La loi sur la protection des données a été adoptée définitivement par l'Assemblée nationale
le 14 mai 2018 et le Conseil constitutionnel a déclaré l'essentiel du texte conforme à la Constitution, dans une
décision du 12 juin 2018. La loi devrait donc entrer en vigueur très prochainement, ce qui mettra fin à une période de relative incertitude juridique. En effet, ce texte a pour objet de transposer les dispositions du règlement général sur la protection des données (RGPD) qui est lui-même entré en application le 25 mai. Le texte européen était donc applicable entre le 25 mai et le 12, mais se trouvait dépourvu de texte assurant son intégration dans le droit interne.
Le contrôle sur les règlements
Tout est donc rentré dans l'ordre et les points essentiels de la loi ne sont pas remis en cause. L'intérêt essentiel de la décision du Conseil semble résider dans un élargissement de sa jurisprudence sur le contrôle d'une loi tirant les conséquences d'un règlement de l'Union européenne.
Jusqu'à aujourd'hui, la jurisprudence portait exclusivement sur les directives qui, contrairement aux règlements, ne peuvent être appliquées en droit qu'après l'intervention d'une loi destinée à opérer cette transposition. Le Conseil a même trouvé dans l'
article 88-1 de la Constitution un fondement à cette obligation (
décision du 10 juin 2004). Il semble ainsi se démarquer de la jurisprudence issue de la décision
Cohn-Bendit rendue par la Cour de justice de l'union européenne (CJUE). Celle-ci considère en effet, comme le Conseil d'Etat dans sa jurisprudence
Dame Perreux du 30 octobre 2009, qu'une directive peut être d'applicabilité directe si l'Etat ne l'a pas transposée dans les délais. Il est vrai que cette jurisprudence ne vise qu'à combler un vide juridique, en cas de non-transposition. Le Conseil constitutionnel, quant à lui, se borne à apprécier la loi de transposition et n'est donc pas en mesure de sanctionner son absence.
Cette jurisprudence pour le moins créative lui a permis ensuite de préciser, dans sa
décision du 27 juillet 2006, l'étendue de son contrôle sur ces lois de transposition. C'est ainsi que le texte ne doit pas
"aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France". En dehors de cette hypothèse, le Conseil se déclare incompétent pour apprécier une loi portant transposition d'une directive. Ce contrôle est donc exclusivement effectué par les juridictions administratives et judiciaires qui seules peuvent apprécier la conformité du texte aux traités et, le cas échéant, poser une question préjudicielle à la Cour de justice de l'Union européenne si elles ont un doute sur la portée de la directive.
La décision du 12 juin 2018 étend aujourd'hui cette jurisprudence aux règlements, lorsqu'ils donnent lieu à une loi de transposition. Cet élargissement semble logique, dès lors que rien ne justifierait que la loi transposant un règlement ne soit pas appréciée de la même manière que celle transposant une directive, quand bien même son adoption n'est pas obligatoire.
L'intelligibilité et l'accessibilité de la loi
Sur le fond, la décision écarte d'abord le moyen fondé sur l'atteinte à l'objectif constitutionnel d'intelligibilité et d'accessibilité de la loi, moyen développé dans la saisine sénatoriale. Le Conseil affirme simplement que "
si, à cette fin, le législateur a fait le choix
de modifier les dispositions de la loi du 6
janvier 1978 en y introduisant des dispositions dont certaines sont
formellement différentes de celles du règlement, il n'en
résulte pas une inintelligibilité de la loi". La formule témoigne peut-être d'une certaine lassitude à l'égard d'un moyen souvent invoqué, lorsque les parlementaires requérants n'ont pas trouvé d'autres arguments juridiques.
Messe pour le temps présent
Pierre Henry et Michel Colombier. Jerk électronique. 1967
La CNIL
La loi élargit les missions de la Commission nationale de
l’informatique et des libertés (CNIL). Elle est désormais l'autorité de contrôle du pour la mise en oeuvre du RGPD et est chargée de publier les règles types, les codes de conduite destinés aux différents opérateurs. A sa traditionnelle fonction de contrôle s'ajoute donc désormais un double rôle de certification et de conseil, puisqu'elle peut être consultée par le parlement sur les questions de protection des données. Aux yeux des sénateurs requérants, cette consultation du parlement n'est pas organisée avec suffisamment de précision par la loi. Ils y voient non seulement une atteinte à l'intelligibilité de la loi mais aussi un cas d'incompétence négative. Le législateur aurait en effet méconnu sa propre compétence en ne précisant pas les aspects procéduraux de cette consultation, le délai imparti à la CNIL pour rendre son avis etc. Le Conseil observe simplement que ces éléments ne relèvent pas du domaine de la loi.
Les pouvoirs de la CNIL sont d'autant plus renforcés que les sanctions qu'elle peut prononcer sont désormais susceptibles d'atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de la firme sanctionnée. Ces dispositions tirent les leçons des difficultés rencontrées par la CNIL, lorsqu'elle a été chargée par le G 29 de gérer le contentieux avec Google, alors même qu'elle ne disposait pas d'un arsenal de sanctions suffisamment dissuasif pour peser sur les GAFA. En revanche, les formalités préalables à la création des traitement, telles qu'elles existaient depuis la loi du 6 janvier 1978, disparaissent au profit d'un système qui repose sur l'appréciation des risques par responsable du traitement lui-même, la CNIL exerçant un contrôle
a posteriori.
"Sous le contrôle"...
Le seul élément sanctionné par le Conseil est relatif aux traitements de données personnelles relatives aux condamnations pénales. Il a en effet censuré pour incompétence négatives les mots « s
ous le
contrôle de l'autorité publique » figurant à l'article 13 de la loi. Le législateur s'est en effet borné à préciser que ce type de traitement pouvait être mis en oeuvre par des personnes publiques, des personnes morales gérant un service public (...) ou être placés « s
ous le
contrôle de l'autorité publique ». Dès lors que, par la nature même des informations traitées, ces fichiers intéressent les libertés publiques, le législateur a en effet méconnu sa propre compétence. Il aurait dû préciser les catégories de personnes susceptibles d'agir sous ce contrôle et les finalités pour lesquelles ce type de fichier était susceptible d'être créé.
Rien de bien surprenant, et l'annulation pour incompétence négative n'est pas rare. Par analogie, on ne peut cependant s'empêcher de penser à la
proposition de loi relative à la lutte contre les fausses informations. Il confère en effet au Conseil supérieur de l'audiovisuel une compétence générale pour refuser de passer une convention, voire interdire un site, lorsque ce site est placé "
sous le contrôle" d'un Etat étranger. La formule est tout aussi incertaine, et le risque d'incompétence négative n'est pas négligeable Il reste à espérer que les parlementaires liront la décision du Conseil constitutionnel relative à la protection des données.
Les algorithmes
Une première lecture de la décision pourrait s'arrêter là, en rappelant que seulement quatre mots sont sanctionnés sur l'ensemble du texte. Mais l'essentiel réside dans le long passage consacré à l'usage des algorithmes par l'administration. Le RGPD l'autorise et permet même que des décisions individuelles soient adoptées sur la base d'un algorithme, décisions susceptibles donc d'avoir des conséquences sur la situation juridique d'une personne.
Il fixe cependant quatre conditions à remplir. La première, prévue par l'article 311-3-1 du code des relations avec le public est que la décision doit mentionner son mode d'adoption et les principales caractéristiques de l'algorithme doivent être communiquées à l'intéressé. La seconde est que la décision doit pouvoir être susceptible de recours administratifs qui, cette fois, seront gérés sans que l'administration puisse se fonder exclusivement sur l'algorithme. En cas de contentieux, le juge administratif pourra d'ailleurs exiger la communication des caractéristiques de celui-ci. La troisième est l'exclusion du recours à l'algorithme pour les décisions portant sur des données sensibles, celles qui révèlent l'origine ethnique, la religion, les opinions politiques, l'orientation sexuelle, la santé etc.
Enfin, quatrième et dernier élément, le responsable du traitement doit "
pouvoir expliquer, en détail et sous
une forme intelligible, à la personne concernée la
manière dont le traitement a été mis en œuvre à son égard".Cette dernière condition pourrait sembler anodine, car il s'agit d'appliquer la règle de motivation des décisions administratives défavorables. Mais elle risque d'avoir un impact considérable en interdisant l'usage des algorithmes "auto-apprenants", c'est-à-dire ceux qui se nourrissent eux-mêmes de leurs propres décisions, qui révisent eux-mêmes les règles qu'ils appliquent, en l'absence d'intervention humaine. Dans ce cas, le gestionnaire du traitement en perd le contrôle, et c'est précisément ce que refuse le Conseil constitutionnel.
En l'espèce, le Conseil estime que la loi prend des garanties "appropriées" et exclut l'usage des algorithmes auto-apprenants. En précisant clairement sa position, le Conseil constitutionnel pose ainsi des bornes aux expériences de justice prédictive qui, précisément, repose sur ce type d'algorithmes. Il rend ainsi un fier service aux juridictions suprêmes, Conseil d'Etat et Cour de cassation, qui souhaitent conserver le contrôle et le pilotage des expériences dans ce domaine.
Considérée sous cet angle, la décision du 12 juin 2018 est tout-à-fait intéressante. Certes, disons franchement qu'elle ne présente pratiquement aucun intérêt au regard de la loi RGPD qui était l'objet du contrôle. Mais le Conseil profite de l'occasion pour faire avancer certains dossiers, poser des marques discrètes sur la notion de contrôle ou sur les algorithmes. Ce sont autant d'avertissements dont le législateur devrait sans doute tenir compte d'autant qu'ils reposent sur une volonté de protéger les libertés publiques dans un univers technologique marqué par la dilution de l'examen individuel des dossiers.