Décision n° 2018-765 DC du 12 juin 2018
LE CONSEIL CONSTITUTIONNEL A ÉTÉ SAISI, dans les conditions prévues au deuxième alinéa de l'article 61 de la Constitution, de la loi relative à la protection des données personnelles, sous le n° 2018-765 DC, le 16 mai 2018, par MM. Bruno RETAILLEAU, Pascal ALLIZARD, Serge BABARY, Jean-Pierre BANSARD, Philippe BAS, Jérôme BASCHER, Arnaud BAZIN, Mmes Martine BERTHET, Anne-Marie BERTRAND, Christine BONFANTI-DOSSAT, M. François BONHOMME, Mme Pascale BORIES, M. Gilbert BOUCHET, Mme Céline BOULAY-ESPÉRONNIER, MM. Yves BOULOUX, Jean-Marc BOYER, Max BRISSON, Mme Marie-Thérèse BRUGUIÈRE, MM. François-Noël BUFFET, François CALVET, Christian CAMBON, Mme Agnès CANAYER, MM. Jean-Noël CARDOUX, Patrick CHAIZE, Pierre CHARON, Alain CHATILLON, Mme Marie-Christine CHAUVIN, M. Guillaume CHEVROLLIER, Gérard CORNU, Pierre CUYPERS, Mme Laure DARCOS, MM. Mathieu DARNAUD, Marc-Philippe DAUBRESSE, Mmes Annie DELMONT-KOROPOULIS, Catherine DEROCHE, Jacky DEROMEDI, Chantal DESEYNE, Catherine DI FOLCO, MM. Philippe DOMINATI, Alain DUFAUT, Mme Catherine DUMAS, M. Laurent DUPLOMB, Mmes Nicole DURANTON, Dominique ESTROSI SASSONE, Jacqueline EUSTACHE-BRINIO, MM. Michel FORISSIER, Bernard FOURNIER, Christophe-André FRASSA, Pierre FROGIER, Mme Joëlle GARRIAUD-MAYLAM, M. Jacques GENEST, Mme Frédérique GERBAUD, MM. Jordi GINESTA, Jean-Pierre GRAND, Daniel GREMILLET, François GROSDIDIER, Jacques GROSPERRIN, Charles GUENÉ, Jean-Raymond HUGONET, Benoît HURÉ, Jean-François HUSSON, Mmes Corinne IMBERT, Muriel JOURDA, MM. Alain JOYANDET, Roger KAROUTCHI, Marc LAMÉNIE, Mmes Élisabeth LAMURE, Christine LANFRANCHI-DORGAL, Florence LASSARADE, MM. Antoine LEFÈVRE, Dominique de LEGGE, Ronan LE GLEUT, Jean-Pierre LELEUX, Henri LEROY, Mme Brigitte LHERBIER, M. Gérard LONGUET, Mmes Vivette LOPEZ, Viviane MALET, Marie MERCIER, Brigitte MICOULEAU, MM. Alain MILON, Albéric de MONTGOLFIER, Mme Patricia MORHET-RICHAUD, MM. Jean-Marie MORISSET, Philippe MOUILLER, Philippe NACHBAR, Olivier PACCAUD, Philippe PAUL, Philippe PEMEZEC, Stéphane PIEDNOIR, Jackie PIERRE, François PILLET, Rémy POINTEREAU, Ladislas PONIATOWSKI, Mme Sophie PRIMAS, M. Christophe PRIOU, Mmes Catherine PROCACCIA, Frédérique PUISSAT, Isabelle RAIMOND-PAVERO, MM. Michel RAISON, Jean-François RAPIN, Mme Evelyne RENAUD-GARABEDIAN, MM. Charles REVET, Hugues SAURY, René-Paul SAVARY, Michel SAVIN, Alain SCHMITZ, Bruno SIDO, Jean SOL, Mme Catherine TROENDLÉ, MM. Michel VASPART et Jean-Pierre VIAL, sénateurs.
Au vu des textes suivants :
- la Constitution ;
- l'ordonnance n° 58-1067 du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel ;
- la loi organique n° 2017-54 du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes ;
- le traité sur le fonctionnement de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
- le code de procédure pénale ;
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- les observations du Gouvernement, enregistrées le 31 mai 2018 ;
Et après avoir entendu le rapporteur ;
LE CONSEIL CONSTITUTIONNEL S'EST FONDÉ SUR CE QUI SUIT :
1. Les sénateurs requérants défèrent au Conseil constitutionnel la loi relative à la protection des données personnelles. Ils dénoncent son inintelligibilité et contestent la constitutionnalité de certaines dispositions de ses articles 1er, 4, 5, 7, 13, 16, 20, 21, 30 et 36.
- Sur le contrôle exercé par le Conseil constitutionnel :
2. Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'États qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ». Ainsi tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle.
3. Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, le contrôle qu'il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne sur le fondement de l'article 267 du traité sur le fonctionnement de l'Union européenne. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l'Union européenne à titre préjudiciel.
4. Il ressort de la Constitution que ces exigences constitutionnelles n'ont pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu'elle est déterminée par la Constitution.
- Sur le grief tiré de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi :
5. Les sénateurs requérants soutiennent que le texte déféré méconnaît l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi compte tenu des divergences résultant de l'articulation entre les dispositions de la loi du 6 janvier 1978, telle que modifiée, et du règlement du 27 avril 2016 mentionnés ci-dessus. Selon eux, cette absence de lisibilité serait de nature à « induire gravement en erreur » les citoyens quant à la portée de leurs droits et obligations en matière de protection des données personnelles. La loi déférée serait également contraire à ce même objectif au motif qu'elle ne réglerait pas clairement les modalités de son application dans les collectivités constituant des pays et territoires d'outre-mer dans lesquels le droit de l'Union européenne n'est pas applicable. En effet, selon les requérants, la loi du 6 janvier 1978 ne serait désormais compréhensible que combinée avec les dispositions du règlement du 27 avril 2016, lequel n'est pas applicable dans ces territoires.
6. L'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration des droits de l'homme et du citoyen de 1789, impose au législateur d'adopter des dispositions suffisamment précises et des formules non équivoques. Il doit en effet prémunir les sujets de droit contre une interprétation contraire à la Constitution ou contre le risque d'arbitraire, sans reporter sur des autorités administratives ou juridictionnelles le soin de fixer des règles dont la détermination n'a été confiée par la Constitution qu'à la loi.
7. En premier lieu, la loi déférée a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin d'adapter la législation nationale au règlement du 27 avril 2016 et de transposer la directive du même jour mentionnée ci-dessus. Si, à cette fin, le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n'en résulte pas une inintelligibilité de la loi. Au surplus, l'article 32 de la loi déférée habilite le Gouvernement à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à la réécriture de l'ensemble de la loi du 6 janvier 1978 « afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité » avec le droit de l'Union européenne ainsi que les mesures pour « mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l'état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ».
8. En second lieu, le texte déféré ne prévoit pas de dispositions déterminant ses modalités d'application dans les collectivités d'outre-mer. En revanche, le 3 ° du paragraphe I de son article 32 habilite le Gouvernement à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à « l'adaptation et à l'extension à l'outre-mer des dispositions prévues aux 1 ° et 2 ° ainsi qu'à l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l'État ».
9. La Nouvelle-Calédonie, la Polynésie française, les Terres australes et antarctiques françaises, Wallis-et-Futuna, Saint-Pierre-et-Miquelon et Saint-Barthélemy sont des pays et territoires d'outre-mer relevant du régime spécial d'association à l'Union européenne prévu par la quatrième partie du traité sur le fonctionnement de l'Union européenne. Le règlement et la directive du 27 avril 2016 ne s'y appliquent pas.
10. Aussi, en Nouvelle-Calédonie, en Polynésie française, dans les Terres australes et antarctiques françaises et à Wallis-et-Futuna, qui sont régis par le principe de spécialité législative, la loi du 6 janvier 1978 continuera à s'appliquer dans sa rédaction antérieure à la loi déférée. À Saint-Pierre-et-Miquelon et à Saint-Barthélemy, qui sont régis par le principe d'identité législative, la loi déférée est applicable, y compris en ce qu'elle renvoie à des dispositions du règlement du 27 avril 2016.
11. Par voie de conséquence, il ne résulte pas de l'absence de disposition spécifique déterminant les modalités d'application de la loi déférée dans les collectivités d'outre-mer précitées une méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi.
12. Il résulte de tout ce qui précède que le grief tiré de l'atteinte à cet objectif doit en tout état de cause être écarté.
- Sur certaines dispositions de l'article 1er :
13. L'article 1er de la loi déférée modifie l'article 11 de la loi du 6 janvier 1978, relatif aux missions de la Commission nationale de l'informatique et des libertés. En vertu de la deuxième phrase du a du 4 ° de cet article 11, ainsi modifié, cette commission peut « être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données ».
14. Selon les requérants, en adoptant ces dispositions sans préciser à quel moment de l'examen parlementaire de la proposition de loi cette saisine de la Commission nationale de l'informatique et des libertés serait possible, ni dans quel délai son avis doit être rendu, ni quelle publicité peut lui être donnée, le législateur aurait méconnu l'étendue de sa compétence et contrevenu aux exigences de clarté et de sincérité du débat parlementaire.
15. Aux termes du second alinéa de l'article 1er de la loi organique du 20 janvier 2017 mentionnée ci-dessus, pris sur le fondement du dernier alinéa de l'article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l'organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34.
16. En prévoyant que la Commission nationale de l'informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu'à la demande d'un président de groupe d'une assemblée parlementaire, le législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi.
17. Par conséquent, la deuxième phrase du a du 4 ° de l'article 11 de la loi du 6 janvier 1978, qui ne méconnaît ni les exigences de clarté et de sincérité du débat parlementaire, ni aucune autre exigence constitutionnelle, est conforme à la Constitution.
- Sur certaines dispositions de l'article 4 :
18. L'article 4 modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2 ° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
19. Les requérants soutiennent que la circonstance que les agents des services en charge des sanctions sont placés sous l'autorité du président de la commission méconnaîtrait le principe d'impartialité. Par ailleurs, en ne prévoyant pas de séparation au sein du collège de la commission entre les membres de sa formation restreinte et les autres membres, ces dispositions ne garantiraient pas la séparation entre les fonctions de poursuite et d'instruction et celles de jugement et de sanction qu'impose ce même principe.
20. Selon l'article 16 de la Déclaration de 1789 : « Toute société dans laquelle la garantie des droits n'est pas assurée, ni la séparation des pouvoirs déterminée, n'a point de Constitution ».
21. Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative ou publique indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.
22. En premier lieu, le deuxième alinéa de l'article 17 de la loi du 6 janvier 1978 prévoit que seuls parmi les agents de la Commission nationale de l'informatique et des libertés peuvent être présents au cours des délibérés de sa formation restreinte ceux chargés de la tenue de la séance. La circonstance que ces agents sont placés sous l'autorité du président de cette commission ne méconnaît pas le principe d'impartialité.
23. En second lieu, ni les dispositions contestées ni le reste de l'article 4 de la loi déférée ne modifient les règles relatives à la séparation au sein de la Commission nationale de l'informatique et des libertés entre, d'une part, les fonctions de poursuite et d'instruction et, d'autre part, celles de jugement et de sanction. Dès lors, l'argumentation des requérants sur ce point n'est pas opérante à l'encontre des dispositions de l'article 4.
24. Il résulte de tout ce qui précède que le deuxième alinéa de l'article 17 de la loi du 6 janvier 1978, qui ne méconnaît aucune autre exigence constitutionnelle, est conforme à la Constitution.
- Sur certaines dispositions de l'article 5 :
25. L'article 5 étend le droit d'accès et le droit de communication reconnu par l'article 44 de la loi du 6 janvier 1978 aux membres et agents habilités de la Commission nationale de l'informatique et des libertés. Son 5 ° complète cet article 44 d'un paragraphe V, qui exclut le contrôle de la commission sur les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions.
26. Les requérants soutiennent que, en ne prévoyant pas, au profit des pouvoirs publics constitutionnels, d'exception aux pouvoirs de contrôle de la commission, ces dispositions méconnaîtraient le principe d'autonomie des pouvoirs publics constitutionnels qui découle de la séparation des pouvoirs protégée par l'article 16 de la Déclaration de 1789 et serait inhérent à l'identité constitutionnelle de la France.
27. En premier lieu, la Commission nationale de l'informatique et des libertés n'exerce ses pouvoirs de contrôle que dans les limites et sous les garanties prévues par le règlement du 27 avril 2016 et la loi du 6 janvier 1978. En particulier, elle ne les exerce que, conformément au 2 ° de l'article 11 de cette loi, afin de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la même loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires du droit de l'Union européenne et les engagements internationaux de la France.
28. En second lieu et en tout état de cause, les opérations de contrôle de la Commission nationale de l'informatique et des libertés ne sauraient mettre en cause le fonctionnement régulier des pouvoirs publics constitutionnels.
29. Il résulte de ce qui précède que le grief tiré de la méconnaissance du principe de séparation des pouvoirs doit être écarté.
30. Le paragraphe V de l'article 44 de la loi du 6 janvier 1978, qui ne méconnaît aucune autre exigence constitutionnelle, est conforme à la Constitution.
- Sur certaines dispositions de l'article 7 :
31. Le 2 ° de l'article 7 réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7 °, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
32. Les requérants soutiennent que, en permettant au président de la Commission nationale de l'informatique et des libertés de prononcer des mises en demeure susceptibles d'être rendues publiques, qui constitueraient des sanctions ayant le caractère de punition, le paragraphe II de l'article 45 méconnaîtrait le principe d'impartialité dès lors que ces mesures sont instruites et prononcées par une seule autorité. Par ailleurs, selon eux, en permettant qu'un même comportement donne lieu successivement à un avertissement ou à une mise en demeure de la part du président de la commission puis à des sanctions prises par la formation restreinte, le premier alinéa du paragraphe III de ce même article 45 méconnaîtrait le principe de proportionnalité des peines. En outre, en ne précisant pas les critères selon lesquels un tel cumul est possible, ce paragraphe III méconnaîtrait le principe d'égalité devant la loi. Enfin, dès lors que le montant maximal de l'amende prévue à la deuxième phrase du 7 ° du paragraphe III de l'article 45 a été porté à 20 millions d'euros ou, s'agissant d'une entreprise, à 4 % du chiffre d'affaires, le législateur aurait dû accroître les droits et garanties des personnes ainsi sanctionnées, sauf à méconnaître le droit à un procès équitable.
33. L'article 45 de la loi du 6 janvier 1978 confie à la Commission nationale de l'informatique et des libertés le pouvoir de prendre des mesures et sanctions en vue de prévenir, mettre fin ou réprimer les manquements, commis par les responsables de traitements de données personnelles ou leurs sous-traitants, aux dispositions du règlement du 27 avril 2016 et de cette loi.
34. En premier lieu, lorsqu'un manquement constaté est susceptible de faire l'objet d'une mise en conformité, le premier alinéa du paragraphe II de l'article 45 permet au président de la commission de mettre en demeure le responsable du traitement ou son sous-traitant de prendre les mesures nécessaires à cette fin. Elle vise ainsi à permettre à son destinataire de se mettre en conformité avec le règlement du 27 avril 2016 ou la loi du 6 janvier 1978. Sa méconnaissance n'emporte aucune conséquence. Si cette mise en demeure peut être rendue publique, à la demande du président et sur décision du bureau de la commission, cette publicité ne lui confère pas, en l'espèce, la nature d'une sanction ayant le caractère d'une punition. Par conséquent, le grief tiré de la méconnaissance du principe d'impartialité doit être écarté comme inopérant.
35. En second lieu, selon l'article 8 de la Déclaration de 1789 : « La loi ne doit établir que des peines strictement et évidemment nécessaires et nul ne peut être puni qu'en vertu d'une loi établie et promulguée antérieurement au délit, et légalement appliquée ». Les principes ainsi énoncés ne concernent pas seulement les peines prononcées par les juridictions pénales mais s'étendent à toute sanction ayant le caractère d'une punition. Le principe de nécessité des délits et des peines ne fait pas obstacle à ce que les mêmes faits commis par une même personne puissent faire l'objet de poursuites différentes aux fins de sanctions de nature administrative ou pénale en application de corps de règles distincts. Si l'éventualité que deux procédures soient engagées peut conduire à un cumul de sanctions, le principe de proportionnalité implique qu'en tout état de cause le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues.
36. Il ressort du paragraphe I de l'article 45 de la loi du 6 janvier 1978 que l'avertissement qu'il prévoit est adressé par le président de la commission au responsable d'un traitement de données ou à son sous-traitant lorsque « les opérations de traitements envisagées » sont susceptibles de violer les dispositions du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978. Ainsi, cet avertissement est adressé, à titre préventif, à son destinataire avant même la commission d'un manquement. Il n'est donc pas une sanction ayant le caractère d'une punition. Ainsi, dès lors que ni les avertissements ni les mises en demeure prononcées par le président de la commission ne constituent des sanctions ayant le caractère de punition, la circonstance qu'une sanction prévue par le paragraphe III de l'article 45 se cumule avec ces mesures ne saurait être regardé comme constituant un cumul de sanctions. Par conséquent, le grief tiré de la méconnaissance du principe de proportionnalité des peines doit être écarté.
37. En troisième lieu, selon l'article 6 de la Déclaration de 1789, la loi « doit être la même pour tous, soit qu'elle protège, soit qu'elle punisse ». Le principe d'égalité devant la loi ne s'oppose ni à ce que le législateur règle de façon différente des situations différentes, ni à ce qu'il déroge à l'égalité pour des raisons d'intérêt général, pourvu que, dans l'un et l'autre cas, la différence de traitement qui en résulte soit en rapport direct avec l'objet de la loi qui l'établit.
38. En prévoyant que le président de la Commission nationale de l'informatique et des libertés peut saisir la formation restreinte en vue du prononcé de l'une des mesures ou sanctions prévues par le paragraphe III de l'article 45 lorsque le responsable d'un traitement ou son sous-traitant n'a pas respecté les obligations découlant du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978, le cas échéant en complément d'un avertissement ou d'une mise en demeure, le législateur n'a institué aucune différence de traitement. Par conséquent, le grief tiré de la méconnaissance du principe d'égalité devant la loi doit être écarté.
39. En dernier lieu, les exigences d'impartialité, lorsqu'une autorité administrative indépendante prononce une amende, ne sauraient varier en fonction de son montant maximal. Par conséquent, le grief tiré de la méconnaissance du principe d'impartialité à l'encontre de la deuxième phrase du 7 ° du paragraphe III de l'article 45 doit être écarté.
40. Il résulte de tout ce qui précède que le paragraphe I, le premier alinéa du paragraphe II et la deuxième phrase du 7 ° du paragraphe III de l'article 45 de la loi du 6 janvier 1978, qui ne méconnaissent en tout état de cause aucune autre exigence constitutionnelle, sont conformes à la Constitution.
- Sur certaines dispositions de l'article 13 :
41. L'article 13 modifie l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.
42. Selon le premier alinéa nouveau de cet article 9, de tels traitements peuvent être effectués soit « sous le contrôle de l'autorité publique », soit par les personnes énumérées aux 1 ° à 5 ° du même article. Parmi ces dernières, l'article 13 de la loi déférée ajoute, respectivement aux 1 ° et 3 ° de l'article 9, les personnes morales de droit privé collaborant au service public de la justice et les personnes physiques ou morales qui, en tant que victimes ou mises en cause ou pour le compte de celles-ci, cherchent à préparer, à exercer et à suivre une action en justice et à faire exécuter la décision rendue.
43. Selon les requérants, ces dispositions seraient entachées d'incompétence négative, faute pour le législateur d'avoir suffisamment précisé les catégories de personnes désormais autorisées à mettre en œuvre de tels traitements de données pénales à des fins autres que policières et judiciaires. En outre, elles ne comporteraient pas les garanties nécessaires à la protection du droit au respect de la vie privée, en particulier en ce qu'elles ne prévoient pas d'autorisation administrative préalable de ces traitements.
. En ce qui concerne le 1 ° de l'article 13 :
44. Selon l'article 34 de la Constitution, la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34.
45. L'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative.
46. Pour les motifs énoncés ci-dessus, les mots « sous le contrôle de l'autorité publique ou » figurant au 1 ° de l'article 13 sont contraires à la Constitution. Les mots « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que » figurant au premier alinéa de l'article 9 de la loi du 6 janvier 1978 sont conformes à la Constitution.
. En ce qui concerne les 2 ° et 3 ° de l'article 13 :
47. La liberté proclamée par l'article 2 de la Déclaration de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.
48. En premier lieu, d'une part, en adoptant les dispositions du 2 ° de l'article 13, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. D'autre part, en adoptant les dispositions du 3 ° du même article, le législateur a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général.
49. En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale.
50. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités.
51. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi du 6 janvier 1978.
52. Il résulte de ce qui précède que le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a pas méconnu le droit au respect de la vie privée. Il n'est pas davantage resté en deçà de sa compétence. Les griefs tirés de la méconnaissance de l'article 2 de la Déclaration de 1789 et de l'article 34 de la Constitution doivent ainsi être écartés.
53. Les mots « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission » figurant au 1 ° de l'article 9 de la loi du 6 janvier 1978 et les dispositions du 3 ° du même article, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la Constitution.
- Sur certaines dispositions de l'article 16 :
54. L'article 16 prévoit une nouvelle rédaction du chapitre IX de la loi du 6 janvier 1978, consacré aux traitements de données à caractère personnel dans le domaine de la santé. Le 3 ° de l'article 53 de cette loi, dans cette nouvelle rédaction, en exclut toutefois les traitements mis en œuvre aux fins d'assurer « la prise en charge des prestations par les organismes d'assurance maladie complémentaire ».
55. Les requérants estiment que, du fait de cette exclusion, les organismes d'assurance maladie complémentaire privés pourraient avoir accès aux données à caractère personnel issues de la facturation des soins, sans avoir à recueillir le consentement préalable des patients et que ces organismes pourraient utiliser ces données pour « fixer le prix des assurances » ou « à des fins de choix thérapeutique ou médical ». Il en résulterait une atteinte à « la liberté pour le patient de choisir son médecin et la liberté du médecin de choisir la thérapie la plus adaptée au patient ».
56. Les dispositions contestées se bornent à excepter les traitements mis en œuvre par les organismes d'assurance maladie complémentaire, pour le service de leurs prestations, de l'application des dispositions particulières du chapitre IX de la loi du 6 janvier 1978 relatives aux traitements des données de santé.
57. Par conséquent, d'une part, elles n'exemptent pas ces mêmes traitements du respect des autres dispositions du règlement du 27 avril 2016 et de la loi du 6 janvier 1978 relatives aux principes régissant le traitement des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées. À cet égard, en vertu de l'article 5 de ce règlement, les données de santé recueillies dans le cadre de ces traitements ne peuvent faire l'objet d'un traitement ultérieur incompatible avec la finalité d'origine du traitement, qui ne peut être, en vertu des dispositions contestées, que le service des prestations d'assurance maladie.
58. D'autre part, les dispositions contestées n'ont, en tout état de cause, pas pour effet d'autoriser ces organismes à imposer à leurs assurés le choix d'un médecin ni d'interdire la prise, par ce dernier, de décisions médicales.
59. Il résulte de tout ce qui précède que le grief manque en fait. Les mots « la prise en charge des prestations par les organismes d'assurance maladie complémentaire » figurant au 3 ° de l'article 53 de la loi du 6 janvier 1978, qui ne méconnaissent aucune exigence constitutionnelle, sont conformes à la Constitution.
- Sur certaines dispositions de l'article 20 :
60. L'article 20 introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ». Selon le deuxième alinéa de cet article : « Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur ».
61. Les requérants soutiennent que le deuxième alinéa de cet article 7-1 méconnaîtrait l'exigence d'application du droit européen qui résulte de l'article 88-1 de la Constitution. Selon eux, en prévoyant que, lorsqu'un mineur est âgé de moins de quinze ans, le traitement de ses données à caractère personnel n'est licite que si sont à la fois recueillis le consentement du mineur et celui d'un des titulaires de l'autorité parentale, le législateur aurait énoncé une règle contraire au règlement du 27 avril 2016, qui exigerait, dans une telle hypothèse, le seul recueil du consentement d'un des titulaires de l'autorité parentale.
62. Selon le 1 de l'article 8 du règlement du 27 avril 2016 : « Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. - Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ».
63. Il résulte de l'emploi des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l'autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l'autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Il en résulte que le grief tiré de la méconnaissance de l'article 88-1 de la Constitution doit être écarté.
64. Le deuxième alinéa de l'article 7-1 de la loi du 6 janvier 1978, qui ne méconnaît aucune autre exigence constitutionnelle, est conforme à la Constitution.
- Sur certaines dispositions de l'article 21 :
65. L'article 21 modifie l'article 10 de la loi du 6 janvier 1978 afin d'étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel. En vertu du 2 ° de cet article 10, il en va ainsi des décisions administratives individuelles dès lors que l'algorithme de traitement utilisé ne porte pas sur des données sensibles, que des recours administratifs sont possibles et qu'une information est délivrée sur l'usage de l'algorithme.
66. Les requérants estiment qu'en autorisant l'administration à prendre des décisions individuelles sur le seul fondement d'un algorithme, celle-ci serait conduite à renoncer à l'exercice de son pouvoir d'appréciation des situations individuelles, de sorte que le 2 ° de l'article 10 de la loi du 6 janvier 1978 méconnaîtrait la garantie des droits et l'article 21 de la Constitution. Ces exigences seraient également méconnues en raison de l'existence d'algorithmes « auto-apprenants » susceptibles de réviser eux-mêmes les règles qu'ils appliquent, empêchant, selon eux, de ce fait, l'administration de connaître les règles sur le fondement desquelles la décision administrative a été effectivement prise. Par ailleurs, les requérants estiment que, faute de garanties suffisantes, le législateur aurait porté atteinte « aux principes de valeur constitutionnelle régissant l'exercice du pouvoir réglementaire », dans la mesure où, d'une part, il ne serait pas garanti que les règles appliquées par les algorithmes seront conformes au droit et, d'autre part, l'administration aurait abandonné son pouvoir réglementaire aux algorithmes définissant leurs propres règles. Les règles appliquées par ce dernier type d'algorithmes ne pouvant être déterminées à l'avance, il en résulterait également une méconnaissance du « principe de publicité des règlements ». Enfin, les requérants soutiennent que les dispositions contestées sont dénuées de portée normative ou, à défaut, qu'elles seraient contraires, par leur complexité, à l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi.
67. L'article 21 de la Constitution confie le pouvoir réglementaire au Premier ministre, sous réserve des dispositions de l'article 13.
68. Les dispositions contestées autorisent l'administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme.
69. Toutefois, en premier lieu, ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
70. En deuxième lieu, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311-3-1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2 ° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
71. En dernier lieu, le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.
72. Il résulte de tout ce qui précède que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Les griefs tirés de la méconnaissance de l'article 16 de la Déclaration de 1789 et de l'article 21 de la Constitution doivent donc être écartés. Le 2 ° de l'article 10 de la loi du 6 janvier 1978, qui n'est pas non plus dépourvu de portée normative ou inintelligible et ne méconnaît aucune autre exigence constitutionnelle, est conforme à la Constitution.
- Sur certaines dispositions de l'article 30 :
73. L'article 30 insère un nouveau chapitre XIII dans la loi du 6 janvier 1978, comportant des articles 70-1 à 70-27 et applicable aux traitements de données relevant de la directive du 27 avril 2016. Ces dispositions régissent les traitements de données à caractère personnel mis en œuvre « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Le premier alinéa du nouvel article 70-1 détermine notamment les personnes autorisées à mettre en œuvre de tels traitements. Le nouvel article 70-2 fixe les conditions dans lesquelles des données sensibles, au sens du paragraphe I de l'article 8 de la loi du 6 janvier 1978, peuvent faire l'objet d'un tel traitement.
74. Selon les requérants, ces dispositions ne préciseraient pas suffisamment les personnes ainsi autorisées à mettre en œuvre des traitements de données à caractère personnel relatives à des infractions, enquêtes ou poursuites pénales. En outre, elles ne définiraient pas les « garanties appropriées pour les droits et libertés de la personne concernée » auxquelles elles font référence lorsque ces traitements comportent des données sensibles. Il en résulterait une méconnaissance par le législateur de l'étendue de sa compétence.
75. En premier lieu, en vertu du premier alinéa de l'article 70-1, les dispositions du chapitre XIII de la loi du 6 janvier 1978, régissant les traitements de données à caractère personnel dans le domaine pénal, s'appliquent, d'une part, aux autorités publiques compétentes en matière de prévention et de détection des infractions pénales, d'enquêtes et de poursuites pénales et d'exécution de sanctions pénales, y compris en matière de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une infraction pénale et de prévention de telles menaces. Elles s'appliquent, d'autre part, à tout autre organisme ou entité à qui une disposition de droit interne a confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique. Ce faisant, le législateur a suffisamment défini les catégories de personnes susceptibles de mettre en œuvre les traitements de données en cause.
76. En second lieu, l'article 70-2 prévoit que le traitement de données sensibles n'est possible qu'en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne en cause, et s'il est autorisé par une disposition législative ou réglementaire, s'il vise à protéger les intérêts vitaux d'une personne physique ou s'il porte sur des données manifestement rendues publiques par la personne en cause. En mentionnant ainsi les « garanties appropriées pour les droits et libertés », qui s'ajoutent à celles prévues au chapitre XIII de la loi du 6 janvier 1978, le législateur a entendu faire référence aux règles relatives à la collecte, à l'accès et à la sécurisation des données, déterminées au cas par cas en fonction de la finalité de chaque traitement en cause. Ainsi, en adoptant les dispositions contestées, le législateur n'est pas resté en deçà de la compétence que lui attribue l'article 34 de la Constitution pour fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.
77. Le grief tiré de la méconnaissance de l'article 34 de la Constitution doit ainsi être écarté. Le premier alinéa de l'article 70-1 et l'article 70-2 de la loi du 6 janvier 1978, qui ne méconnaissent en tout état de cause aucune autre exigence constitutionnelle, sont conformes à la Constitution.
- Sur certaines dispositions de l'article 36 :
78. L'article 36 réécrit l'article 230-8 du code de procédure pénale définissant les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale. Ces dispositions prévoient que le procureur de la République est compétent pour ordonner l'effacement ou la rectification de ces données, d'office ou à la demande de la personne concernée par les données. Aux termes des quatrième à huitième phrases du premier alinéa de l'article 230-8 : « La personne concernée peut former cette demande sans délai à la suite d'une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d'irrecevabilité, que lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d'une décision de relaxe ou d'acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause font l'objet d'une mention, sauf si le procureur de la République ordonne l'effacement des données personnelles ».
79. Les requérants soutiennent que les quatrième à huitième phrases du premier alinéa de l'article 230-8 du code de procédure pénale contreviennent au droit au respect de la vie privée dès lors qu'une personne n'ayant pas fait l'objet d'une décision définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite ne peut demander l'effacement ou la rectification des mentions la concernant que « lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire », alors même que cette mention peut être sans lien avec l'inscription à l'origine de la demande. Par ailleurs, la distinction opérée par ces dispositions, en ce qui concerne l'effacement d'office des données, entre les personnes relaxées ou acquittées et celles ayant fait l'objet d'une décision de non-lieu ou de classement sans suite serait contraire au principe d'égalité devant la loi.
. En ce qui concerne le grief tiré de la méconnaissance du droit au respect de la vie privée :
80. D'une part, en autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public.
81. D'autre part, figurent dans ce fichier des données particulièrement sensibles pouvant être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Par ailleurs, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées. Toutefois, d'une part, les dispositions contestées permettent à toute personne ayant bénéficié d'une décision définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou de mention au casier judiciaire, de non-lieu ou de classement sans suite, de demander sans délai l'effacement ou la rectification des données la concernant. D'autre part, en l'absence d'une telle décision, la personne peut demander l'effacement ou la rectification des données dès lors qu'il ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. Indépendamment des règles légales de retrait des mentions d'une condamnation au bulletin n° 2, le juge pénal peut exclure expressément une telle mention lorsqu'il prononce cette condamnation ou par jugement rendu postérieurement sur la requête du condamné. Enfin, la mention est supprimée en cas de réhabilitation acquise de plein droit ou de réhabilitation judiciaire.
82. Il résulte de ce qui précède que le grief tiré de la méconnaissance au droit au respect de la vie privée doit être écarté.
. En ce qui concerne le grief tiré de la méconnaissance du principe d'égalité devant la loi :
83. En application des dispositions contestées, le législateur a traité différemment les personnes ayant fait l'objet d'une décision de relaxe ou d'acquittement devenue définitive et celles ayant fait l'objet d'une décision de non-lieu ou de classement sans suite. Alors que, pour les premières, les données personnelles doivent être effacées d'office du traitement, pour les secondes, les données sont conservées sauf décision contraire du procureur de la République.
84. Toutefois, cette différence de traitement correspond à une différence de situation, les décisions de relaxe ou d'acquittement étant revêtues de l'autorité de la chose jugée et faisant obstacle à ce que la personne soit à nouveau condamnée ou poursuivie pour les mêmes faits alors que les décisions de non-lieu à l'issue d'une instruction ou de classement sans suite n'entraînent pas l'extinction de l'action publique. Cette différence de traitement est en rapport avec l'objet de la loi, qui est de permettre la conservation de données aux fins notamment de faciliter la constatation des infractions à la loi pénale. Le grief tiré de la méconnaissance du principe d'égalité devant la loi doit donc être écarté.
85. Il résulte de tout ce qui précède que les quatrième à huitième phrases du premier alinéa de l'article 230-8 du code de procédure pénale, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la Constitution.
- Sur les autres dispositions :
86. Le Conseil constitutionnel n'a soulevé d'office aucune question de conformité à la Constitution et ne s'est donc pas prononcé sur la constitutionnalité des autres dispositions que celles examinées dans la présente décision.
LE CONSEIL CONSTITUTIONNEL DÉCIDE :
Article 1er. - Les mots « sous le contrôle de l'autorité publique ou » figurant au 1 ° de l'article 13 de la loi relative à la protection des données personnelles sont contraires à la Constitution.
Article 2. - Sont conformes à la Constitution les dispositions suivantes, dans leur rédaction résultant de la loi déférée :
- le deuxième alinéa de l'article 7-1 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- les mots « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que » figurant au premier alinéa de l'article 9 de la même loi du 6 janvier 1978, les mots « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission » figurant au 1 ° du même article et le 3 ° du même article ;
- le 2 ° de l'article 10 de la même loi ;
- la deuxième phrase du a du 4 ° de l'article 11 de la même loi ;
- le deuxième alinéa de l'article 17 de la même loi ;
- le paragraphe V de l'article 44 de la même loi ;
- le paragraphe I, le premier alinéa du paragraphe II et la deuxième phrase du 7 ° du paragraphe III de l'article 45 de la même loi ;
- les mots « la prise en charge des prestations par les organismes d'assurance maladie complémentaire » figurant au 3 ° de l'article 53 de la même loi ;
- le premier alinéa de l'article 70-1 et l'article 70-2 de la même loi ;
- les quatrième à huitième phrases du premier alinéa de l'article 230-8 du code de procédure pénale.
Article 3. - Cette décision sera publiée au Journal officiel de la République française.
Jugé par le Conseil constitutionnel dans sa séance du 12 juin 2018, où siégeaient : M. Laurent FABIUS, Président, Mme Claire BAZY MALAURIE, MM. Valéry GISCARD d'ESTAING, Jean-Jacques HYEST, Lionel JOSPIN, Mmes Dominique LOTTIN, Corinne LUQUIENS, Nicole MAESTRACCI et M. Michel PINAULT.
Rendu public le 12 juin 2018.JORF n°0141 du 21 juin 2018 texte n° 2
ECLI : FR : CC : 2018 : 2018.765.DC
Les abstracts
- 1. NORMES CONSTITUTIONNELLES
- 1.5. CONSTITUTION DU 4 OCTOBRE 1958
- 1.5.16. Titre XV - Des Communautés européennes et de l'Union européenne
- 1.5.16.1. Principe de participation de la République aux Communautés européennes et à l'Union européenne (article 88-1)
1.5.16.1.2. Exigence constitutionnelle de transposition des directives européennes et d'adaptation du droit interne aux règlements européens
Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, le contrôle qu'il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne sur le fondement de l'article 267 du traité sur le fonctionnement de l'Union européenne. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l'Union européenne à titre préjudiciel.
- 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
- 3.3. ÉTENDUE ET LIMITES DE LA COMPÉTENCE LÉGISLATIVE
- 3.3.4. Incompétence négative
- 3.3.4.1. Cas d'incompétence négative
- 3.3.4.1.1. Droit pénal et procédure pénale
3.3.4.1.1.3. Fichiers privés d'infractions
L'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative. Censure.
- 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
- 3.3. ÉTENDUE ET LIMITES DE LA COMPÉTENCE LÉGISLATIVE
- 3.3.4. Incompétence négative
- 3.3.4.2. Absence d'incompétence négative
3.3.4.2.1. Le législateur a épuisé sa compétence
Les dispositions contestées modifient l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016. En premier lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. En second lieu, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi du 6 janvier 1978. Le législateur n'est donc pas resté en deçà de sa compétence. Le grief tiré de l'incompétence négative est écarté.
En premier lieu, en vertu des dispositions contestées, les dispositions du chapitre XIII de la loi du 6 janvier 1978, régissant les traitements de données à caractère personnel dans le domaine pénal, s'appliquent, d'une part, aux autorités publiques compétentes en matière de prévention et de détection des infractions pénales, d'enquêtes et de poursuites pénales et d'exécution de sanctions pénales, y compris en matière de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une infraction pénale et de prévention de telles menaces. Elles s'appliquent, d'autre part, à tout autre organisme ou entité à qui une disposition de droit interne a confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique. Ce faisant, le législateur a suffisamment défini les catégories de personnes susceptibles de mettre en œuvre les traitements de données en cause. En second lieu, les dispositions contestées prévoient que le traitement de données sensibles n'est possible qu'en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne en cause, et s'il est autorisé par une disposition législative ou réglementaire, s'il vise à protéger les intérêts vitaux d'une personne physique ou s'il porte sur des données manifestement rendues publiques par la personne en cause. En mentionnant ainsi les « garanties appropriées pour les droits et libertés », qui s'ajoutent à celles prévues au chapitre XIII de la loi du 6 janvier 1978, le législateur a entendu faire référence aux règles relatives à la collecte, à l'accès et à la sécurisation des données, déterminées au cas par cas en fonction de la finalité de chaque traitement en cause. Le législateur n'est donc pas resté en deçà de la compétence que lui attribue l'article 34 de la Constitution pour fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Le grief tiré de l'incompétence négative est écarté.
Aux termes du second alinéa de l'article 1er de la loi organique du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes, pris sur le fondement du dernier alinéa de l'article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l'organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34. En prévoyant que la Commission nationale de l'informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu'à la demande d'un président de groupe d'une assemblée parlementaire, le législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi. Le grief tiré de l'incompétence négative est écarté.
- 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
- 3.7. RÉPARTITION DES COMPÉTENCES PAR MATIÈRES
- 3.7.18. Compétence du législateur précisée ou complétée par une loi organique
3.7.18.1. Autorités administratives indépendantes et autorités publiques indépendantes
Aux termes du second alinéa de l'article 1er de la loi organique du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes, pris sur le fondement du dernier alinéa de l'article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l'organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34. En prévoyant que la Commission nationale de l'informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu'à la demande d'un président de groupe d'une assemblée parlementaire, le législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi. Le grief tiré de l'incompétence négative est écarté.
- 4. DROITS ET LIBERTÉS
- 4.2. PRINCIPES GÉNÉRAUX APPLICABLES AUX DROITS ET LIBERTÉS CONSTITUTIONNELLEMENT GARANTIS
- 4.2.2. Garantie des droits
4.2.2.6. Séparation des pouvoirs
Griefs tiré d'atteinte à la garantie des droits et à l'article 21 de la Constitution, du fait, d'une part, de l'autorisation donnée à l'administration de renoncer, par le recours à un algorithme, à l'exercice de son pouvoir d'appréciation des situations individuelles et, d'autre part, de la capacité de ces algorithmes à réviser eux-mêmes les règles qu'ils appliquent.
Les dispositions contestées autorisent l'administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme. Toutefois, en premier lieu, ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
En deuxième lieu, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311–3–1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
En dernier lieu, le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.
Il résulte de tout ce qui précède que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Les griefs tirés de la méconnaissance de l'article 16 de la Déclaration de 1789 et de l'article 21 de la Constitution sont écartés.
L'article 4 de la loi relative à la protection des données personnelles modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative ou publique indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.
Ni les dispositions contestées ni le reste de l'article 4 de la loi déférée ne modifient les règles relatives à la séparation au sein de la Commission nationale de l'informatique et des libertés entre, d'une part, les fonctions de poursuite et d'instruction et, d'autre part, celles de jugement et de sanction. Dès lors, l'argumentation des requérants sur ce point n'est pas opérante à l'encontre des dispositions de l'article 4. Le grief est écarté.
L'article 5 de la loi relative à la protection des données personnelles étend le droit d'accès et le droit de communication reconnu par l'article 44 de la loi du 6 janvier 1978 aux membres et agents habilités de la Commission nationale de l'informatique et des libertés. Son 5° complète cet article 44 d'un paragraphe V, qui exclut le contrôle de la commission sur les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions.
En premier lieu, la Commission nationale de l'informatique et des libertés n'exerce ses pouvoirs de contrôle que dans les limites et sous les garanties prévues par le règlement du 27 avril 2016 et la loi du 6 janvier 1978. En particulier, elle ne les exerce que, conformément au 2° de l'article 11 de cette loi, afin de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la même loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires du droit de l'Union européenne et les engagements internationaux de la France. En second lieu et en tout état de cause, les opérations de contrôle de la Commission nationale de l'informatique et des libertés ne sauraient mettre en cause le fonctionnement régulier des pouvoirs publics constitutionnels. Le grief tiré de la méconnaissance du principe de séparation des pouvoirs est écarté.
- 4. DROITS ET LIBERTÉS
- 4.5. DROIT AU RESPECT DE LA VIE PRIVÉE (voir également ci-dessous Droits des étrangers et droit d'asile, Liberté individuelle et Liberté personnelle)
- 4.5.2. Traitements de données à caractère personnel (voir également Titre 15 Autorités indépendantes)
- 4.5.2.1. Fichiers de police et de justice
4.5.2.1.1. Fichiers de la police et de la Gendarmerie
L'article 230-8 du code de procédure pénale définit les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale.
D'une part, en autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public. D'autre part, figurent dans ce fichier des données particulièrement sensibles pouvant être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Par ailleurs, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées.
Toutefois, d'une part, les dispositions contestées permettent à toute personne ayant bénéficié d'une décision définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou de mention au casier judiciaire, de non-lieu ou de classement sans suite, de demander sans délai l'effacement ou la rectification des données la concernant. D'autre part, en l'absence d'une telle décision, la personne peut demander l'effacement ou la rectification des données dès lors qu'il ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. Indépendamment des règles légales de retrait des mentions d'une condamnation au bulletin n° 2, le juge pénal peut exclure expressément une telle mention lorsqu'il prononce cette condamnation ou par jugement rendu postérieurement sur la requête du condamné. Enfin, la mention est supprimée en cas de réhabilitation acquise de plein droit ou de réhabilitation judiciaire. Absence de méconnaissance du droit au respect de la vie privée.
- 4. DROITS ET LIBERTÉS
- 4.5. DROIT AU RESPECT DE LA VIE PRIVÉE (voir également ci-dessous Droits des étrangers et droit d'asile, Liberté individuelle et Liberté personnelle)
- 4.5.2. Traitements de données à caractère personnel (voir également Titre 15 Autorités indépendantes)
4.5.2.4. Fichiers privés d'infractions
Les dispositions contestées modifient l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016. En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général. En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi du 6 janvier 1978. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.
- 4. DROITS ET LIBERTÉS
- 4.23. PRINCIPES DE DROIT PÉNAL ET DE PROCÉDURE PÉNALE
4.23.3. Principes de nécessité et de proportionnalité
Le 2° de l'article 7 de la loi relative à la protection des données réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
Il ressort du paragraphe I de l'article 45 de la loi du 6 janvier 1978 que l'avertissement qu'il prévoit est adressé par le président de la commission au responsable d'un traitement de données ou à son sous-traitant lorsque « les opérations de traitements envisagées » sont susceptibles de violer les dispositions du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978. Ainsi, cet avertissement est adressé, à titre préventif, à son destinataire avant même la commission d'un manquement. Il n'est donc pas une sanction ayant le caractère d'une punition. Ainsi, dès lors que ni les avertissements ni les mises en demeure prononcées par le président de la commission ne constituent des sanctions ayant le caractère de punition, la circonstance qu'une sanction prévue par le paragraphe III de l'article 45 se cumule avec ces mesures ne saurait être regardé comme constituant un cumul de sanctions. Le grief tiré de la méconnaissance du principe de proportionnalité des peines est écarté.
- 5. ÉGALITÉ
- 5.1. ÉGALITÉ DEVANT LA LOI
- 5.1.3. Respect du principe d'égalité : absence de différence de traitement
5.1.3.12. Applications diverses
Le 2° de l'article 7 de la loi relative à la protection des données personnelles réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
En prévoyant que le président de la Commission nationale de l'informatique et des libertés peut saisir la formation restreinte en vue du prononcé de l'une des mesures ou sanctions prévues par le paragraphe III de l'article 45 lorsque le responsable d'un traitement ou son sous-traitant n'a pas respecté les obligations découlant du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978, le cas échéant en complément d'un avertissement ou d'une mise en demeure, le législateur n'a institué aucune différence de traitement. Le grief tiré de la méconnaissance du principe d'égalité devant la loi est écarté.
- 5. ÉGALITÉ
- 5.1. ÉGALITÉ DEVANT LA LOI
- 5.1.4. Respect du principe d'égalité : différence de traitement justifiée par une différence de situation
- 5.1.4.5. Droit pénal et procédure pénale
5.1.4.5.8. Fichiers
L'article 36 réécrit l'article 230-8 du code de procédure pénale définissant les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale.
En application des dispositions contestées, le législateur a traité différemment les personnes ayant fait l'objet d'une décision de relaxe ou d'acquittement devenue définitive et celles ayant fait l'objet d'une décision de non-lieu ou de classement sans suite. Alors que, pour les premières, les données personnelles doivent être effacées d'office du traitement, pour les secondes, les données sont conservées sauf décision contraire du procureur de la République. Toutefois, cette différence de traitement correspond à une différence de situation, les décisions de relaxe ou d'acquittement étant revêtues de l'autorité de la chose jugée et faisant obstacle à ce que la personne soit à nouveau condamnée ou poursuivie pour les mêmes faits alors que les décisions de non-lieu à l'issue d'une instruction ou de classement sans suite n'entraînent pas l'extinction de l'action publique. Cette différence de traitement est en rapport avec l'objet de la loi, qui est de permettre la conservation de données aux fins notamment de faciliter la constatation des infractions à la loi pénale. Le grief tiré de la méconnaissance du principe d'égalité devant la loi est écarté.
- 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
- 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
- 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
7.4.4.1. Notion de loi de transposition et de loi d'adaptation
En les soumettant à un contrôle normal, le Conseil constitutionnel juge implicitement que les 2° et 3° de l'article 13 de la loi déférée ne se bornent pas à tirer les conséquences nécessaires de dispositions du règlement européen du 27 avril 2016 auquel la loi a pour objet d'adapter le droit interne.
- 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
- 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
- 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
- 7.4.4.2. Absence de contrôle de la constitutionnalité de la loi de transposition ou d'adaptation
- 7.4.4.2.2. Exception fondée sur la clause de sauvegarde
7.4.4.2.2.1. Clause de sauvegarde fondée sur l'identité constitutionnelle de la France
Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne.
- 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
- 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
- 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
- 7.4.4.2. Absence de contrôle de la constitutionnalité de la loi de transposition ou d'adaptation
- 7.4.4.2.4. Autres exceptions à l'absence de contrôle
7.4.4.2.4.1. Incompétence négative du législateur
Les exigences constitutionnelles qui se déduisent de l'article 88-1 relatives aux limites du contrôle de constitutionnalité sur les lois de transposition d'une directive européenne ou sur celles adaptant le droit interne à un règlement européen n'ont pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu'elle est déterminée par la Constitution.
L'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative. Censure.
- 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
- 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
- 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
- 7.4.4.3. Contrôle de l'exigence de bonne transposition ou de correcte adaptation du droit interne au texte européen
7.4.4.3.1. Conditions du contrôle
Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, le contrôle qu'il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne sur le fondement de l'article 267 du traité sur le fonctionnement de l'Union européenne. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l'Union européenne à titre préjudiciel.
- 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
- 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
- 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
- 7.4.4.3. Contrôle de l'exigence de bonne transposition ou de correcte adaptation du droit interne au texte européen
- 7.4.4.3.2. Applications
7.4.4.3.2.2. Absence d'incompatibilité manifeste
L'article 20 introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ». Selon le deuxième alinéa de cet article : « Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur ». Selon le 1 de l'article 8 du règlement du 27 avril 2016 : « Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. - Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». Il résulte de l'emploi des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l'autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l'autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Il en résulte que le grief tiré de la méconnaissance de l'article 88-1 de la Constitution est écarté.
- 9. PRÉSIDENT DE LA RÉPUBLIQUE ET GOUVERNEMENT
- 9.2. GOUVERNEMENT
- 9.2.3. Premier ministre
9.2.3.3. Pouvoir réglementaire
Griefs tiré d'atteinte à la garantie des droits et à l'article 21 de la Constitution, du fait de l'autorisation donnée à l'administration à renoncer, par le recours à un algorithme, à l'exercice de son pouvoir d'appréciation des situations individuelles et de la capacité de ces algorithmes à réviser eux-mêmes les règles qu'ils appliquent.
Les dispositions contestées autorisent l'administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme. Toutefois, en premier lieu, ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
En deuxième lieu, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311–3–1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
En dernier lieu, le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.
Il résulte de tout ce qui précède que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Les griefs tirés de la méconnaissance de l'article 16 de la Déclaration de 1789 et de l'article 21 de la Constitution sont écartés.
- 10. PARLEMENT
- 10.3. FONCTION LEGISLATIVE
- 10.3.10. Qualité de la loi
10.3.10.3. Objectif d'accessibilité et d'intelligibilité (voir également ci-dessus Principe de clarté de la loi)
Les requérants reprochaient au législateur d'avoir, afin d'adapter la législation nationale à un réglement et à une directive européens, modifié la législation existante et, ce faisant, introduit des divergences résultant de l'articulation entre cette législation et le droit européen.
Le Conseil constitutionnel juge que si le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n'en résulte pas une inintelligibilité de la loi.
Il était soutenu que la loi déférée méconnaissait l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi au motif qu'elle ne réglait pas clairement les modalités de son application dans les collectivités constituant des pays et territoires d'outre-mer dans lesquels le droit de l'Union européenne n'est pas applicable. En effet, selon les requérants, la loi du 6 janvier 1978, modifiée par le texte déféré, ne serait désormais compréhensible que combinée avec les dispositions du règlement européen du 27 avril 2016 relatif à la protection des données à caractère personnel, lequel n'est pas applicable dans ces territoires.
Le Conseil constitutionnel juge que, si le texte déféré ne prévoit pas de dispositions déterminant ses modalités d'application dans les collectivités d'outre-mer, en revanche, le 3° du paragraphe I de son article 32 habilite le Gouvernement à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à « l'adaptation et à l'extension à l'outre–mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint–Barthélemy, à Saint–Pierre–et–Miquelon, en Nouvelle–Calédonie, en Polynésie française, à Wallis–et–Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78–17 du 6 janvier 1978 précitée relevant de la compétence de l'État ».
Par ailleurs, La Nouvelle-Calédonie, la Polynésie française, les Terres australes et antarctiques françaises, Wallis-et-Futuna, Saint-Pierre-et-Miquelon et Saint-Barthélemy sont des pays et territoires d'outre-mer relevant du régime spécial d'association à l'Union européenne prévu par la quatrième partie du traité sur le fonctionnement de l'Union européenne. Le règlement et la directive du 27 avril 2016 ne s'y appliquent pas. Aussi, en Nouvelle-Calédonie, en Polynésie française, dans les Terres australes et antarctiques françaises et à Wallis-et-Futuna, qui sont régis par le principe de spécialité législative, la loi du 6 janvier 1978 continuera à s'appliquer dans sa rédaction antérieure à la loi déférée. À Saint-Pierre-et-Miquelon et à Saint-Barthélemy, qui sont régis par le principe d'identité législative, la loi déférée est applicable, y compris en ce qu'elle renvoie à des dispositions du règlement du 27 avril 2016.
Par voie de conséquence, il ne résulte pas de l'absence de disposition spécifique déterminant les modalités d'application de la loi déférée dans les collectivités d'outre-mer précitées une méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi.
- 11. CONSEIL CONSTITUTIONNEL ET CONTENTIEUX DES NORMES
- 11.5. GRIEFS (contrôle a priori des lois - article 61 de la Constitution)
- 11.5.2. Griefs inopérants, manquant en fait, surabondants ou mal dirigés
11.5.2.2. Griefs manquant en fait (exemples)
Les dispositions contestées se bornent à excepter les traitements mis en œuvre par les organismes d'assurance maladie complémentaire, pour le service de leurs prestations, de l'application des dispositions particulières du chapitre IX de la loi du 6 janvier 1978 relatives aux traitements des données de santé. Par conséquent, d'une part, elles n'exemptent pas ces mêmes traitements du respect des autres dispositions du règlement européen du 27 avril 2016 et de la loi du 6 janvier 1978 relatives aux principes régissant le traitement des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées. D'autre part, elles n'ont, en tout état de cause, pas pour effet d'autoriser ces organismes à imposer à leurs assurés le choix d'un médecin ni d'interdire la prise, par ce dernier, de décisions médicales. Le grief tiré de l'atteinte à « la liberté pour le patient de choisir son médecin et la liberté du médecin de choisir la thérapie la plus adaptée au patient » manque en fait.
- 12. JURIDICTIONS ET AUTORITÉ JUDICIAIRE
- 12.1. JURIDICTIONS ET SÉPARATION DES POUVOIRS
- 12.1.2. Indépendance de la justice et des juridictions
- 12.1.2.2. Applications
12.1.2.2.1. Séparation des pouvoirs
L'article 4 de la loi relative à la protection des données modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative ou publique indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.
Ni les dispositions contestées ni le reste de l'article 4 de la loi déférée ne modifient les règles relatives à la séparation au sein de la Commission nationale de l'informatique et des libertés entre, d'une part, les fonctions de poursuite et d'instruction et, d'autre part, celles de jugement et de sanction. Dès lors, l'argumentation des requérants sur ce point n'est pas opérante à l'encontre des dispositions de l'article 4. Le grief est écarté.
- 15. AUTORITÉS INDÉPENDANTES
- 15.2. GARANTIES D'INDÉPENDANCE
- 15.2.1. Membres
- 15.2.1.3. Obligations d'impartialité
15.2.1.3.4. Commission nationale de l'informatique et des libertés
L'article 4 de la loi relative à la protection des données personnelles modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Le deuxième alinéa de l'article 17 de la loi du 6 janvier 1978 prévoit que seuls parmi les agents de la Commission nationale de l'informatique et des libertés peuvent être présents au cours des délibérés de sa formation restreinte ceux chargés de la tenue de la séance. La circonstance que ces agents sont placés sous l'autorité du président de cette commission ne méconnaît pas le principe d'impartialité.
Le 2° de l'article 7 de la loi relative à la protection des données personnelles réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
Lorsqu'un manquement constaté est susceptible de faire l'objet d'une mise en conformité, le premier alinéa du paragraphe II de l'article 45 permet au président de la commission de mettre en demeure le responsable du traitement ou son sous-traitant de prendre les mesures nécessaires à cette fin. Elle vise ainsi à permettre à son destinataire de se mettre en conformité avec le règlement du 27 avril 2016 ou la loi du 6 janvier 1978. Sa méconnaissance n'emporte aucune conséquence. Si cette mise en demeure peut être rendue publique, à la demande du président et sur décision du bureau de la commission, cette publicité ne lui confère pas, en l'espèce, la nature d'une sanction ayant le caractère d'une punition. Le grief tiré de la méconnaissance du principe d'impartialité est écarté comme inopérant.