Par sa décision n° 2018-765 DC du 12 juin 2018, le Conseil constitutionnel déclare la loi relative à la protection des données personnelles, adoptée par le Parlement le 14 mai 2018, conforme à la Constitution.
Cette loi a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d’une part, de l’adapter au règlement général sur la protection des données (RGPD) et, d’autre part, de transposer la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Une soixantaine sénateurs ont contesté, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles.
Le Conseil constitutionnel a tout dabord écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi Informatique et Libertés du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.
Selon lui, ni les avertissements ni les mises en demeure prononcées par le président de la Commission ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.
Le Conseil a ensuite jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen l’article 20 de la loi déférée selon lequel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans » et « lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur ».
A ce titre, les Sages précisent que l’emploi des termes « donné ou autorisé » dans le RGPD permet aux Etats membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, supposant alors le double consentement prévu par la loi attaquée. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.
Par ailleurs, sagissant du recours par l’administration à des algorithmes pour l’édiction de ses décisions, le Conseil constitutionnel a notamment relevé que les dispositions contestées autorisent uniquement l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement, sans avoir pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur.
Les Sages rappellent dailleurs que le recours à des algorithmes, pour fonder une décision administrative individuelle, nécessite le respect de trois conditions :
– la mention explicite que la décision a été adoptée sur le fondement dun algorithme ;
– la possibilité de recours administratifs de cette décision ;
– linterdiction du recours exclusif à un algorithme si ce traitement porte sur lune des données sensibles visées à larticle 8 de la loi du 6 janvier 1978.
Le responsable du traitement doit sassurer de la maîtrise du traitement algorithmique et de ses évolutions. Au regard de ces éléments, le Conseil estime que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif dun algorithme.
Cependant, le Conseil constitutionnel a censuré les mots « sous le contrôle de lautorité publique » figurant à larticle 13 de la loi déférée, au motif que larticle 10 du RGPD nautorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du 27 avril 2016 que dans certaines hypothèses, notamment sil est mis en oeuvre sous le contrôle de lautorité publique. Le législateur sest borné à reproduire ces termes, sans déterminer lui-même ni les catégories de personnes susceptibles dagir sous le contrôle de lautorité publique, ni les finalités à poursuivre par la mise en uvre dun tel traitement. Les mots litigieux sont entachés dincompétence négative et donc contraires à la Constitution.