La Décision du Conseil Constitutionnel du 12 juin 2018 déclare constitutionnelle la loi relative à la protection des données personnelles dans son ensemble mais juge contraire à la Constitution le nombre étendu de personnes susceptibles d’opérer un traitement de données en matière de condamnations pénales.
Cette décision intervient à la suite de la saisine du Conseil Constitutionnel par soixante sénateurs du groupe les Républicains, le 16 mai 2018, pour lui demander de se prononcer sur la conformité à la Constitution de la Loi relative à la protection des données personnelles adoptée en lecture définitive par l’Assemblée Nationale le 14 mai 2018.
Cette loi vise à adapter la loi informatique et libertés au « paquet européen de protection des données personnelles » qui se compose du Règlement général sur la protection des données, dit RGPD, entré en vigueur le 25 mai 2018, et d’une directive spécifique aux traitements en matière policière et judiciaire transposée le 6 mai 2018.
Tout d’abord, les sénateurs reprochaient à la loi « un manque de lisibilité et d’intelligibilité regrettable » qui ne résoudrait pas les contradictions entre les dispositions de la Loi Informatique et libertés modifiée, dite LIL, et les dispositions directement applicables du Règlement européen.
À titre d’exemple, une contradiction existait selon eux entre la LIL modifiée par la loi déférée qui prévoit le double consentement des parents et du mineur de moins de 15 ans pour le traitement de ses données personnelles, et l’article 8 RGPD qui fixe un plancher minimal de 13 ans à partir duquel un mineur peut consentir seul au traitement de ses données personnelles.
À cet égard, le Conseil a relevé que le Règlement laisse une marge de manœuvre aux États membres pour prévoir alternativement un consentement du titulaire de l’autorité parentale au nom du mineur ou alors le double consentement du mineur et de ses parents. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le Règlement auquel elles adaptent le droit interne.
Les sénateurs contestaient également l’absence de séparation effective au sein de la CNIL entre les fonctions de poursuite et d’instruction et les fonctions de jugement et de sanction, qui impliquerait – toujours selon eux – un manque d’impartialité de la CNIL. Là encore, ce grief a été écarté par le Conseil Constitutionnel.
Certains reproches concernant spécifiquement le traitement des données en matière pénale ont cependant été entendus par le Conseil. Ainsi, le fait que la loi permette la mise en œuvre étendue de traitements de données personnelles pour des finalités pénales, sans protection renforcée et l’élargissement excessif des personnes autorisées à mettre en œuvre des traitements de données relatives aux condamnations pénales, ont été jugés problématiques.
Sur ce point, le Conseil Constitutionnel a jugé contraire à la Constitution et entachés d’incompétence négative les mots « sous le contrôle de l’autorité publique » figurant à l’article 13 de la loi déférée en ce qu’ils « affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. »
La juridiction suprême reproche au législateur « de reproduire ces termes sans déterminer les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni les finalités poursuivies par la mise en œuvre d’un traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté ».
Enfin, la décision est intéressante dans la mesure où le Conseil Constitutionnel s’est prononcé pour la première fois sur la question du recours par l’administration à des algorithmes pour l’édiction de ses décisions.
Le Conseil a notamment souligné que le recours à un algorithme pour fonder une décision administrative individuelle doit être subordonné au respect de trois conditions.
D’une part, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme, et le responsable du traitement doit maîtriser l’algorithme et ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
D’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs qui ne se fondent plus exclusivement sur l’algorithme. En cas de recours contentieux, le juge est susceptible d’exiger de l’administration la communication de l’algorithme.
Enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l’une des données sensibles, c’est-à-dire des données « qui révèlent la prétendue origine raciale ou l’origine ethnique », les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes dits « auto-apprenants » susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement.
En définitive, par l’ensemble de ces motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement d’un algorithme.
Source : Décision n°2018-765 DC du 12 juin 2018