Pour gérer vos consentements :
Categories: Régulations

RGPD : les données pénales épinglées par le Conseil constitutionnel

Saisis à ce sujet le mois dernier par 60 sénateurs, les Sages ont rendu leur décision ce 12 juin 2018.

Ils ont, en premier lieu, écarté toute inintelligibilité de la loi informatique et libertés modifiée. Ce quand bien même le législateur a fait le choix d’y introduire certaines dispositions « formellement différentes » de celles inscrites dans le règlement européen.

Sur les dix articles que contestaient les requérants, le Conseil constitutionnel a décelé, en tout en pour tout, une irrégularité. Elle entache la nouvelle version de l’article 9 de la loi informatique et libertés.

Ledit article fixe le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Il s’applique lorsque les traitements en question ne sont pas mis en œuvre par les autorités compétentes à des fins pénales.

Y figure une liste de personnes habilitées à réaliser de tels traitements… qui peuvent aussi être effectués « sous le contrôle de l’autorité publique ».

Les sénateurs ont considéré que le législateur n’avait pas suffisamment précisé les catégories de personnes autorisées. Et que le texte n’apportait par ailleurs pas les garanties nécessaires à la protection du droit au respect de la vie privée, à défaut notamment de prévoir une autorisation administrative préalable.

Les Sages ont reconnu que le législateur s’était « borné » à reproduire les termes du RGPD. Ils ont surtout estimé qu’en raison de l’ampleur potentielle des traitements et de la nature des informations concernées, les garanties fondamentales pour l’exercice des libertés publiques étaient affectées.

Sur la question de l’autorisation administrative, le Conseil constitutionnel a trouvé suffisamment de garde-fous, entre nécessité, proportionnalité, intérêt général et avis motivé de la Cnil.

O. K. Cnil

Cette dernière a été citée à de nombreuses reprises par les requérants, qui n’ont pas obtenu satisfaction.

L’article 11 de la loi informatique et libertés était pointé du doigt. Il pose les conditions de consultation de la commission sur toute proposition de loi relative à la protection ou au traitement de données à caractère personnel.

Les sénateurs en dénonçaient le manque de clarté, que ce soit sur les conditions de dépôt de saisines ou le délai de réponse de la Cnil.

Ils visaient aussi les articles 17 et 18 de la même loi, relatifs à la procédure de sanction à l’encontre des responsables de traitements ou de leurs sous-traitants. Et plus particulièrement la circonstance que les agents des services chargés des sanctions soient placés sous l’autorité du président de la commission.

Le principe d’impartialité n’est pas méconnu dans ce cadre, affirme le Conseil constitutionnel. Par ailleurs, les dispositions contestées ne modifient pas les règles relatives à la séparation, au sein de la Cnil, entre, d’une part, les fonctions de poursuite et d’instruction et, d’autre part, celles de jugement et de sanction.

Les Sages ont également rejeté la saisine sur l’article 45 de la loi informatique et libertés, où sont prévues les mesures susceptibles d’être prises par la Cnil en cas de manquements.

Ils soutiennent que la publication d’une mise en demeure ne lui confère pas la nature d’une sanction ayant le caractère d’une punition. La question d’une éventuelle infraction au principe d’impartialité  – au sens où une seule autorité instruit et prononce des mises en demeure constituant des sanctions – ne se pose donc pas.

Algorithmes : des « garanties appropriées »

Les arguments des sénateurs n’ont pas non plus fait mouche sur le volet des décisions administratives individuelles exclusivement fondées sur des algorithmes (article 10).

Ils estimaient que l’administration renonçait là à l’exercice de son pouvoir d’appréciation des situations individuelles. Non sans souligner qu’avec les algorithmes « auto-apprenants », elle ne pouvait connaître les règles sur le fondement desquelles les décisions étaient prises.

Pour le Conseil constitutionnel, la loi ne fait qu’autoriser l’exploitation d’un algorithme dont les règles et critères sont définis à l’avance par le responsable du traitement. Elle offre plus globalement des garanties appropriées pour la sauvegarde des droits et libertés des personnes ».

Sur les traitements de données de santé (article 16), les sénateurs s’inquiétaient de la possibilité offerte aux organismes d’assurance maladie complémentaires d’avoir accès, sans consentement préalable, à des données stratégiques. Au sens où elle pourraient être utilisée pour « fixer le prix des assurances » ou « à des fins de choix thérapeutique ou médical ».

Les Sages ont conclu que les traitements concernés n’étaient pas exemptés du respect des autres dispositions du RGPD et de la loi informatique et libertés.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago