Loi n° 2018-493 du 20 juin 2018, relative à la protection des données personnelles.
La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifie et complète notamment la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi dite informatique et libertés), mais aussi, de manière plus accessoire, les codes du patrimoine, de la défense, de l’éducation, le code pénal, de procédure pénale, le code général des collectivités territoriales et le code de la consommation.
Cette nouvelle loi est destinée à mettre le droit français en conformité avec les exigences du règlement (UE) 2016/679 du 27 avril 2016 (dit RGPD), relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de la directive (UE) 2016/680, également du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ainsi qu’à la circulation de ces données.
Remarque générale
Le volume du texte et le nombre de modifications partielles ou plus importantes ainsi introduites dans la loi de janvier 1978 (on compte une trentaine de modifications et une cinquantaine de nouveaux articles) n’en facilitent pas « l’accessibilité et la lisibilité », contrairement à ce que le Conseil constitutionnel a considéré dans sa décision n° 2018-765 DC du 12 juin 2018. Il est vrai que c’est là un problème beaucoup plus général de la production législative. La loi nouvelle elle-même le reconnaît puisque, en son article 32, elle autorise le gouvernement à procéder, par voie d’ordonnance, « à la réécriture de l’ensemble de la loi n° 78-17, du 6 janvier 1978 », afin d’y « apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées » (qu’il s’agisse de celles qui procèdent à de tels traitements de données ou de celles qui en sont l’objet). Pour une meilleure qualité du droit, cela ne devrait-il pas être fait avant l’adoption solennelle des textes, en dernière lecture, et avant leur promulgation ?
Dispositions particulières
Le Chapitre Ier du Titre I de la loi nouvelle, modifiant et complétant la loi de janvier 1978, est relatif à la Commission nationale de l’informatique et des libertés (Cnil), à son organisation et à ses compétences. Des dispositions nouvelles sont relatives aux opérations de coopération qu’elle mènera avec « les autorités de contrôle des autres États membres de l’Union européenne », conformément à ce que prévoit le RGPD. D’autres concernent l’exercice de son pouvoir de sanction. Aux termes du nouvel article 46 de la loi de 1978, il peut s’agir de mesures d’« interruption provisoire de la mise en œuvre d’un traitement » ; de « limitation du traitement de certaines données à caractère personnel » ; de la « suspension provisoire de la certification délivrée au responsable du traitement » ; de « l’injonction de mettre en conformité le traitement avec les obligations » du RGPD et de la loi ou « de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits » (d’information, de vérification, de correction, de suppression de données), avec une astreinte « dont le montant ne peut excéder 100 000 euros par jour de retard » ; de publication de la décision ; d’une « condamnation pécuniaire ». Peut ainsi être prononcée une « amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial », susceptible, dans certains cas, d’être portée à « 20 millions d’euros et 4 % dudit chiffre d’affaires ».
Par les « dispositions relatives à certaines catégories de données », est allongée la liste de l’article 8 de la loi de janvier 1978 déterminant les données, dites « sensibles », dont le traitement est interdit, telles que celles qui « révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale » ou bien celles qui sont relatives aux données génétiques ou biométriques, ou concernant « la santé, la vie sexuelle ou l’orientation sexuelle ».
Par les « dispositions relatives à certaines catégories particulières de traitements », sont notamment complétées les dispositions de l’article 9 de la loi de 1978 concernant les données en relation avec des affaires pénales.
Est refondu tout le chapitre de la loi de 1978 relatif aux « traitements de données à caractère personnel dans le domaine de la santé », l’usage qui peut en être fait et les droits des personnes à cet égard.
Par le chapitre portant sur le « dispositions particulières relatives aux droits des personnes concernées », sont notamment déterminées les conditions dans lesquelles il peut être procédé au « traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information » faite à un mineur de quinze ans. Il y est également posé pour principe qu’« aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel ».
Si le législateur a autorisé le gouvernement à procéder par voie d’ordonnance à la réécriture de l’ensemble de la loi, et quelle que soit la technicité de ces questions, on peut espérer que le texte qui en sortira gagnera à la fois « en accessibilité et lisibilité ».
CONTRÔLE DE CONSTITUTIONNALITÉ DES DISPOSITIONS DE LA LOI RELATIVE À LA PROTECTION DES DONNÉES PERSONNELLES Conseil constitutionnel, décision n° 2018-765 du 12 juin 2018. Saisi, par des sénateurs d’opposition, de nombre de dispositions du texte voté de la loi relative à la protection des données personnelles (destinée, par adaptation aux exigences du droit européen, à modifier la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés) dont ils contestaient la conformité à la Constitution, le Conseil constitutionnel s’est prononcé sur la constitutionnalité de la plupart d’entre elles, sauf une. Toutes celles qui ont ainsi été déclarées conformes ont donc pu être promulguées. Elles échappent désormais à toute possibilité de nouvelle contestation dans le cadre de cet autre mode de contrôle de constitutionnalité des lois que sont les questions prioritaires de constitutionnalité (QPC). Pour statuer, le Conseil constitutionnel a posé notamment que, aux termes de l’article 88-1 de la Constitution, « la République participe à l’Union européenne » et, en conséquence, que « tant la transposition en droit interne d’une directive […] que le respect d’un règlement de l’Union européenne, lorsqu’une loi a pour objet d’y adapter le droit interne, résultent d’une exigence constitutionnelle ». Il lui appartient d’y veiller. Disposition non conforme L’unique disposition déclarée non conforme à la Constitution concernait les conditions de constitution de certains traitements de données en matière pénale. Reproduisant les termes du règlement général européen sur la protection des données (RGPD) du 27 avril 2016, la disposition votée se contentait de mentionner que cela serait fait « sous le contrôle de l’autorité publique », sans autre précision. Reproche est fait au législateur de n’avoir ni déterminé « les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données », ce qui affecterait « les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » et de n’avoir pas ainsi exercé « pleinement la compétence que lui confie la Constitution ». La suppression de la disposition en cause n’aura-t-elle pas pour effet de réduire encore davantage les « garanties fondamentales accordées aux citoyens » ? Dispositions conformes Toutes les autres dispositions contestées par les sénateurs d’opposition, qui en dénonçaient notamment le manquement à l’exigence « d’accessibilité et d’intelligibilité de la loi » ainsi que quelques autres motifs d’inconstitutionnalité, ont été déclarées conformes à la Constitution.
Dans leur saisine du Conseil constitutionnel, les sénateurs soutenaient notamment que, sur certains points, la loi votée méconnaissait « l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi, compte tenu des divergences résultant de l’articulation entre les dispositions de la loi du 6 janvier 1978, telle que modifiée, et du règlement » européen, et que « cette absence de lisibilité serait de nature à « induire gravement en erreur » les citoyens quant à la portée de leurs droits et obligations en matière de protection des données personnelles », et particulièrement dans les collectivités et territoires d’outre-mer. Pour le Conseil constitutionnel, bien que le législateur ait fait le choix d’introduire « des dispositions dont certaines sont formellement différentes de celles du RGPD, il n’en résulte pas une inintelligibilité de la loi ». De plus, il relève que le texte voté « habilite le Gouvernement à prendre, par voie d’ordonnance, les mesures […] nécessaires à la réécriture de l’ensemble de la loi du 6 janvier 1978 afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions » en cause. Que cela n’est-il fait avant l’adoption des mesures nouvelles ? Ne conviendrait-il pas que les parlementaires se prononcent définitivement et solennellement sur un texte dit « consolidé », intégrant dans la loi modifiée les dispositions nouvelles ? Envisageant l’intervention d’une telle ordonnance, le législateur ne reconnaît-il pas lui-même que, en l’état, le texte de la loi ne satisfait pas ces exigences « d’accessibilité et d’intelligibilité » ?
Les autres motifs d’inconstitutionnalité soulevés par les sénateurs, mais écartés par le Conseil constitutionnel, portent sur diverses dispositions de la loi votée. Sont déclarées conformes à la Constitution les dispositions relatives à certaines missions consultatives de la Commission nationale de l’informatique et des libertés (Cnil) ; à la procédure suivie par elle dans l’exercice de son pouvoir de sanction et à ce pouvoir lui-même ; au droit d’accès et de communication des membres de cette Commission et de ses agents ; aux avertissements et mises en demeure, dont il est considéré qu’ils ne sont pas constitutifs de sanctions, susceptibles d’être adressés à ceux qui procèdent à des traitements de données personnelles ; aux traitements de données relatives à des affaires pénales et à la santé et aux exigences de respect de la vie privée ; à la détermination des conditions dans lesquelles il peut être consenti à un traitement de données personnelles lié à l’offre « de services de la société de l’information » à un mineur ; aux conditions dans lesquelles « une décision produisant des effets juridiques à l’égard d’une personne […] peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel ». Tel que promulgué, le texte de la loi n° 2018-493 du 20 juin 2018 intègre donc, à l’exclusion de la disposition considérée comme contraire à la Constitution, l’ensemble des dispositions définitivement déclarées conformes à la Constitution. |