TITRE III - DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2009/977/JAI DU CONSEIL
Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droit à l'information en matière pénale - Suppression de certains régimes d'exercice indirect du droit d'accès
L'article 18 du projet de loi vise à assurer les coordinations nécessaires dans la loi « Informatique et libertés » en supprimant les dispositions rendues inutiles par l'article 19 du projet de loi conformément à la directive (UE) 2016/680 (droit à l'information, caractère direct de l'exercice des droits d'accès, de rectification et d'effacement).
En première lecture, le Sénat avait adopté en séance un amendement de notre collègue Jérôme Durain et des membres du groupe socialiste et républicain, supprimant le caractère indirect de l'exercice des droits d'accès, de rectification et d'effacement pour les traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public consistant à « contrôler ou recouvrer des impositions ».
Considérant qu'une telle disposition fragilisait la politique de lutte contre la fraude fiscale, nos collègues députés ont supprimé cette disposition en nouvelle lecture.
Votre commission a adopté l'article 18 sans modification .
Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données à caractère personnel en matière pénale
L'article 19 du projet de loi vise à transposer les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer, par dérogation aux autres dispositions de la loi n° 78-17 du 6 janvier 1978, aux traitements de données personnelles mis en oeuvre par la police et les autorités judiciaires en matière pénale.
• Les garanties apportées par le Sénat en première lecture pour la protection des droits des personnes
En première lecture, votre rapporteur avait déploré l'absence de réelle transposition de la directive (UE) 2016/680 : pour être conformes aux exigences constitutionnelles et échapper au grief « d'incompétence négative du législateur », les dispositions du droit national doivent, au minimum, définir les conditions de licéité d'un traitement de données à caractère personnel, les données à caractère personnel concernées et les finalités du traitement.
Afin que les traitements de données à caractère personnel en matière pénale ne constituent pas une atteinte disproportionnée au principe constitutionnel du droit au respect de la vie privée, le Sénat avait adopté plusieurs dispositions encadrant leur régime :
- la nécessité d'une autorisation préalable de la Commission nationale de l'informatique et des libertés (CNIL ) pour les fichiers en matière pénale relevant de la directive autres que ceux mis en oeuvre par l'État (nouvel article 70-3 de la loi « Informatique et libertés ») ;
- l'encadrement des traitements ultérieurs de données à caractère personnel en les soumettant à un principe de nécessité et de proportionnalité (nouvel article 70-6) ;
- la nécessité, au lieu d'une obligation de moyens, de distinguer les données à caractère personnel fondées sur des faits des données fondées sur des appréciations personnelles (nouvel article 70-6) ;
- par cohérence avec les modifications opérées à l'article 14 du projet de loi, l'encadrement de l'interdiction des décisions de justice, ou produisant des effets juridiques, fondées sur le profilage (nouvel article 70-9) ;
- l'obligation de préciser dans un contrat liant un sous-traitant à un responsable de traitement les mesures techniques et organisationnelles destinées à assurer la sécurité du traitement (nouvel article 70-10) ;
- la nécessité, au lieu d'une obligation de moyens, de vérifier la qualité des données à caractère personnel avant la transmission ou la mise à disposition du traitement (nouvel article 70-11) ;
- la nécessité, au lieu d'une obligation de moyens, de distinguer les données relevant des personnes mises en cause, coupables, victimes ou tiers à une procédure pénale (nouvel article 70-12) ;
- l'extension de la liste des informations communiquées à la personne concernée par un traitement aux stipulations du contrat de sous-traitance relatives à la protection des données personnelles (nouvel article 70-18) ;
- la limitation à un mois du délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification (nouvel article 70-20) ;
- l'obligation d'informer une personne concernée par une restriction de son droit à l'information concernant un fichier, de sa possibilité de former un recours juridictionnel (nouvel article 70-22).
• Le refus de l'Assemblée nationale d'encadrer les fichiers en matière pénale
En nouvelle lecture, à l'initiative du Gouvernement ou de sa rapporteure, la commission des lois de l'Assemblée nationale est revenue sur la quasi-totalité de l'encadrement souhaité par le Sénat, considérant que les dispositions « surtransposaient la directive » ou « contrevenaient à l'esprit général du nouveau cadre européen ».
À l'initiative du Gouvernement, elle a notamment supprimé le régime d'autorisation préalable par la CNIL de ces fichiers alors même que le considérant 15 de la directive (UE) 2016/680 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu'elles offrent » .
Elle a également réduit le droit à l'information des personnes concernant leur possibilité d'exercer un recours juridictionnel, supprimé l'encadrement du délai de réponse des responsables de traitement et rétabli les trois obligations de moyens transformées en obligations de résultat par le Sénat en première lecture.
• La position de votre commission : rétablir l'équilibre trouvé en première lecture, garant des exigences constitutionnelles
Comme en première lecture, votre rapporteur ne souhaite pas affaiblir la protection des données à caractère personnel actuellement prévue pour les fichiers en matière pénale. À cette fin, votre commission a adopté l' amendement COM-29 de votre rapporteur visant à maintenir le régime d'autorisation préalable pour les fichiers entrant dans le champ d'application de la directive hors ceux mis en oeuvre pour le compte de l'État.
Votre rapporteur a également considéré que le projet de loi adopté par l'Assemblée nationale en nouvelle lecture « sous-transposait » les exigences de la directive et, dès lors, n'assurait pas un équilibre garant des exigences constitutionnelles.
À l'initiative de votre rapporteur ( amendement COM-30 ), votre commission a rétabli, au nouvel article 70-8, une transposition exigeante du principe d'exactitude en imposant une distinction entre les données fondées sur des faits des données fondées sur des appréciations personnelles. Par le même amendement, elle a également transformé l'obligation de moyens concernant la vérification de la qualité des données avant transmission d'un fichier en une obligation de résultat, au regard des enjeux en cas d'inexactitude des données. Enfin, par le même amendement, elle a également rendu impérative la distinction des données entre victimes, mis en cause, témoins et personnes condamnées.
Votre commission a également adopté, comme en premier lecture, l'interdiction des décisions affectant de manière significative une personne lorsqu'elles sont fondées sur le fondement exclusif d'un traitement automatisé de données ( amendement COM-31 ). A fortiori en matière pénale, il apparaît contraire aux exigences constitutionnelles d'individualisation des peines d'accepter qu'une décision produisant des effets juridiques puisse être prise sur le fondement exclusif d'un traitement automatisé de données à caractère personnel.
Afin de donner aux droits à l'information, d'accès, de rectification ou d'effacement toute leur portée, votre commission a adopté deux amendements de son rapporteur visant à fixer à un mois le délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification ( amendement COM-32 ) et a supprimé l'exclusion prévue par l'Assemblée nationale du droit à l'information concernant la possibilité d'un recours juridictionnel ( amendement COM-33 ).
Votre commission a adopté l'article 19 ainsi modifié .