dite compétente (soit l'autorité judiciaire, la police, toute autorité répressive, tout organisme ou entité à qui le droit national confie l'exercice de l'autorité publique ou des prérogatives de puissance publique) à des fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales , y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Sur ce point, le projet de loi se contente de reprendre, quasiment mot pour mot, le champ d'application défini par la directive : l'article 19 transpose à l'identique les finalités des traitements concernés et définit en tant qu'autorité compétente « toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié [...] l'exercice de l'autorité publique et des prérogatives de puissance publique ». À l'initiative de notre collègue députée Mme Paula Forteza, rapporteure, la commission des lois de l'Assemblée nationale a adopté un amendement rédactionnel visant à améliorer cette écriture.

Selon votre rapporteur, celle-ci demeure néanmoins perfectible. S'il est nécessaire de se conformer aux exigences du texte européen, il est néanmoins préférable de préciser les notions utilisées par la directive en mobilisant les termes utilisés en droit français. Ainsi, votre rapporteur n'approuve pas le choix du projet de loi de ne pas préciser explicitement les « autorités compétentes » concernées par ces dispositions : pourquoi ne pas mentionner l'autorité judiciaire ? Pourquoi ne pas mentionner, par renvoi, les autorités répressives, les forces de sécurité intérieure par exemple ou encore les douanes ? Dans la perspective de la clarification de la loi n° 78-17 du 6 janvier 1978, il conviendra de prendre en compte la nécessité de définir clairement les autorités compétentes en droit français. Votre rapporteur souligne néanmoins qu'une disposition générale devrait être maintenue pour certaines dispositions qui y font référence, notamment pour les « autorités compétentes » des États non membres de l'Union européenne.

• L'article 70-1 vise également à transposer l'article 8 de la directive. Selon cet article et le considérant 33, un traitement de données à caractère personnel en matière pénale n'est licite que si le traitement est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, pour les finalités énoncées précédemment, et que ce traitement est fondé sur une base juridique suffisamment claire et précise .

Les dispositions du droit national doivent, au minimum, définir les objectifs du traitement, les données à caractère personnel concernées et les finalités du traitement.

Si la rédaction de l'article 70-1 proposée par l'article 19 du projet de loi ne mentionne pas explicitement cette obligation, il est précisé que doivent être respectées les dispositions du nouvel article 70-3 imposant un acte réglementaire préalable pour les fichiers mis en oeuvre pour le compte de l'État ou les traitements portant sur des données sensibles et du nouvel article 70-4 qui impose la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel en cas de risque élevé pour les droits et les libertés des personnes physiques. À l'initiative de notre collègue députée Mme Danielle Obono, la commission des lois de l'Assemblée nationale a précisé que le traitement devait assurer « la proportionnalité de la durée de conservation des données personnelles, compte tenu de l'objet du fichier et de la nature ou de la gravité des infractions concernées ».

• Enfin, l'article 70-1 vise à préciser la définition des notions utilisées dans le nouveau chapitre XIII : lorsqu'elles ne sont pas définies dans le chapitre I ^er de la loi n° 78-17 du 6 janvier 1978, les définitions de l'article 4 du règlement (UE) 2016/679 s'appliquent.

2. Autorisation des traitements (nouveaux articles 70-2 à 70-4 de la loi n° 78-17 du 6 janvier 1978)

e) Les règles applicables aux traitements des données sensibles (nouvel article 70-2)

• Les exigences posées par l'article 10 de la directive

En application de l'article 10 de la directive, les traitements concernant certaines données « sensibles ^{119 ( * )} » ne peuvent être autorisés que si trois conditions sont réunies :

- en cas de nécessité absolue,

- sous réserve de garanties appropriées pour les droits et libertés des personnes ,

- lorsqu'ils sont autorisés par le droit de l'Union ou le droit national, ou pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ou lorsqu'ils portent sur des données manifestement rendues publiques par la personne concernée.

• Les règles actuellement définies en droit français

Si l'article 8 de la loi n° 78-17 du 6 janvier 1978 interdit, en principe, le traitement de données « sensibles », il autorise également de nombreuses exceptions dès lors que « la finalité du traitement l'exige » , sans garanties particulières ^{120 ( * )} .

Surtout, ne sont pas soumis à cette interdiction de principe les traitements mis en oeuvre pour le compte de l'État, justifiés par l'intérêt public, qui « intéressent la sûreté de l'État, la défense ou la sécurité publique » ou « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » . Ces traitements sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la CNIL.

Les règles actuelles concernant les fichiers qui relèvent du champ d'application de la directive, à savoir ceux qui intéressent la sécurité publique ou qui concernent la prévention et la répression des infractions pénales, ne respectent donc pas les exigences de la directive.

Comparaison du champ des « catégories particulières de données à caractère personnel » ou données dites « sensibles »

• L'encadrement des traitements des données sensibles prévu par le nouvel article 70-2 de la loi n° 78-17 du 6 janvier 1978

Conformément aux exigences de la directive, le nouvel article 70-2, qui serait créé par l'article 19 du projet de loi, vise à préciser que les traitements de données à caractère personnel portant sur des données dites sensibles, dans le champ d'application défini à l'article 70-1, ne sont possibles qu'en cas de « nécessité absolue », « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée » et dans trois hypothèses :

- s'ils sont prévus par un acte législatif ou réglementaire,

- s'ils ont pour objet de protéger les intérêts vitaux d'une personne physique,

- s'ils portent sur des données manifestement rendues publiques par la personne concernée.

Votre rapporteur regrette que le Gouvernement n'ait pas souhaité précisé quelles étaient « les garanties appropriées pour les droits et libertés de la personne concernée ». Il appartient au législateur, et non au pouvoir réglementaire, de préciser ces garanties à l'occasion de la création de tels fichiers par la loi. Enfin, votre commission a adopté, à l'initiative de votre rapporteur, un amendement rédactionnel COM-68 visant à préciser la première hypothèse.

f) Les formalités préalables à la création des fichiers (nouvel article 70-3)

Actuellement, les fichiers entrant dans le champ d'application de la directive sont soumis à une autorisation préalable de la CNIL ou, pour ceux mis en oeuvre pour le compte de l'État, créés par un arrêté ministériel ou un décret en Conseil d'État après avis de la CNIL.

Conformément à la philosophie portée par le règlement (UE) 2016/679, la directive (UE) 2016/680 n'impose pas de formalités préalables pour les fichiers relevant de son champ d'application.

Néanmoins, comme l'a souligné le Conseil d'État dans son avis ^{121 ( * )} , l'article 1 ^er de la directive précise que celle-ci « n'empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés » des personnes concernées. Son considérant 15 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu'elles offrent » et qu'il convient que les États « ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »

À l'invitation du Conseil d'État, l'article 19 du projet de loi, par la création de ce nouvel article 70-3 de la loi n° 78-17 du 6 janvier 1978, vise à maintenir un encadrement pour les fichiers mis en oeuvre pour le compte de l'État, en imposant soit un arrêté ministériel, soit un décret en Conseil d'État, pris après avis motivé et publié de la CNIL pour les fichiers portant sur des données dites sensibles.

Votre rapporteur approuve cet ajout et estime qu'il conviendrait de maintenir les formalités préalables pour tous les fichiers entrant dans le champ d'application de la directive, et pas seulement pour les fichiers mis en oeuvre pour le compte de l'État. En matière pénale, il lui semblerait paradoxal que les fichiers de l'État soient plus encadrés que les fichiers mis en oeuvre par des personnes morales qui peuvent être tout aussi dangereux pour les droits et libertés des personnes.

En conséquence, votre commission a adopté, à l'initiative de votre rapporteur, un amendement COM-69 rect. visant à soumettre tout traitement entrant dans le champ d'application du nouvel article 70-1, et qui ne serait pas mis en oeuvre pour le compte de l'État, à l'autorisation préalable de la CNIL , conformément au droit actuellement en vigueur .

g) Le régime de l'analyse d'impact et de la consultation préalable de la CNIL (nouvel article 70-4)

• Les exigences posées par les articles 27 et 28 de la directive

En application de l'article 27 de la directive (UE) 2016/679, tout traitement susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques doit faire l'objet d'une analyse de l'impact des opérations de traitement envisagées .

Ce risque s'évalue au regard du recours à de « nouvelles technologies » et au regard de la nature, de la portée, du contexte et des finalités du traitement.

En application de l'article 28 de la directive (UE) 2016/679, lorsque l'analyse d'impact indique, pour un traitement, un risque élevé pour les droits et les libertés des personnes physiques ou lorsqu'un type de traitement présente ce même risque (notamment en raison de l'utilisation « de nouveaux mécanismes, technologies ou procédures » ), le responsable du traitement ou le sous-traitant doit consulter l'autorité de contrôle, c'est-à-dire la CNIL.

• Le régime proposé par le projet de loi

Une transposition de ces dispositions apparaît nécessaire : aucune disposition ne prévoit actuellement de dispositif équivalent à celui imposé par la directive.

Par la création d'un nouvel article 70-4, l'article 19 du projet de loi prévoit la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel de manière systématique lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Tout traitement portant sur des données dites sensibles serait nécessairement considéré comme susceptible d'engendrer un risque élevé. Le nouvel article 70-4 prévoit la consultation de la CNIL, postérieurement à la réalisation d'analyses d'impact, dans les mêmes conditions que celles prévues par la directive.

Une nouvelle fois, votre rapporteur déplore l'absence de volonté du Gouvernement de réellement adapter les dispositions de la directive au droit français. En raison du caractère flou des termes utilisés, il sera délicat pour les responsables de traitement de savoir s'ils doivent ou non consulter préalablement la CNIL. Les ambiguïtés de ces dispositions sont cependant levées par la modification de l'article 70-3 par l' amendement COM-69 rect. de votre rapporteur, qui impose l'autorisation préalable de la CNIL pour tous les fichiers relevant du champ d'application de la directive, à l'exception des fichiers mis en oeuvre pour le compte de l'État.

Par ailleurs, à l'initiative de votre rapporteur, votre commission a adopté un amendement COM-70 visant à préciser le contenu de l'analyse d'impact, par renvoi au 7 de l'article 35 du règlement (UE) 2016/679.

3. L'encadrement des réutilisations ultérieures des données (nouveaux articles 70-5 à 70-7 de la loi n° 78-17 du 6 janvier 1978)

• Les exigences posées par les articles 4 et 9 de la directive

Complétant le deuxième principe général applicable à la protection des données, les articles 4 et 9 de la directive (UE) 2016/680 encadrent les « traitements ultérieurs ».

L'article 9 de la directive précise que, par principe, les données collectées pour une finalité ne peuvent pas être traitées à d'autres fins.

Ce principe n'interdit pas des traitements de données pour une autre finalité que celle pour laquelle les données ont été collectées :

- à la double condition que le responsable dudit traitement soit autorisé à traiter ces données pour cette autre finalité, en application du droit de l'Union ou du droit national et que ce traitement soit nécessaire et proportionné, en application du deuxième paragraphe de l'article 4 de la directive (UE) 2016/680 ;

- ou pour l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, en application du troisième paragraphe de l'article 4 de la directive (UE) 2016/680 ;

- ou en cas d'exception prévue par le droit national ou le droit de l'Union, en application du premier paragraphe de l'article 9 de la directive (UE) 2016/680. Dans cette hypothèse, si le traitement est effectué dans le cadre d'une activité relevant du champ d'application de l'Union, le règlement (UE) 2016/679 s'applique.

• La conformité du droit en vigueur à la directive

Si le droit français semble en conformité avec les grands principes définis au premier paragraphe de l'article 4 de la directive (UE) 2016/680, néanmoins, aucune disposition n'est prévue actuellement concernant l'encadrement des traitements ultérieurs, soit les traitements utilisant les données à d'autres finalités que celles pour lesquelles elles ont été collectées.

Par la création d'un nouvel article 70-5 et des articles 70-6 et 70-7, l'article 19 du projet de loi vise à « transposer » respectivement les dispositions de l'article 9 et de l'article 4 de la directive.

Tableau de correspondance

Concernant la rédaction proposée du nouvel article 70-5, votre rapporteur regrette, une nouvelle fois, que le projet de loi se contente de reprendre, mot pour mot, l'article de la directive .

Concernant la rédaction proposée du nouvel article 70-6, votre rapporteur s'est interrogée sur le risque d'une sous-transposition des exigences du paragraphe 2 de l'article 4  concernant l'encadrement de ces traitements « ultérieurs » : à son initiative, votre commission a adopté un amendement COM-71 visant à souligner que sous réserve des conditions prévues par les chapitres I ^er et XIII de la loi n° 78-17 du 6 janvier 1978, ces traitements « ultérieurs », à d'autres finalités que celles pour lesquelles les données ont été collectées, ne sont licites que s'ils sont nécessaires et proportionnés à cette finalité.

4. Précision concernant le principe d'exactitude (nouvel article 70-8 de la loi n° 78-17 du 6 janvier 1978)

Le principe d'exactitude des données est un des principes généraux de la protection des données à caractère personnel garantis par la directive. Comme le précise le considérant 30, l'application de ce principe doit tenir compte de la nature et de la finalité du traitement concerné. Les fichiers en matière de police et de justice sont susceptibles de traiter des données fondées sur des perceptions subjectives : le principe d'exactitude n'impose pas l'exactitude du fait énoncé mais l'exactitude de la déclaration quant à ce fait énoncé.

Dans ce cadre, l'article 7 de la directive précise que les traitements distinguent, dans la mesure du possible, les données fondées sur des faits des données fondées sur des appréciations personnelles.

Puisqu'aucune distinction n'est exigée en droit français, l'article 19 du projet de loi, par la création d'un nouvel article 70-8, vise à transposer ce principe.

5. L'interdiction, sauf exception, des décisions individuelles automatisées (nouvel article 70-9 de la loi n° 78-17 du 6 janvier 1978)

• Le principe posé par la directive

En application de l'article 11 de la directive, est interdite toute décision fondée exclusivement sur un traitement automatisé, « y compris le profilage » , qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative.

Par exception, une telle décision peut être autorisée par le droit national s'il existe des garanties appropriées pour les droits et libertés de la personne concernée. Parmi ces garanties, figure nécessairement et a minima le droit d'obtenir une intervention humaine de la part du responsable de traitement.

En principe, une telle décision ne peut être fondée sur les données « sensibles ». Par exception, le deuxième paragraphe de l'article 11 autorise une telle décision en cas de « mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ». Le dernier paragraphe de l'article 11 souligne le fait qu'est interdit tout profilage qui entraîne une discrimination sur la base des données dites « sensibles », conformément au droit de l'Union.

• Le droit français actuel

L'encadrement juridique actuel des décisions individuelles prises sur le fondement d'un traitement automatisé de données, qui s'applique tant aux traitements régis par le règlement (UE) 2016/679 qu'à ceux régis par la directive (UE) 2016/680, n'est pas exempt de toute ambiguïté ^{123 ( * )} .

L'article 10 de la loi n° 78-17 du 6 janvier 1978 interdit de fonder une décision de justice impliquant une appréciation du comportement d'une personne sur un traitement automatisé de données à caractère personnel utilisant des techniques de profilage. Cette disposition apparaît plus protectrice que les exigences de la directive ; en effet, celle-ci n'interdit pas de fonder une décision de justice exclusivement sur un traitement automatisé de données dès lors qu'il existe des garanties appropriées.

Est également interdite toute décision produisant des effets juridiques (et non pas seulement des effets défavorables, contrairement à la directive) prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à « définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité », soit sur le fondement d'algorithmes de profilage ^{124 ( * )} .

Le même article précise deux « exceptions » à cette interdiction :

• n'est pas considérée comme une décision individuelle exclusivement automatisée, et est donc autorisée , toute décision pour laquelle une personne peut présenter des observations dans le cadre d'une relation contractuelle ;

• n'est pas considérée comme une décision individuelle exclusivement automatisée, et est donc autorisée , toute décision répondant favorablement à une demande de la personne concernée.

La conformité des règles définies par l'article 10 de la loi n° 78-17 du 6 janvier 1978 aux exigences de la directive apparait difficile à évaluer, principalement parce que le droit français est actuellement muet sur les décisions individuelles automatisées, prises sur un autre fondement qu'une technique de profilage.

• Le régime proposé par le projet de loi

Par la création d'un nouvel article 70-9, l'article 19 du projet de loi propose à la fois un régime plus protecteur que celui strictement exigé par la directive (en excluant toute décision produisant des effets juridiques - mêmes favorables - fondée exclusivement sur un traitement automatisé de données et toute décision de justice fondée, même de manière non exclusive, sur un traitement automatisé de données) et moins protecteur (en n'excluant pas les décisions fondées exclusivement sur un traitement automatisé de données qui « affecte de manière significative » une personne).

En la matière, qui concerne principalement les fichiers pénaux, contrairement aux domaines qui relèvent du champ d'application du règlement, le Gouvernement a choisi de ne pas prévoir d'exception à cette interdiction. Votre rapporteur partage ce choix.

Par coordination avec les modifications effectuées à l'article 14 du projet de loi, concernant l'encadrement des décisions individuelles automatisées dans le champ d'application du règlement (UE) 2016/679, votre commission a adopté l' amendement COM-72 de votre rapporteur visant à clarifier le fait qu'aucune décision de justice ne peut être fondée sur le profilage et qu'aucune décision produisant des effets juridiques ou affectant une personne de manière significative ne peut être prise sur le fondement exclusif d'un traitement automatisé de données.

Enfin, à la demande du Conseil d'État et conformément au troisième paragraphe de l'article 11 de la directive, le nouvel article 70-9 préciserait que tout profilage entraînant une discrimination serait interdit. Par l'adoption du même amendement COM-72 de précision, votre commission a renvoyé aux définitions de la discrimination mentionnées à l'article 225-1 du code pénal et à l'article 1 ^er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d'adaptation au droit communautaire dans le domaine de la lutte contre les discriminations .

6. Les règles de responsabilité concernant le sous-traitant (nouvel article 70-10)

• Les obligations définies aux articles 22 et 23 de la directive

À l'instar des articles 28 et 29 du règlement (UE) 2016/679, les articles 22 et 23 de la directive (UE) 2016/680 organisent un régime de sous-traitance distinct des devoirs de sécurité (prévus à l'article 29 de la directive) :

• le responsable de traitement ne peut choisir que des sous-traitants présentant des garanties suffisantes pour la prise de « mesures techniques et organisationnelles appropriées » ;

• tout recrutement d'un autre sous-traitant par le sous-traitant n'est possible qu'avec une autorisation écrite préalable , spécifique ou générale du responsable de traitement ;

• une organisation contractuelle (ou un autre acte juridique) spécifique, par un document écrit, est nécessaire entre le responsable de traitement et le sous-traitant.

La directive précise les mentions contractuelles obligatoires, qui diffèrent de celles prévues par le règlement : le contrat définit l'objet, la durée, la nature et la finalité du traitement, le type de données, les personnes concernées, les obligations et les droits du responsable de traitement et prévoit, a minima , que le sous-traitant :

- n'agit que sur instruction du responsable de traitement ;

- veille au respect de la confidentialité des données ;

- aide le responsable de traitement à veiller au respect des droits de la personne concernée ;

- supprime ou renvoie les données concernées au terme de la prestation de service, sauf en cas d'obligation légale de conservation des données ;

- met à disposition du responsable de traitement toutes les informations nécessaires pour apporter la preuve du respect de ce cadre.

Comme l'article 29 du règlement (UE) 2016/679, l'article 23 de la directive réitère le principe selon lequel tout sous-traitant, même secondaire, ne peut traiter les données à caractère personnel que sur instruction du responsable de traitement, sauf obligation légale.

• Un droit en vigueur partiellement conforme

En application de l'article 17 de la directive de 1995, au titre des devoirs de sécurité, un régime spécifique de la sous-traitance devait déjà être organisé en droit français. Un contrat ou un acte juridique obligatoire devait nécessairement lier le responsable de traitement et le sous-traitant ; cet acte devait préciser les mesures de sécurité à prendre et le principe selon lequel le sous-traitant n'agit que sur instruction du responsable de traitement.

Conformément à ce cadre européen, l'article 35 de la loi n° 78-17 du 6 janvier 1978 prévoit la possibilité d'une sous-traitance , encadrée par un contrat comportant nécessairement les obligations applicables en matière de sécurité et de confidentialité et précisant que le sous-traitant n'agit que sur instruction du responsable de traitement . Le sous-traitant doit présenter « des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité ».

• Le cadre légal proposé par le projet de loi

Par la création d'un nouvel article 70-10 de la loi n° 78-17 de la loi du 6 janvier 1978, l'article 19 du projet de loi vise à transposer les exigences de la directive non satisfaites par le droit actuel :

- l'encadrement du recours à un autre sous-traitant par le sous-traitant (2° de l'article 22 et article 23 de la directive)  - à cette fin, le nouvel article 70-10 renverrait aux paragraphes 1 et 2 de l'article 28 et à l'article 29 du règlement ;

- les mentions contractuelles obligatoires qui fixent des obligations aux sous-traitants (3° de l'article 22 de la directive) - à cette fin, le nouvel article 70-10 transpose les exigences de la directive tout en renvoyant les exigences relatives au contenu du contrat à un décret en Conseil d'État ;

- le fait que le sous-traitant doit être considéré comme un responsable de traitement si, en violation des règles énoncées par la directive, il détermine les finalités et les moyens du traitement (5° de l'article 22 de la directive) - à cette fin, le nouvel article 70-10 renverrait au paragraphe 10 du règlement.

À l'initiative de nos collègues Mathieu Darnaud et Jacques Genest, votre commission a adopté l' amendement COM-4 rect. visant à préciser que le contrat liant le sous-traitant au responsable de traitement précise les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.

SECTION 2 : OBLIGATIONS INCOMBANT AUX AUTORITÉS COMPÉTENTES ET AUX RESPONSABLES DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL (ART. 70-11 À ART. 70-17)

1. Obligation de mise à jour des données (nouvel article 70-11 de la loi n° 78-17)

Le nouvel article 70-11 vise à transposer les exigences définies par les paragraphes 2 et 3 de l'article 7 de la directive concernant la vérification de la fiabilité des données transmises ou mises à disposition et de leur mise à jour.

Les autorités compétentes auraient l'obligation de prendre « toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition ».

À cette fin, elles doivent « dans la mesure du possible » :

- vérifier la qualité de ces données avant transmission ou mise à disposition ;

- ajouter des informations qui permettront au destinataire des données de juger de l'exactitude, de l'exhaustivité, de la fiabilité et du niveau de mise à jour des données.

Lorsque seraient transmises des données inexactes ou de manière illicite, le destinataire en serait informé « sans retard » avant une rectification, un effacement des données concernées ou la limitation du traitement.

À nouveau, votre rapporteur regrette que l'article 70-11 tende à reprendre, mot pour mot, les paragraphes de la directive sans, par exemple, préciser concrètement les hypothèses recouvertes par la mention « dans la mesure du possible » .

S'il est nécessaire de conserver de la souplesse concernant l'obligation de préciser le contexte permettant d'évaluer l'exactitude de données, votre rapporteur considère que la mention « dans la mesure du possible » apparaît superfétatoire, voire contre-productive, pour le devoir de vérification de la qualité des données avant transmission.

Il est raisonnable de penser que tout fichier est susceptible de comporter des données inexactes : or, en matière pénale, il apparaît indispensable de tout mettre en oeuvre pour que les données soient exactes, complètes et mises à jour, a fortiori avant une transmission ou une mise à disposition d'un fichier. En conséquence, votre commission a adopté un amendement COM-74 de votre rapporteur visant à supprimer une occurrence de la mention « dans la mesure du possible ».

2. Obligation de distinction entre les personnes (nouvel article 70-12)

Le nouvel article 70-12 vise à transposer intégralement les exigences définies par l'article 6 de la directive concernant l'obligation de distinguer, « dans la mesure du possible » les données à caractère personnel relevant de différentes catégories de personnes, notamment mieux distinguer les suspects, des coupables, des victimes ou des tiers.

Les durées de conservation étant différentes selon les catégories, il est apparu souhaitable à votre commission que cette obligation soit effective : à l'initiative de notre collègue Claude Raynal, votre commission a adopté l' amendement COM-21 visant à rendre impérative la distinction des données entre victimes, mises en causes, témoins et personnes condamnées.

3. Obligations visant à garantir l'intégrité et la sécurité des données (nouvel article 70-13)

La directive impose, pour la protection des droits et libertés des personnes, l'adoption de mesures techniques et organisationnelles appropriées destinées à assurer la sécurité des données, adaptées au risque, avec des dispositions spécifiques pour les traitements de données dites sensibles ou les traitements automatisés.

Définies par les articles 19, 20 et 29 de la directive, plusieurs obligations générales, dont certaines sont identiques à celles prévues par le règlement, s'imposent aux responsables de traitement, ainsi qu'à leurs sous-traitants. Sont ainsi encouragés les principes de protection des données dès la conception (« privacy by design ») ou de protection par défaut (« privacy by default » ), de pseudonymisation ou encore de minimisation des données.

Le nouvel article 70-13, créé par l'article 19 du projet de loi, vise à transposer ces nouvelles obligations en prévoyant un renvoi au règlement européen pour les obligations de sécurité identiques à celles prévues par la directive.

L'article 70-13 vise à prévoir la possibilité de mesures techniques et organisationnelles spécifiques pour les données dites sensibles, sans que celles-ci ne soient définies par le projet de loi . La technicité de ces mesures et la grande évolutivité technologique des dispositifs de sécurité nécessaires imposent que celles-ci soient régulièrement définies par le pouvoir réglementaire.

Enfin, en application de l'article 29, pour les traitements automatisés, le projet de loi tend à inscrire dans la loi n° 78-17 du 6 janvier 1978, dix obligations à la charge du responsable de traitement et des sous-traitants.

4. Régime du registre et de la journalisation (nouveaux articles 70-14 à 70-15)

Selon le principe de responsabilisation et d'autocontrôle , l'article 24 de la directive impose aux responsables de traitement de tenir un registre écrit des activités de traitement afin de pouvoir démontrer la licéité du traitement, registre dont les conditions sont prévues de manière identique par l'article 30 du règlement (UE) 2016/679. L'article 25 impose, quant à lui, la tenue de journaux pour certaines opérations, notamment d'interconnexion.

En application du nouvel article 70-14 de la loi « Informatique et libertés » prévu par l'article 19 du projet de loi, les responsables de traitement et leurs sous-traitants devraient tenir un registre écrit des activités de traitement et mettre ce dernier à disposition de la CNIL. La plupart des informations devant figurer dans le registre sont précisées par renvoi à l'article 30 du règlement. L'article 70-14 tend également à préciser que le registre devrait comporter « la description générale des mesures visant à garantir un niveau de sécurité adapté au risque », notamment en ce qui concerne les traitements de données dites sensibles, « l'indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données (...) sont destinées et, le cas échéant, le recours au profilage ».

Conformément à l'article 25, le nouvel article 70-15 tend à obliger les responsables de traitement et leurs sous-traitants à tenir un journal pour certaines opérations de traitement, journal qui serait mis à disposition de la CNIL à des fins de « vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ». En vertu de l'article 24 du projet de loi ^{125 ( * )} , cette obligation serait reportée au plus tard au 6 mai 2023 lorsqu'une telle obligation « exigerait des efforts disproportionnés » , voire au 6 mai 2026, lorsqu'à défaut de report « il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé ».

5. Obligations de coopération avec la CNIL (nouvel article 70-16)

Conformément aux exigences de coopération posées par les articles 26, 30 et 31 de la directive, le nouvel article 70-16 vise, par un renvoi aux articles 31, 33 et 34 du règlement européen, à prévoir :

- une obligation générale de coopération avec la CNIL applicable au responsable de traitement et à tout sous-traitant (article 26 de la directive),

- des nouvelles obligations de notification et de communication en cas de violation des données personnelles ^{126 ( * )} (articles 30 et 31) :

o en cas de violation de données à caractère personnel, une notification à la CNIL doit, en principe, intervenir dans un délai de 72 heures après en avoir pris connaissance « à moins qu'il soit peu probable que la violation en question n'engendre des risques pour les droits et les libertés d'une personne physique »,

o en cas de risque élevé pour les droits et les libertés d'une personne physique, une communication à la personne concernée.

Conformément au paragraphe 6 de l'article 30 de la directive, le nouvel article 70-16 prévoit également une obligation de notification , dans les meilleurs délais, de violation des données personnelles à l'égard d'un autre État membre de l'Union européenne , lorsque ces informations ont été transmises par ce dernier.

Pour les traitements relevant uniquement du champ d'application de la directive, l'article 70-16 tend à préciser que la communication d'une violation à la personne concernée « peut être retardée, limitée ou ne pas être délivrée » afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, à condition que cette dérogation reste nécessaire et proportionnée et tienne compte des droits fondamentaux et des intérêts légitimes de la personne concernée.

Si votre rapporteur approuve cette disposition, elle regrette que le Gouvernement n'ait pas davantage précisé les critères encadrant cette possibilité de différer l'obligation de communication d'une violation de données à caractère personnel.

6. Le délégué à la protection des données (nouvel article 70-17)

À l'instar du règlement, l'article 32 de la directive (UE) 2016/680 impose, par principe, la désignation d'un délégué à la protection des données (DPD) dont les fonctions et les missions sont respectivement définies aux articles 33 et 34.

Se substituant en France au correspondant informatique et libertés (CIL), le délégué à la protection des données, qui peut être mutualisé, a pour missions de conseiller le responsable de traitement et ses employés, de contrôler le respect du droit en matière de protection des données et de coopérer avec la CNIL. Il doit présenter certaines garanties (qualités professionnelles, ressources, indépendance).

Le nouvel article 70-17 vise à prévoir la désignation d'un délégué à la protection des données, qui pourrait être mutualisé, tout en dispensant de cette désignation les juridictions, agissant dans l'exercice de leurs fonctions juridictionnelles , conformément à la faculté permise par l'article 32 de la directive.

Par renvoi aux dispositions identiques du règlement, le nouvel article 70-17 vise à transposer en droit français les fonctions et les missions du DPD.

SECTION 3 : DROITS DE LA PERSONNE CONCERNÉE PAR UN TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL (ART. 70-18 À ART. 70-24)

Les nouveaux articles 70-18 à 70-24 visent à mettre en conformité le droit français avec les droits à l'information, d'accès et de rectification ou d'effacement, consacrés, dans certaines limites, par les articles 13 à 18 de la directive.

1. Affirmation du droit à l'information, du droit d'accès et du droit de rectification ou d'effacement (nouveaux articles 70-18 à 70-20)

Par la création de nouveaux articles 70-18 à 70-20 de la loi n° 78-17 du 6 janvier 1978, l'article 19 du projet de loi vise à consacrer un droit à l'information , un droit d'accès et un droit de rectification ou d'effacement (ou à défaut de limitation du traitement) pour la personne concernée par un traitement de données à caractère personnel entrant dans le champ d'application de la directive ^{127 ( * )} .

À l'instar de la grande majorité des articles insérés dans la loi « Informatique et libertés » par le présent article du projet de loi, ces nouveaux articles tendent à reprendre, mot pour mot, les dispositions de la directive. Votre rapporteur n'a pas été convaincue par la pertinence d'une telle technique légistique et regrette, à l'instar de la CNIL ^{128 ( * )} , que ce projet de loi « sous-tranpose » les exigences de la directive : par exemple, concernant la création de l'article 70-18, alors que l'article 13 de la directive impose que dans certains cas particuliers, la loi impose la fourniture d'informations supplémentaires, le projet de loi est muet quant à la définition de ces « cas particuliers » .

Surtout, votre rapporteur regrette qu'aucune coordination n'ait été prévue par l'article 19 du projet de loi, a fortiori concernant les traitements de données directement créés par la loi : certains fichiers dits de police/justice ont une base légale, à l'instar du traitement d'antécédents judiciaires (TAJ), du fichier des personnes recherchées (FPR), du fichier judiciaire automatisé des auteurs d'infractions sexuelles ou violentes (FIJASV) ou encore des fichiers relatifs au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif. Or, à l'exception de la disposition prévue à l'article 70-24 (voir infra ), aucune modification législative n'a été prévue pour rendre ces dispositions conformes aux exigences de la directive : la seule affirmation, de manière générale, de principes et de restrictions possibles à ces principes, ne suffit pas à mettre en conformité le droit français avec la directive.

Votre commission a adopté un amendement rédactionnel COM-75 de votre rapporteur et deux amendements COM-8 et COM-9 de nos collègues Mathieu Darnaud et Jacques Genest visant à fixer à un mois le délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification.

2. Possibilité de restreindre les droits des personnes (nouveaux articles 70-21 à 70-22)

Par la création du nouvel article 70-21 de la loi n° 78-17 du 6 janvier 1978, l'article 19 du projet de loi vise à transposer la possibilité permise par les articles 13, 15 et 17 de restreindre les droits des personnes mentionnés précédemment (information, accès, rectification, effacement) afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle limitation constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

Les restrictions seront mentionnées dans l'acte normatif de création du traitement. Le projet de loi ne fait ainsi pas usage de la possibilité ouverte par la directive de déterminer dans la loi les catégories de traitement susceptibles de donner lieu à des restrictions des droits à l'information et d'accès.

Votre rapporteur regrette que la rédaction retenue par l'article 19 du projet de loi se contente de répéter que ces restrictions sont autorisées lorsqu'elle constitue « une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne », sans expliciter les critères qui pourraient concrètement être retenus. Pour respecter les droits fondamentaux, il ne suffit pas de mentionner dans la loi qu'une disposition doit s'y conformer ; sous peine d'encourir une contrariété à la Constitution pour incompétence négative, il est nécessaire pour le législateur d'organiser des conditions d'exercice de ces restrictions, conformes à ces droits fondamentaux. En raison du calendrier d'examen parlementaire du présent projet de loi, votre rapporteur regrette de n'avoir pu effectuer ce travail de transposition, qui devra faire l'objet d'un prochain texte législatif.

L'article 70-21 prévoit que le responsable de traitement informe la personne concernée de sa possibilité d'exercer ses droits par l'intermédiaire de la CNIL et de sa possibilité de former un recours juridictionnel. À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a exclu cette information concernant le recours juridictionnel lorsque la restriction des droits porte sur le droit d'information. Afin d'harmoniser les régimes et d'assurer un haut niveau de protection des données à caractère personnel, votre commission a, par l'adoption de l' amendement COM-76 de votre rapporteur, rétabli la rédaction du projet de loi initial.

3. Modalités d'exercice de ces droits (nouvel article 70-23)

En application de l'article 12 de la directive, les informations communiquées à la personne, dans le cadre de l'exercice du droit à l'information, du droit d'accès et des droits de rectification et d'effacement ou du droit à la limitation du traitement, font l'objet d'une transmission compréhensible et aisément accessible : celle-ci est en principe gratuite , sauf en cas de demandes manifestement infondées ou excessives.

À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a précisé que les informations communiquées à la personne concernée devront être transmises par tout moyen approprié, y compris électronique, de préférence sous la même forme que la demande.

4. Droits des personnes concernées par une décision judiciaire ou une enquête judiciaire (nouvel article 70-24)

Conformément à la possibilité offerte par l'article 18 de la directive, l'article 19 du projet de loi vise, par la création d'un nouvel article 70-24, à ne pas appliquer les droits d'information, d'accès, de rectification ou d'effacement prévus par la section 3 du chapitre XIII de la loi « Informatique et libertés » aux données contenues dans une décision judiciaire ou un dossier judiciaire au cours d'une procédure pénale. Les règles d'accès à ces données sont prévues par le code de procédure pénale.

À l'initiative de votre rapporteur, votre commission a adopté l' amendement COM-77 visant également à renvoyer, pour ces données, l'organisation des conditions d'exercice du droit de rectification ou d'effacement aux règles prévues par le code de procédure pénale.

SECTION 4 : TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES ÉTATS NON MEMBRES DE L'UNION EUROPÉENNE OU VERS DES DESTINATAIRES ÉTABLIS DANS DES ÉTATS NON MEMBRES DE L'UNION EUROPÉENNE (ART. 70-25 À ART. 70-27)

Les nouveaux articles 70-25 à 70-27, créés par l'article 19 du projet de loi, visent à transposer les exigences des articles 35 à 38 de la directive (UE) 2016/680.

• L'encadrement actuel des transferts internationaux de données à caractère personnel

En application de l'article 68 de la loi n° 78-17 du 6 janvier 1978, tout transfert de données à caractère personnel vers un État n'appartenant pas à l'Union européenne est soumis à l'appréciation du niveau de protection garanti par cet État, évalué au regard des mesures de sécurité appliquées mais également, par exemple, au regard des finalités du traitement et des durées de conservation des données. Par dérogation à ce principe, l'article 69 autorise néanmoins un tel transfert :

- si la personne y a consenti (premier alinéa de l'article 69),

- ou si ce transfert est nécessaire à la sauvegarde de la vie de cette personne, à la sauvegarde de l'intérêt public, au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice, à la consultation d'un registre public destiné à l'information du public, à l'exécution d'un contrat (1° à 6° de l'article 69),

- ou si la CNIL a donné son autorisation à ce transfert (8 ^e alinéa de l'article 69),

- ou s'il s'agit d'un traitement mis en oeuvre pour le compte de l'État qui intéresse la sûreté de l'État, la défense ou la sécurité publique ou qui a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté et si « le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes , notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet » (8 ^e alinéa de l'article 69).

Concernant cette dernière possibilité, il convient de préciser que les restrictions aux transferts de données vers d'autres États non membres sont définies par le décret n° 2005-1309 du 20 octobre 2005 qui précise les obligations imposées aux responsables de traitements, tout en faisant référence à une liste des États, établie par la Commission européenne, assurant un niveau adéquat de protection des données au regard de la directive 95/46/CE - alors même que celle-ci n'est pas censée s'appliquer en matière pénale. Or seulement un faible nombre d'États sont classés par la Commission européenne, comme assurant un niveau de protection suffisant. De plus, les garanties imposées pour des traitements commerciaux n'ont pas vocation à être identiques aux garanties imposées pour les traitements pénaux.

Les transferts des données en matière pénale doivent donc se fonder sur une autre possibilité : principalement l'autorisation de la CNIL ou le consentement de la personne. En effet, dans son avis n° 372616 du 26 octobre 2006, le Conseil d'État a estimé que les transferts de données à caractère personnel dont le traitement a pour finalité la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne sont pas des transferts nécessaires à la sauvegarde de l'intérêt public.

• L'objet du projet de loi : transposer fidèlement les obligations par la directive

Les articles 35 à 40 de la directive tendent à faciliter les transferts de données en matière pénale vers des pays tiers à l'Union européenne, en distinguant cependant deux régimes : d'une part, les transferts vers une « autorité compétente ^{129 ( * )} » d'un pays tiers, d'autre part, les transferts vers un « destinataire » établi dans un pays tiers (par exemple, un service de communications électroniques).

Les nouveaux articles 70-25 et 70-26 de la loi n° 78-17 du 6 janvier 1978 , créés par l'article 19 du projet de loi, visent à transposer fidèlement les exigences de la directive concernant les transferts vers une autorité compétente .

Conformément aux principes généraux définis par l'article 35 de la directive, le nouvel article 70-25 précise qu'en principe, tout transfert en matière pénale n'est possible que si quatre conditions cumulatives sont réunies :

- le transfert est nécessaire à l'une des finalités pour lesquelles les données ont été traitées en France , à savoir la prévention et la détection des infractions pénales, les enquêtes et poursuites en la matière ou l'exécution de sanctions pénales ;

- les données sont transférées à une autorité compétente, au sens de l'article 70-1 chargée de l'une de ces finalités ;

- si les données proviennent d'un autre État, ce dernier a préalablement autorisé ce transfert ; par dérogation, il est possible de transférer sans autorisation préalable si le transfert est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre État ou pour la sauvegarde des intérêts essentiels de la France et sous réserve d'une information « sans retard » de l'État qui a transmis ces données ;

- il existe une décision d'adéquation de la Commission européenne. À défaut, un instrument juridique contraignant devrait prévoir des garanties appropriées. À défaut d'instrument juridique, le transfert dépendra de l'évaluation par le responsable de traitement de l'existence de garanties appropriées ou non. Dans ce cas, la CNIL sera systématiquement informée.

Par dérogation, aux termes du nouvel article 70-26 qui vise à transposer l'article 38 de la directive, un transfert pourrait avoir lieu s'il était nécessaire à la sauvegarde des intérêts vitaux d'une personne physique, à la sauvegarde des intérêts légitimes de la personne concernée, pour prévenir une menace grave et immédiate pour la sécurité publique d'un autre État, pour « des cas particuliers » à l'une des finalités énoncées au premier alinéa de l'article 70-1 et « dans un cas particulier » pour la constatation, l'exercice ou la défense de droits en justice.

Pour ces cas particuliers, pour lesquels votre rapporteur regrette qu'ils ne soient pas définis par la loi, le responsable de traitement ne doit pas transférer ces données si « les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé ».

Enfin, le nouvel article 70-27 de la loi n° 78-17 du 6 janvier 1978 , créé par l'article 19 du projet de loi, vise à transposer fidèlement les exigences de la directive concernant les transferts vers un « destinataire » établi dans un pays tiers .

Conformément à l'article 39 de la directive, il précise qu'en principe, tout transfert en matière pénale n'est possible que si cinq conditions cumulatives sont réunies :

- le transfert est nécessaire à l'exécution de la mission de l'autorité qui transfère les données (1° du nouvel article 70-27) ;

- l'autorité qui transmet les données établit « qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert » (2°) ;

- l'autorité estime que le transfert à l'autorité compétente de l'État est inefficace ou inapproprié, « notamment parce que le transfert ne peut pas être effectué en temps opportun » (3°) ;

- l'autorité compétente de l'autre État est informée « dans les meilleurs délais » (4°) ;

- l'autorité qui transmet les données informe le destinataire de la ou des finalités pour lesquelles les données transmises doivent exclusivement faire l'objet d'un traitement, « à condition qu'un tel traitement soit nécessaire » (5°).

Votre commission a adopté l'article 19 du projet de loi ainsi modifié.

---

* ¹¹⁶ Voir supra le tableau présentant le champ d'application de la directive.

* ¹¹⁷ Le champ d'application de la directive dépasse le strict champ de la matière pénale pour s'appliquer à l'ensemble des fichiers dits « de police et de justice », à l'exception des fichiers intéressant la sûreté de l'État et la défense.

* ¹¹⁸ À l'initiative de notre collègue députée Mme Paula Forteza, rapporteure, la commission des lois de l'Assemblée nationale a adopté deux amendements rédactionnels.

* ¹¹⁹ À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

* ¹²⁰ Sur ce point, votre rapporteur renvoie au commentaire de l'article 7.

* ¹²¹ Conseil d'État, avis du 7 décembre 2017 sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés NOR : JUSC1732261L.

* ¹²² En raison des finalités des traitements concernés, à la différence des principes du règlement, le principe de transparence n'est pas mentionné par la directive.

* ¹²³ Sur ce point, votre rapporteur renvoie au commentaire de l'article 14, qui concerne particulièrement les dispositions relatives aux décisions individuelles automatisées, prises dans le champ d'application du règlement européen 2016/679.

* ¹²⁴ Sur ce point, votre rapporteur renvoie à nouveau au commentaire de l'article 14.

* ¹²⁵ Sur ce point, votre rapporteur renvoie au commentaire de l'article 24.

* ¹²⁶ Actuellement, l'obligation de notification des violations de données à caractère personnel n'est applicable qu'aux données personnelles faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communication électroniques.

* ¹²⁷ Voir commentaire de l'article 18.

* ¹²⁸ Voir délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978.

* ¹²⁹ Une autorité compétente peut être une autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales mais également tout organisme ou entité à qui l'exercice de l'autorité publique et des prérogatives de puissance publique à ces mêmes fins a été confié.