Le 14 mai 2018, les députés adoptaient en dernière lecture la loi relative à la protection des données personnelles, parfois appelée « CNIL 3 ». Le 16 mai, des sénateurs ont saisi le Conseil constitutionnel afin qu’il examine la conformité de certaines des dispositions de cette loi au regard du « bloc de constitutionnalité », c’est-à-dire de la Constitution, des textes qu’elle cite et des principes qui en découlent. Cette loi a un double objectif. Le premier est d’adapter la loi n°78-17 du 6 janvier 1978, dite « loi Informatique et Libertés », à l’entrée en application du Règlement général sur la protection des données du 27 avril 2016 (règlement 2016/679, ou RGPD). Le second est de transposer en droit français la directive 2016/680 du 27 avril 2016, relative aux traitements de données en matière pénale.

Les sénateurs ont formulé un certain nombre de griefs : manque de précisions des dispositions, absence de garanties suffisantes pour les personnes concernées, contradictions avec le RGPD, etc. Le 12 juin dernier, le Conseil constitutionnel a statué par une décision n°2018-765. Il écarte tous les griefs des sénateurs, sauf un. La loi n°2018-493 relative à la protection des données personnelles a été promulguée le 20 juin 2018 et publiée au journal officiel du 21 juin 2018.

CNIL 3, une loi imprécise et difficile d’accès

Le législateur doit adopter des lois dont la rédaction est suffisamment précise et non-équivoque, en vertu de l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. En l’espèce, les sénateurs soulignaient que le texte définitivement adopté contenait « des importantes et nombreuses divergences et contradictions non résolues entre, d’une part, les dispositions nationales de la loi Informatique et libertés modifiées par le texte déféré et, d’autre part, les dispositions directement applicables du règlement général sur la protection des données personnelles ».

Pour les sénateurs, certaines des dispositions de la loi Informatique et Libertés entraient en conflit avec les dispositions issues du RGPD, et seraient donc en réalité inapplicables.

Pour eux, « ces divergences seront de nature à induire gravement en erreur les sujets de droit sur la portée de leurs droits et obligations », et donc source d’insécurité juridique. Fin 2017, ce risque avait déjà été soulevé par la Commission nationale de l’informatique et des libertés (CNIL) et par le Conseil d’Etat dans leurs avis respectifs sur le projet de loi. L’article 32 de la loi relative à la protection des données personnelles autorise pourtant le Gouvernement à prendre par ordonnance les mesures nécessaires pour réécrire l’intégralité de la loi Informatique et Libertés afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence » du droit national. Toutefois, cette mesure n’était pas suffisante pour les sénateurs ayant saisi le Conseil constitutionnel.

Le manque de garanties présentées par la CNIL

Le Conseil constitutionnel interprète l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789 comme faisant peser sur les juridictions un certain nombre d’obligations et de garanties destinées à permettre le respect du droit au procès équitable. Ces droits et garanties sont également issues de l’article 6, paragraphe 1, de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. 

Le Conseil constitutionnel estime que les autorités administratives indépendantes dotées d’un pouvoir de sanction doivent aussi se plier à ces exigences, bien qu’il ne s’agisse pas au sens propre de tribunaux (décision n°2012-280 QPC du 12 octobre 2012, portant sur l’Autorité de la concurrence). De ce fait, la CNIL doit respecter ces exigences, ce qu’avait déjà relevé le Conseil d’Etat en formation des référés dans une décision du 19 février 2008 n°31197.

Cela implique entres autres que la structure de la CNIL permette de séparer ses différentes fonctions, et que par exemple, les services chargés des enquêtes et des contrôles soient distincts de ceux chargés de statuer sur les sanctions.

Or, les sénateurs estimaient que la CNIL ne satisfait pas à ces exigences. Notamment, ils insistaient sur le fait que tous les agents de la CNIL sont soumis à l’autorité hiérarchique de son président, et qu’il n’existe pas de séparation effective au sein de la CNIL entre les différentes fonctions, la commission restreinte chargée de statuer sur les sanctions étant composée de membres simplement élus.

En outre, selon les sénateurs, la procédure de sanction ne présentait pas les garanties suffisantes au regard du principe d’impartialité. Notamment, ils craignaient qu’en prononçant des sanctions à l’égard de personnes morales de droit public, la CNIL ait la possibilité de s’immiscer dans l’activité des pouvoirs publics. Ils rappelaient que « la Cnil se trouve dans ces conditions en mesure d’imposer des mesures contraignantes aux personnes publiques et à leur services », ce qui menacerait le principe de séparation des pouvoirs et l’autonomie des pouvoirs publics.

Les traitements en matière pénal, trop peu encadrés par CNIL 3 ?

La loi comprend des dispositions relatives aux traitements de données à caractère personnel en matière pénale. Les sénateurs estimaient cependant que les conditions de mise en œuvre de ces traitements étaient trop peu précises. Ils rappelaient qu’un manque de précision similaire avait été relevé et censuré en 2004, lors de l’examen de la loi de transposition de la directive 95/46 du 24 octobre 1995, désormais abrogée (décision DC n°2004-499 du 29 juillet 2004).

Les sénateurs relevaient en ce sens plusieurs éléments :

  • Le champ des entités pouvant être responsables du traitement en la matière s’élargit sans que ce champ ne soit précisément défini et sans que des garanties adéquates quant au respect de leurs obligations soient mises en place ;
  • Les modalités de transmission des données traitées ne sont pas spécifiquement encadrées. Or, il apparaîtrait disproportionné de leur appliquer le droit commun issu du RGPD, « au regard de la sensibilité des données pénales » ;
  • La loi n’indique pas si des personnes « sur lesquelles pèse la simple crainte qu’elles soient capables de commettre une infraction » sont susceptibles de figurer au sein des fichiers de données en matière pénale.

Les sénateurs remarquaient de plus que la suppression du système d’autorisation préalable en la matière aurait entraîné un affaiblissement de la protection des personnes concernée, ce qui allait à l’encontre du RGPD.

Le Conseil constitutionnel a partiellement accueilli ce grief. Le RGPD prévoit en son article 10 que les traitements en matière pénale qui ne relèvent pas du champ de la directive ne sont possibles que dans certaines hypothèses, et notamment s’ils sont mis en œuvre « sous le contrôle de l’autorité publique ». La loi relative à la protection des données personnelles telle qu’adoptée le 14 mai ne faisait que reproduire cette rédaction, sans préciser les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni les finalités pouvant être poursuivies. Le Conseil constitutionnel a en conséquence déclaré non conformes à la Constitution les termes « sous le contrôle de l’autorité publique ou », issus de l’article 13, 1° de la loi déférée. Les autres dispositions de cet article sont déclarées conformes.

La loi a toutefois été promulguée et publiée sans que les termes déclarés inconstitutionnels ne soient remplacés. L’incertitude demeure donc quant à l’encadrement des traitements en matière pénale ne relevant pas de la directive du 27 avril 2016.

L’automatisation intégrale de décisions administratives individuelles

La loi relative à la protection des données personnelles permet, sur autorisation, l’automatisation intégrale de certaines décisions administratives individuelles, sous conditions. Les sénateurs s’inquiétaient cependant du manque de transparence et de garanties quant à ces prises de décisions, et soulevaient notamment les risques propres aux algorithmes sous-jacents à ces décisions. Si l’administration a recours à un algorithme dit « déterministe », c’est-à-dire dont les règles de fonctionnement définitives sont déterminées à sa conception, les sénateurs soulevaient le risque que ces critères n’aient aucune base juridique, en citant l’exemple de l’algorithme d’affectation du système « Admission Post-bac ». Si l’administration a recours à un algorithme « auto-apprenant », c’est-à-dire qui déterminerait lui-même, au fil du temps et en fonction de ses résultats, ses règles de fonctionnement, l’administration elle-même pourrait ne pas être en mesure de fournir la logique sous-jacente à la prise de décision et les critères véritablement pris en compte.

Dans les deux cas et selon les sénateurs, cela pourrait aboutir à ce qu’un pouvoir normatif soit attribué soit au concepteur dans le cas d’un algorithme déterministe, qui en déterminerait les modalités de fonctionnement, soit à l’algorithme lui-même dans le cas d’un algorithme auto-apprenant. Dans les deux cas, le raisonnement des sénateurs fait écho au célèbre adage « Code is Law », issu d’un article du professeur Lawrence Lessig dans les années 2000 dans lequel il soulignait le pouvoir normatif grandissant accordé aux technologies.

Le Conseil constitutionnel rejette les griefs des sénateurs sur ces points, mais rappelle et précise les modalités selon lesquelles des décisions administratives pourront être issues de traitements totalement automatisés. Le Conseil constitutionnel rappelle que la loi encadre dans trois conditions l’appréciation entièrement automatisée de la situation d’un administré :

  • la décision qui en découle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme (article L.311-3 du code des relations entre le public et l’administration). L’administré doit pouvoir, sur demande, se voir communiquer les principales caractéristiques de fonctionnement de l’algorithme. S’il n’est pas possible de lui communiquer ces caractéristiques, notamment pour protéger un secret ou un intérêt spécifique (article L.311-5 du code des relations entre le public et l’administration), alors il n’est pas possible de procéder à une automatisation intégrale du processus de décision.
  • la décision doit pouvoir faire l’objet d’un recours administratif, l’administration étant alors tenue de se prononcer sans pouvoir se fonder intégralement sur l’algorithme. Ce recours est placé sous le contrôle du juge.
  • aucune décision administrative individuelle ne pourra être prise intégralement sur la base d’un algorithme si elle implique un traitement de données dites sensibles, qualifiées par le RGPD de « catégories particulières de données à caractère personnel » (article 9 du RGPD). Il s’agit notamment des données révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques […] des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».

Le Conseil constitutionnel précise également que, puisque le responsable du traitement doit pouvoir expliquer en détail à la personne concernée la manière dont le traitement a été mise en œuvre et ce qui a mené à la décision, il est exclu que les décisions administratives individuelles totalement automatisées soient basées sur un algorithme dit « auto-apprenant ».