C. LA TRANSPOSITION DE LA DIRECTIVE RELATIVE AUX TRAITEMENTS MIS EN oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE ET LA RÉPONSE À UNE CENSURE DU CONSEIL CONSTITUTIONNEL

Le texte transmis transpose les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer par dérogation aux autres dispositions de la loi Informatique et libertés (article 19), et assure les coordinations nécessaires concernant l'exercice de certains droits (droit d'information, droit d'accès, de rectification, d'effacement et de limitation) pour les fichiers de police et de justice.

Enfin, le projet de loi répond à une décision QPC 13 ( * ) du Conseil constitutionnel pour sécuriser le fichier de traitement d'antécédents judiciaires « TAJ » (article 23). Il procède par ailleurs à diverses coordinations (article 21) et aménage les règles d'entrée en vigueur de certaines dispositions (articles 22 et 24).

D. UN MANQUE DE LISIBILITÉ ET D'INTELLIGIBILITÉ REGRETTABLE MAIS TEMPORAIRE DE LA LOI INFORMATIQUE ET LIBERTÉS MODIFIÉE PAR LE PROJET DE LOI

1. Un constat partagé

De nombreuses organisations reçues par votre rapporteur ont déploré illisible, voire trompeur, du texte de la loi Informatique et Libertés qui résultera des modifications apportées par le projet de loi.

En amont même de l'élaboration du texte, les avis préalables obligatoires sollicités par le Gouvernement étaient déjà parvenus à un tel constat :

- la CNIL a ainsi tenu à : « dénonce[r] le défaut de lisibilité de l'état du droit résultant du projet de loi » 14 ( * ) ;

- pour le Conseil d'État : « [le] résultat [est] très insatisfaisant en termes de lisibilité du droit positif » 15 ( * ) .

2. Un mal nécessaire ?
a) L'enchevêtrement de trois niveaux de normes (RGPD, directive et droit national)

Votre rapporteur reconnaît volontiers que cette complexité est d'abord pour partie inévitable : elle résulte du choix fait par le législateur européen lui-même d'adopter un règlement (général) et une directive (« police et pénal »).

Comprendre le nouvel état du droit de la protection des données personnelles nécessite ainsi de combiner la lecture du règlement (qui ne nécessite formellement aucune mesure de transposition en droit interne et ne peut d'ailleurs pas être recopié par des textes nationaux) et des dispositions nationales prises soit au titre des marges de manoeuvre du règlement, soit pour la transposition de la Directive, soit purement internes pour les traitements hors du champ d'application du droit de l'Union européenne.

C'est bien cette combinaison d'un règlement et de textes nationaux d'application (marges de manoeuvre, transposition de la directive, normes internes) qui remplacera le corpus unique que constituait jusqu'alors la loi Informatique et libertés. Ce premier problème de lisibilité est inévitable.

b) Des problèmes de lisibilité liés à la volonté politique de préservation du symbole de la loi Informatique et libertés

Ce degré de complexité se trouve cependant aggravé par les orientations légistiques retenues par le Gouvernement. Celui-ci a fait le « choix symbolique » de conserver la loi Informatique et libertés.

Vu les délais contraints (application directe du RGPD le 25 mai 2018, transposition exigée de la directive normalement pour le 6 mai 2018), le Gouvernement ne procède donc, pour l'instant, à travers le projet de loi relatif à la protection des données personnelles, qu'aux modifications strictement indispensables à la mise en oeuvre du RGPD et de la directive (élimination des dispositions nationales manifestement contraires au règlement, introduction des nouvelles missions nécessaires à la CNIL, etc .).

Ce choix politique, propre à la France, induit des problèmes de lisibilité du droit :

- d'abord, des dispositions formellement inchangées et apparemment toujours inscrites dans la loi de 1978 ne seront en réalité plus applicables aux traitements couverts par le règlement, car remplacées par les dispositions d'application directe de ce dernier (par exemple : définition du consentement, base légale des traitements, portée des droits reconnus aux personnes) 16 ( * ) ;

- ensuite, la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations pourtant bien présents dans le règlement (par exemple : rôle du délégué à la protection des données, portabilité, etc .) ;

- en outre, la loi Informatique et libertés résultant du projet de loi ne donnera pas de grille de lecture simple permettant de comprendre les droits et obligations différenciés qui existeront demain en fonction des trois grands types de traitements 17 ( * ) de données (certains pouvant d'ailleurs même avoir des finalités « mixtes »).

3. Une insatisfaction provisoire

Face à ces importantes difficultés, la réécriture d'ensemble de la loi Informatique et libertés et des règles nationales est renvoyée à une ordonnance ultérieure de « recodification », prise sur le fondement d'une habilitation.

Il s'agira ainsi, selon le Conseil d'État, de procéder à une remise en forme et en cohérence non seulement de la loi Informatique et libertés, mais aussi de textes voisins et liés, sans remettre en cause les choix fondamentaux faits dans le projet de loi, de façon à garantir une meilleure accessibilité de l'ensemble du droit applicable au traitement des données personnelles.


* 13 Décision n° 2017-670 QPC du 27 octobre 2017, M. Mikhail P. [Effacement anticipé des données à caractère personnel inscrites dans un fichier de traitement d'antécédents judiciaires].

* 14 Délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978 ; elle est consultable à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf

* 15 Avis n° 393836 du Conseil d'État consultable à l'adresse suivante : http://www.assemblee-nationale.fr/15/pdf/projets/pl0490-ace.pdf

* 16 Le maintien de ces dispositions dans la loi Informatique et libertés s'explique par la volonté de continuer à couvrir les cas de traitement de données personnelles qui ne relèveraient ni du règlement, ni de la directive.

* 17 À savoir, ceux 1° relevant du règlement (les fichiers « civils et commerciaux », mais également certains fichiers relevant de l'administration), 2° relevant de la directive (traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites) et, enfin, 3° ne relevant pas du droit de l'Union ou exclus du champ tant du règlement que de la directive (traitements intéressant la sûreté de l'État et la défense).

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page