Projet de loi relatif à la protection des données personnelles

CHAPITRE IV - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIES PARTICULIÈRES DE TRAITEMENT

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données relatives aux condamnations pénales, aux infractions ou mesures de sûreté

L'article 11 du projet de loi tend à élargir la liste des personnes autorisées à mettre en oeuvre des traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes qui ne relèvent pas du champ d'application de la directive (UE) 2016/680. Il vise ainsi à adapter le droit interne à l'article 10 du RGPD.

• Les garanties apportées par le Sénat en première lecture pour la protection des droits des personnes

Considérant que les données relatives aux infractions pénales sont particulièrement sensibles et peuvent notamment engendrer de graves conséquences si elles sont révélées à autrui, votre commission, à l'initiative de son rapporteur, avait veillé en première lecture à apporter plusieurs garanties indispensables à la mise en oeuvre de tels traitements de données :

- le maintien ^{6 ( * )} du régime d'autorisation préalable par la CNIL pour les traitements de données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes ;

- la suppression de la possibilité de mettre en oeuvre de tels traitements « sous le contrôle de l'autorité publique », et non pas par les autorités publiques, sans qu'aucune précision législative n'apparaisse quant à la qualité des personnes autorisées à mettre en oeuvre de tels traitement, la nature de ce contrôle ou les finalités autorisées pour ces traitements ;

- l'encadrement de la faculté pour les personnes morales de droit privé collaborant au service public de la justice de mettre en oeuvre de tels traitements, dans la seule mesure « strictement nécessaire à l'exercice des missions qui leur sont confiées par la loi » ;

- l'inscription de garanties quant à la durée de conservation des données, les catégories de personnes autorisées à en être destinataires et les conditions de cette transmission pour les fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté pouvant être mis en oeuvre par toute personne, aux fins de préparer, « d'exercer et de suivre une action en justice », et de « faire exécuter la décision rendue » (fichiers précontentieux ou contentieux) ;

- l'encadrement de l' open data des décisions de justice afin de prévenir « tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions ».

Toutes ces garanties pour les libertés individuelles avaient été retenues par le Sénat en séance publique.

• Face au refus par l'Assemblée nationale des garanties instaurées par le Sénat, la volonté de votre commission de rétablir, pour les fichiers en matière pénale, un encadrement respectueux des exigences constitutionnelles

En nouvelle lecture, à l'initiative de sa rapporteure ou du Gouvernement, l'Assemblée nationale est revenue sur la quasi-totalité des garanties apportées par le Sénat .

Votre rapporteur ne partage pas la volonté de l'Assemblée nationale et du Gouvernement d'étendre déraisonnablement la liste des personnes autorisées à mettre en oeuvre de tels fichiers.

À son initiative, votre commission a rétabli plusieurs garanties protectrices des libertés, permettant d'assurer la constitutionnalité des dispositions proposées.

En premier lieu, elle a rétabli le régime d'autorisation préalable par la CNIL des fichiers en matière pénale, autres que ceux mis en oeuvre par l'État ( amendement COM-17 de son rapporteur). En l'absence d'un régime d'autorisation préalable, l'encadrement législatif de ces fichiers serait insuffisant et l'atteinte portée au droit au respect de la vie privée, garanti par l'article 2 de la Déclaration des droits de l'homme et du citoyen, disproportionnée.

Comme en première lecture, votre commission s'est opposée à la seule possibilité de mettre en oeuvre de tels traitements « sous le contrôle de l'autorité publique » , sans autre garantie. Selon votre rapporteur, le Gouvernement propose une interprétation erronée de l'article 10 du RGPD en juxtaposant la possibilité d'une mise en oeuvre « sous le contrôle de l'autorité publique », sans autre précision législative, et les personnes physiques ou morales, de droit public ou privé, limitativement énumérées à l'article 9 de la loi n° 78-17 du 6 janvier 1978. L'article 10 du RGPD autorise les traitements étroitement mis en oeuvre par l'autorité publique et exige, pour les autres catégories de personnes morales, de prévoir des garanties appropriées pour les droits et libertés des personnes concernées. Telle est l'interprétation retenue par le Royaume-Uni, par exemple ^{7 ( * )} . En guise de compromis, votre commission a accepté de préciser, conformément à l'article 10 du RGPD, que ces traitements ne pouvaient être mis en oeuvre par une des personnes limitativement énumérées à l'article 9 de la loi « Informatique et libertés » que « sous le contrôle de l'autorité publique » : tel est l'objet de l' amendement COM-14 de son rapporteur adopté par votre commission.

Concernant la faculté pour les personnes morales de droit privé collaborant au service public de la justice de mettre en oeuvre de tels traitements, l'Assemblée nationale a considéré que les garanties apportées par le Sénat auraient pour conséquence d'exclure « les associations qui bénéficient d'un agrément du ministère de la justice sans que des dispositions législatives consacrent leur mission ». Votre rapporteur rappelle que l'ensemble des missions du service public de la justice sont consacrées dans la loi, notamment les missions d'aide aux victimes ^{8 ( * )} . Néanmoins, dans une démarche de compromis, votre commission a adopté un amendement COM-15 de son rapporteur autorisant les personnes morales de droit privé « agrées à cette fin dans les conditions fixées par décret en Conseil d'État » à mettre en oeuvre de tels traitements.

Concernant les fichiers « contentieux » ou « précontentieux », votre rapporteur rappelle que le Conseil constitutionnel avait censuré en 2004 ^{9 ( * )} une disposition similaire en raison de l'absence de précision sur « les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ». Le Conseil constitutionnel avait considéré que « les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés » ne suffisaient pas à ne pas considérer comme « entaché[e] d'incompétence négative » cette disposition. Selon votre rapporteur, la rédaction adoptée par la commission des lois de l'Assemblée nationale encourt les mêmes griefs. Votre commission a rétabli les garanties qu'elle avait adoptées en première lecture afin d'assurer la constitutionnalité de cette disposition ( amendement COM-16 de votre rapporteur).

Concernant l'encadrement de l' open data des décisions de justice, votre rapporteur ne partage pas la volonté de l'Assemblée nationale de renvoyer au pouvoir réglementaire le soin « de préciser les modalités selon lesquelles sera assurée la protection des identités des professionnels de justice ». Recherchant un compromis avec l'Assemblée nationale, votre commission a adopté, à l'initiative de sa rapporteure, un amendement COM-18 visant à prévenir tout risque d'atteinte à la liberté d'appréciation du magistrat et à l'impartialité des juridictions. Contrairement à l'encadrement prévu en première lecture, la protection de l'anonymat n'a pas été prévue pour les avocats, ni pour l'ensemble des personnes citées dans les décisions, mais elle l'a été pour les des greffiers et les agents de la police nationale ou de la gendarmerie nationale ^{10 ( * )} .

Votre commission a adopté l'article 11 ainsi modifié .

Article 13 (art. 53 à 63 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. L. 1122-1, L. 1123-7, L. 1124-1 et L. 1461-7 du code de la santé publique) - Données de santé

L'article 13 du projet de loi maintient, comme l'autorise le RGPD, un régime protecteur assorti de formalités préalables spécifiques pour certains traitements de données à caractère personnel dans le domaine de la santé, en distinguant le cas des finalités de recherche.

Par un amendement du Gouvernement adopté en première lecture au Sénat avec un avis de sagesse de votre commission, avaient été introduites en première lecture des dispositions créant un comité d'audit des traitements portant sur les données du système national des données de santé (SNDS), piloté par l'État et complémentaire aux contrôles réalisés par la CNIL, de manière à accroître les possibilités de contrôle de l'utilisation de ces données particulièrement sensibles. En nouvelle lecture, l'Assemblée nationale, sur proposition de sa rapporteure, a souhaité rendre obligatoire la présence du président de la CNIL ou de son représentant, en tant qu'observateur, au sein du comité. Votre rapporteur approuve pleinement cet ajout.

Par ailleurs, le Sénat avait précisé, par l'adoption d'un amendement de séance déposé par notre collègue Annie Delmont-Koropoulis (Les Républicains), que les traitements mis en oeuvre par les régimes complémentaires d'assurance maladie ne pourraient en aucun cas avoir pour finalité la détermination des choix thérapeutiques et médicaux ni la sélection des risques, dispositions supprimées par l'Assemblée nationale en nouvelle lecture au motif que ces données seraient déjà fortement encadrées par le droit en vigueur.

Si votre rapporteur note effectivement que certains textes législatifs applicables à ces organismes interdisent déjà la tarification en fonction de l'état de santé (article L. 110-2 du code de la mutualité, par exemple), votre commission, adoptant son amendement COM-19, a rétabli sur ce point la rédaction du Sénat, estimant plus prudent de prévoir explicitement de telles garanties.

Votre commission a adopté l'article 13 ainsi modifié .

Article 13 ter (art. L. 4123-9-1 du code de la défense, art. 226-16 et 226-17-1 du code pénal et art. 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale) - Régime applicable aux traitements de données dans lesquelles figure la mention de la qualité de militaire

Introduit à l'initiative du Gouvernement en première lecture au Sénat, en séance publique, l'article 13 ter du projet de loi prévoit un assouplissement du régime d'autorisation préalable des fichiers fondés sur la qualité de militaire des personnes qui y figurent.

Depuis la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale , l'article L. 4123-9-1 du code de la défense prévoit un encadrement strict des traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes concernées : l'autorisation préalable de ces fichiers par la CNIL et la réalisation obligatoire d'une enquête administrative concernant les personnes ayant accès à ces fichiers.

L'article 13 ter du projet de loi supprime le régime d'autorisation préalable et l'obligation d'enquête administrative pour le remplacer par un encadrement des conditions de licéité de ces fichiers, un régime déclaratif (et non d'autorisation préalable) obligatoire et la possibilité de réaliser une enquête administrative, voire un « criblage » ^{11 ( * )} , des personnes ayant accès à ces fichiers.

En nouvelle lecture, nos collègues députés ont apporté des modifications rédactionnelles aux dispositions ainsi introduites par le Sénat.

Votre commission a adopté l'article 13 ter sans modification .

---

* ⁶ Le régime d'autorisation préalable de tels traitements est actuellement en vigueur en application du 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978.

* ⁷ Sur ce point, voir le projet de loi « data protection bill » en date du 23 mars 2018 :

https://services.parliament.uk/Bills/2017-19/dataprotection.html .

* ⁸ Voir l'article 10-2 du code de procédure pénale.

* ⁹ Décision n° 2004-499 DC du 29 juillet 2004, loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹⁰ Pour de plus amples développements sur les inquiétudes suscitées par l'open data des décisions de justice, votre rapporteur renvoie au rapport suivant :

Rapport n° 33 (2017-2018) de MM. Jacques Bigot et François-Noël Buffet, fait au nom de la commission des lois, déposé le 18 octobre 2017, sur la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice :

http://www.senat.fr/rap/l17-033/l17-033.html .

* ¹¹ Le criblage consiste à croiser l'identité de personnes avec les données contenues dans plusieurs traitements, par exemple le fichier des personnes recherchées ou le fichier des antécédents judiciaires.