La loi sur la protection des données devant le juge constitutionnel, entre prolongement de l’édifice constitutionnel européen et initiation du droit constitutionnel de la protection des données

Publié le 01/08/2018

Quelques jours après l’entrée en vigueur du règlement européen sur la protection des données, le Conseil constitutionnel se prononce sur la loi française relative à la protection des données à caractère personnel. Ce règlement, s’il est d’effet direct, selon les règles européennes, laisse une série de marges de manœuvre aux États. Ce qui explique que la législation française doive être adaptée. Cette loi vise à mettre en œuvre cette adaptation et à transposer une directive portant aussi sur la protection des données et la matière pénale. La décision est riche de plusieurs enseignements, tant quant à l’européanisation de l’ordre juridique national qu’au regard des exigences constitutionnelles de la protection des données.

Par sa décision du 12 juin 20181, le Conseil constitutionnel apporte une nouvelle pierre au solide édifice jurisprudentiel de l’européanisation du système juridique français, tout en posant les premiers jalons du droit de la protection des données. Le Conseil constitutionnel était saisi d’une loi dont l’objet était d’adapter le droit français à la nouvelle législation européenne du droit des données personnelles. Deux textes devaient principalement être pris en compte par la loi relative à la protection des données à caractère personnel ; d’une part, le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données) ; d’autre part, la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre n° 2008/977/JAI du Conseil.

Le règlement général sur la protection des données (RGPD) est officiellement entré en vigueur le 25 mai 2018. Cependant, même si ce texte est d’applicabilité directe, une mise à jour de la législation française était nécessaire, mais encore, la directive du 27 avril 2016 demandait à être transposée. C’est la loi déférée au Conseil constitutionnel qui vise à mettre en adéquation la législation française avec nos engagements européens.

Le projet de loi relatif à la protection des données personnelles a été délibéré en Conseil des ministres le 13 décembre 2017 et déposé ce même jour sur le bureau de l’Assemblée nationale. Le gouvernement a engagé la procédure accélérée : le projet de loi a été adopté en première lecture par l’Assemblée nationale le 13 février 2018. La commission mixte paritaire n’est pas parvenue à un accord. Le Sénat a adopté le texte le 21 mars 2018. Le projet de loi été adopté en nouvelle lecture par l’Assemblée nationale et le Sénat, pour la première, le 12 et pour le second, le 19 avril 2018. Le texte est définitivement adopté par l’Assemblée nationale le 14 mai 2018. Plus de soixante sénateurs, ainsi que le prévoit la constitution ont saisi le Conseil constitutionnel du texte voté. Le texte porte pour l’essentiel adaptation du droit français au droit européen. Ce sont donc les habits d’un juge constitutionnel européen qu’endosse ici le juge de la rue Montpensier.

Le juge constitutionnel apporte alors une pierre supplémentaire à l’édifice du droit constitutionnel européen (I) et pose les premiers jalons d’un droit jurisprudentiel de la protection des données personnelles (II).

I – Une nouvelle pierre à l’édifice du droit constitutionnel européen

L’histoire de la construction européenne a donné lieu à la construction jurisprudentielle d’un droit constitutionnel européen. Ce droit constitutionnel est désormais fondé sur ce que l’on peut appeler les bases constitutionnelles du droit européen (A) desquelles le juge constitutionnel tire les conséquences d’articulation des ordres juridiques (B).

A – Les bases constitutionnelles du droit européen

Les bases constitutionnelles du droit européen se sont construites peu à peu, au gré des saisines du Conseil constitutionnel de textes européens dans un premier temps (1) et par les constitutionnalisations successives de l’appartenance française à l’Union européenne (2).

1 – Des bases constitutionnelles initiées par les premières saisines du Conseil constitutionnel de textes européens

Dès 1970, le Conseil constitutionnel est saisi de premières décisions relatives à la construction européenne. Le traité relatif aux ressources propres de la communauté européenne lui donne l’occasion de forger une expression qui, après être momentanément éclipsée, s’avérera durable. Il emploie ainsi l’expression de « conditions essentielles d’exercice de la souveraineté nationale »2. Se fondant sur les dispositions du préambule de la constitution de 1946, à l’orientation nettement respectueuse des engagements internationaux de la France en vue de la préservation de la paix. Il juge ainsi que le passage d’un budget exclusivement fondé sur des contributions nationales à un budget fondé en principe sur des ressources dites propres de la communauté européenne ne porte pas atteinte aux conditions essentielles d’exercice de la souveraineté nationale.

En 1976, il se risque à la distinction, qui s’avérera trop incertaine pour être opérationnelle, entre les limitations de souveraineté, réputées autorisées par la constitution et les transferts de souveraineté, elles-mêmes prohibées. Cette distinction fera long feu, même si elle s’explique par le contexte dans lequel le Conseil constitutionnel rend sa décision. Il était alors saisi de l’acte relatif à l’élection du Parlement européen au suffrage universel direct. Il s’agissait alors d’une innovation majeure, porteuse de bases d’une démocratie supranationale. Les députés français y étaient, pour certains, très hostiles, et le président Valéry Giscard d’Estaing décida alors de saisir le Conseil constitutionnel afin de tenter d’apaiser un débat passionné.

Le Conseil constitutionnel rend alors une décision subtile3, de nature à rassurer les hostiles, en ayant une conception minorante du Parlement européen qui, à l’époque d’ailleurs, ne s’appelait qu’Assemblée et ne disposait que de très faibles pouvoirs. De ces éléments, il en déduit que ce Parlement ne saurait porter atteinte aux prérogatives de la représentation nationale. Il indique en effet que l’élection au suffrage universel direct des représentants des peuples des États membres à l’Assemblée des communautés européennes n’a pour effet de créer ni une souveraineté ni des institutions dont la nature serait incompatible avec le respect de la souveraineté nationale, non plus que de porter atteinte aux pouvoirs et attributions des institutions de la République et, notamment, du Parlement ; que toutes transformations ou dérogations ne pourraient résulter que d’une nouvelle modification des traités, susceptible de donner lieu à l’application tant des articles figurant au titre VI que de l’article 61 de la constitution. Il précise encore « que l’engagement international du 20 septembre 1976 ne contient aucune stipulation fixant, pour l’élection des représentants français à l’assemblée des communautés européennes, des modalités de nature à mettre en cause l’indivisibilité de la République, dont le principe est réaffirmé à l’article 2 de la constitution ; que les termes de “procédure électorale uniforme” dont il est fait mention à l’article 7 de l’acte soumis au Conseil constitutionnel ne sauraient être interprétés comme pouvant permettre qu’il soit porté atteinte à ce principe ; que, de façon générale, les textes d’application de cet acte devront respecter les principes énoncés ci-dessus ainsi que tous autres principes de valeur constitutionnelle »4.

L’année 1985 donne au Conseil constitutionnel l’occasion de revenir à sa formule initiale de « conditions essentielles d’exercice de la souveraineté nationale » et ce, de manière durable. Il était alors saisi du protocole annexé à la Convention européenne des droits de l’Homme, protocole consacré à l’abolition de la peine de mort5.

L’année 1992 est une année charnière s’agissant du contentieux constitutionnel relatif à la construction européenne et à la souveraineté. C’est en effet, sur fond de dissensions fortes entre partisans du traité de Maastricht et « souverainistes » hostiles à ce traité, que le Conseil constitutionnel censure6, pour la première fois de son histoire et de celle de la construction européenne, un traité. Il censure trois séries de stipulations. En premier lieu, de manière attendue, une série de stipulations relatives à l’Union économique et monétaire, en deuxième lieu, le passage du vote à la majorité qualifiée prévu alors à proche échéance, en matière de politique des visas et enfin, une partie des nouveaux droits liés à l’institution de la citoyenneté de l’Union européenne. Seules les stipulations relatives au droit de vote et d’éligibilité des citoyens de l’Union aux élections municipales se voient censurées, dans la seule mesure de la combinaison des dispositions des articles 2, 24 et 72 de la constitution. Cette combinaison permet aux élus municipaux de participer à l’élection des sénateurs, lesquels participent à l’exercice de la souveraineté nationale.

Par cette censure et la réponse apportée par le pouvoir constituant s’ouvre alors une période qui voit l’ancrage constitutionnel de l’appartenance française à l’Union européenne.

2 – Des bases constitutionnelles renforcées par les inscriptions constitutionnelles successives de l’appartenance française à l’Union européenne

Dès 1992, le constituant français décide de consacrer un titre entier à l’appartenance française à l’Union européenne. Ces bases constitutionnelles de l’Union européenne s’enrichissent au fil des révisions des traités. Outre le traité de Maastricht, premier à faire l’objet d’une censure constitutionnelle, les traités d’Amsterdam, puis le traité établissant une constitution pour l’Europe et enfin le traité de Lisbonne, seront en partie censurés par le juge constitutionnel. La méthode du constituant été identique sur la longue période.

La technique employée est celle dite de la révision-adjonction, signifiant que, au lieu de chercher à modifier les dispositions constitutionnelles auxquelles tel traité se heurterait, ce sont plutôt les éléments jugés contraires dans le traité qui sont ajoutés dans la constitution.

Le titre XV de la constitution comporte ainsi une série d’éléments portant ancrage constitutionnel de l’appartenance française à l’Union européenne. Ses articles 88-1 à 88-7 représentent les conditions françaises du droit constitutionnel européen.

Selon l’article 88-1 de la constitution, la République participe à l’Union européenne constituée d’États qui ont choisi librement d’exercer en commun certaines de leurs compétences en vertu du traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne, tels qu’ils résultent du traité signé à Lisbonne le 13 décembre 2007.

Selon l’article 88-2 la loi fixe les règles relatives au mandat d’arrêt européen en application des actes pris par les institutions de l’Union européenne. Il faut noter que contrairement aux autres articles, spécifiquement adoptés par le constituant pour surmonter la censure constitutionnelle, ce dernier article vise à anticiper tout risque de contrariété des règles relatives au mandat d’arrêt européen avec la constitution.

L’article 88-3 remonte au traité de Maastricht, alors qu’une partie des stipulations relatives à la citoyenneté de l’Union européenne avait été censurée. Il dispose que sous réserve de réciprocité et selon les modalités prévues par le traité sur l’Union européenne signé le 7 février 1992, le droit de vote et d’éligibilité aux élections municipales peut être accordé aux seuls citoyens de l’Union résidant en France. Ces citoyens ne peuvent exercer les fonctions de maire ou d’adjoint ni participer à la désignation des électeurs sénatoriaux et à l’élection des sénateurs. Une loi organique votée dans les mêmes termes par les deux assemblées détermine les conditions d’application du présent article.

L’article 88-4 vise à associer le Parlement national à la construction européenne en disposant que le gouvernement soumet à l’Assemblée nationale et au Sénat, dès leur transmission au conseil de l’Union européenne, les projets d’actes législatifs européens et les autres projets ou propositions d’actes de l’Union européenne. Selon des modalités fixées par le règlement de chaque assemblée, des résolutions européennes peuvent être adoptées, le cas échéant, en dehors des sessions, sur les projets ou propositions mentionnés au premier alinéa, ainsi que sur tout document émanant d’une institution de l’Union européenne. Au sein de chaque assemblée parlementaire est instituée une commission chargée des affaires européennes.

L’article 88-5 pose le principe de la soumission à référendum de futurs élargissements de l’Union européenne. Ainsi, selon cet article, tout projet de loi autorisant la ratification d’un traité relatif à l’adhésion d’un État à l’Union européenne est soumis au référendum par le président de la République. Toutefois, par le vote d’une motion adoptée en termes identiques par chaque assemblée à la majorité des trois cinquièmes, le Parlement peut autoriser l’adoption du projet de loi selon la procédure prévue au troisième alinéa de l’article 89.

Les articles 88-6 et 88-7 intègrent les nouvelles prérogatives conférées aux Parlements nationaux par le traité de Lisbonne. Ainsi, selon l’article 88-6, l’Assemblée nationale ou le Sénat peuvent émettre un avis motivé sur la conformité d’un projet d’acte législatif européen au principe de subsidiarité. L’avis est adressé par le président de l’assemblée concernée aux présidents du Parlement européen, du Conseil et de la Commission européenne. Le gouvernement en est informé. Chaque assemblée peut former un recours devant la Cour de justice de l’Union européenne contre un acte législatif européen pour violation du principe de subsidiarité. Ce recours est transmis à la Cour de justice de l’Union européenne par le gouvernement. À cette fin, des résolutions peuvent être adoptées, le cas échéant, en dehors des sessions, selon des modalités d’initiative et de discussion fixées par le règlement de chaque assemblée. À la demande de soixante députés ou de soixante sénateurs, le recours est de droit. Selon l’article 88-7, par le vote d’une motion adoptée en termes identiques par l’Assemblée nationale et le Sénat, le Parlement peut s’opposer à une modification des règles d’adoption d’actes de l’Union européenne dans les cas prévus, au titre de la révision simplifiée des traités ou de la coopération judiciaire civile, par le traité sur l’Union européenne et le traité sur le fonctionnement de l’Union européenne, tels qu’ils résultent du traité signé à Lisbonne le 13 décembre 2007.

Désormais ces bases constitutionnelles posent le principe de la participation de la France à l’Union européenne, avec des précisions sur certains points et consacrent la participation du Parlement national à la construction européenne, consacrant ainsi, implicitement le principe de l’exercice de la démocratie à plusieurs niveaux territoriaux.

Sur ces bases constitutionnelles désormais écrites, le juge constitutionnel a façonné une jurisprudence permettant d’articuler les ordres juridiques

B – La jurisprudence constitutionnelle et l’articulation des ordres juridiques

Le juge constitutionnel a semblé hésiter quelque peu sur la meilleure manière d’appliquer les principes d’effet direct et de primauté du droit européen sans pour autant renoncer à un noyau dur de souveraineté constitutionnelle.

Les décisions de 20047 et 2006 ont ainsi forgé l’expression pertinente selon le Conseil constitutionnel afin de déterminer ce que l’on peut appeler le noyau dur de souveraineté constitutionnelle. Dans sa décision de 2004, le juge constitutionnel avait rappelé qu’aux termes de l’article 88-1 de la constitution : « La République participe aux communautés européennes et à l’Union européenne, constituées d’États qui ont choisi librement, en vertu des traités qui les ont instituées, d’exercer en commun certaines de leurs compétences », et en avait déduit qu’ainsi, la transposition en droit interne d’une directive communautaire résulte d’une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu’en raison d’une disposition expresse contraire de la constitution ; qu’en l’absence d’une telle disposition, il n’appartient qu’au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l’article 6 du traité sur l’Union européenne. Cette notion de « disposition constitutionnelle expresse » a été rapidement remplacée par celle d’« identité constitutionnelle ».

En effet, dans sa décision de 20068, il rappelle qu’il appartient par suite au Conseil constitutionnel, saisi dans les conditions prévues par l’article 61 de la constitution d’une loi ayant pour objet de transposer en droit interne une directive communautaire, de veiller au respect de cette exigence ; que, toutefois, le contrôle qu’il exerce à cet effet est soumis à une double limite : la première tient en ce que la transposition d’une directive ne saurait aller à l’encontre d’une règle ou d’un principe inhérent à l’identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. La seconde tient dans que, devant statuer avant la promulgation de la loi dans le délai prévu par l’article 61 de la constitution, le Conseil constitutionnel ne peut saisir la cour de justice des communautés européennes de la question préjudicielle prévue par l’article 234 du traité instituant la communauté européenne ; qu’il ne saurait en conséquence déclarer non conforme à l’article 88-1 de la constitution qu’une disposition législative manifestement incompatible avec la directive qu’elle a pour objet de transposer ; qu’en tout état de cause, il revient aux autorités juridictionnelles nationales, le cas échéant, de saisir la Cour de justice des communautés européennes à titre préjudiciel9.

Cette notion d’identité constitutionnelle a aussi été utilisée à propos des engagements internationaux de l’Union européenne, le juge Constitutionnel ayant affirmé que « s’agissant des stipulations de l’accord qui relèvent d’une compétence partagée entre l’Union européenne et les États membres ou d’une compétence appartenant aux seuls États membres, il revient au Conseil constitutionnel (…) de déterminer si ces stipulations contiennent une clause contraire à la Constitution, remettent en cause les droits et libertés constitutionnellement garantis ou portent atteinte aux conditions essentielles d’exercice de la souveraineté nationale.

« S’agissant, en revanche, des stipulations de l’accord qui relèvent d’une compétence exclusive de l’Union européenne, il revient seulement au Conseil constitutionnel, saisi afin de déterminer si l’autorisation de ratifier cet accord implique une révision constitutionnelle, de veiller à ce qu’elles ne mettent pas en cause une règle ou un principe inhérent à l’identité constitutionnelle de la France. En l’absence d’une telle mise en cause, il n’appartient qu’au juge de l’Union européenne de contrôler la compatibilité de l’accord avec le droit de l’Union européenne »10.

La décision de 2018 se lit dans la continuité de ces précédents, tout en comportant un enrichissement eu égard à l’application des règlements. C’est le point n° 2 de la décision du 12 juin 2018 qui donne le ton de la nouvelle pierre apportée à l’édifice constitutionnel européen. Le Conseil constitutionnel indique en effet qu’aux termes de l’article 88-1 de la constitution : « La République participe à l’Union européenne constituée d’États qui ont choisi librement d’exercer en commun certaines de leurs compétences en vertu du traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne, tels qu’ils résultent du traité signé à Lisbonne le 13 décembre 2007 ». Ce passage est désormais de jurisprudence constante. Le juge précise ensuite : « Ainsi tant la transposition en droit interne d’une directive de l’Union européenne que le respect d’un règlement de l’Union européenne, lorsqu’une loi a pour objet d’y adapter le droit interne, résultent d’une exigence constitutionnelle ».

Le principe selon lequel la transposition d’une directive européenne dans l’ordre juridique interne est une exigence constitutionnelle se voit complété par l’exigence de même rang – constitutionnel – de respect d’un règlement européen avec l’adaptation nécessaire le cas échéant par une loi nationale. Le juge constitutionnel en tire des éléments relatifs à son office, tout en précisant la double limite qui existe à ces principes.

Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l’article 61 de la constitution d’une loi ayant pour objet de transposer en droit interne une directive de l’Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d’adapter le droit interne à un règlement de l’Union européenne. Toutefois, le contrôle qu’il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d’une directive ou l’adaptation du droit interne à un règlement ne sauraient aller à l’encontre d’une règle ou d’un principe inhérent à l’identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l’absence de mise en cause d’une telle règle ou d’un tel principe, le Conseil constitutionnel n’est pas compétent pour contrôler la conformité à la constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d’une directive ou des dispositions d’un règlement de l’Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l’article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l’Union européenne sur le fondement de l’article 267 du traité sur le fonctionnement de l’Union européenne. En conséquence, il ne saurait déclarer non conforme à l’article 88-1 de la constitution qu’une disposition législative manifestement incompatible avec la directive qu’elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d’exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l’Union européenne à titre préjudiciel.

Ainsi, selon le juge, il ressort de la constitution que ces exigences constitutionnelles n’ont pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu’elle est déterminée par la constitution. Le juge constitutionnel avait déjà relevé, dans sa décision n° 2008-564 DC du 19 juin 2008, qu’il ressort de la constitution que cette exigence constitutionnelle de transposition des directives n’a pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu’elle est déterminée par la Constitution11.

La notion d’autonomie institutionnelle et procédurale, traditionnellement développée concernant la transposition des directives européennes, est appliquée par le juge constitutionnel. L’autonomie institutionnelle et procédurale avait été développée afin de tenir compte de la nature spécifique des directives. Elle signifie que chaque État est libre d’utiliser les institutions et procédures pour atteindre les objectifs fixés par la directive. La Cour de justice vérifie néanmoins que la norme de transposition permet une transposition effective. Le juge constitutionnel précise que l’exigence constitutionnelle de mettre en œuvre les directives européennes ainsi que d’adapter le droit national aux textes européens n’a pas d’incidence sur la répartition des compétences entre la loi et le règlement.

En somme, s’agissant de son contrôle de lois nationales d’application du droit de l’Union européenne ou encore de mise en conformité du droit national au droit de l’Union, le juge a dessiné une grille à trois colonnes : la première est celle du verrou constitutionnel autour de la notion d’« identité constitutionnelle », la deuxième est celle de la restriction du contrôle de la conformité de la loi à la directive ou au règlement européen à celle de l’incompatibilité manifeste ; la troisième est celle de la vérification du plein exercice de sa compétence par le législateur. La décision du 12 juin 2018 vient ainsi compléter l’édifice débuté au début des années 2000. Cette même décision vient débuter le droit jurisprudentiel de la protection des données.

II – Les premiers jalons d’un droit jurisprudentiel de la protection des données personnelles

L’incompétence négative, censurée par le juge constitutionnel dans sa décision du 12 juin 2018 donne les premières bases de l’analyse jurisprudentielle de la protection des données. Si l’essentiel de la loi est validé (B), l’insuffisant usage de sa compétence par le législateur est censuré (A).

A – L’incompétence négative censurée

De jurisprudence constante, le Conseil constitutionnel censure ce que l’on appelle l’incompétence négative. La Ve République, en instituant un domaine de la loi, conduit le juge constitutionnel à s’assurer que le législateur utilise sa incomplètes ou imprécises.

L’article 13 modifie l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.

Le juge souligne que selon le premier alinéa nouveau de cet article 9, de tels traitements peuvent être effectués soit « sous le contrôle de l’autorité publique », soit par les personnes énumérées aux 1° à 5° du même article. Parmi ces dernières, l’article 13 de la loi déférée ajoute, respectivement aux 1° et 3° de l’article 9, les personnes morales de droit privé collaborant au service public de la justice et les personnes physiques ou morales qui, en tant que victimes ou mises en cause ou pour le compte de celles-ci, cherchent à préparer, à exercer et à suivre une action en justice et à faire exécuter la décision rendue.

Les sénateurs requérants soutenaient que ces dispositions seraient entachées d’incompétence négative, faute pour le législateur d’avoir suffisamment précisé les catégories de personnes désormais autorisées à mettre en œuvre de tels traitements de données pénales à des fins autres que policières et judiciaires. En outre, elles ne comporteraient pas les garanties nécessaires à la protection du droit au respect de la vie privée, en particulier en ce qu’elles ne prévoient pas d’autorisation administrative préalable de ces traitements.

Dans un premier temps, le Conseil rappelle que selon l’article 34 de la Constitution, la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il incombe au législateur d’exercer pleinement la compétence que lui confie la constitution et, en particulier, son article 34. Il relève ensuite que l’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l’autorité publique ». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Dès lors, le haut conseil juge que les mots « sous le contrôle de l’autorité publique ou » sont entachés d’incompétence négative. Ainsi les mots « sous le contrôle de l’autorité publique ou » figurant au 1° de l’article 13 sont contraires à la constitution. Le juge a donc écarté l’argumentation du gouvernement selon laquelle, dans ses observations devant le Conseil constitutionnel, le Premier ministre, afin de défendre la constitutionnalité de la disposition figurant au 1° de l’article 13, faisait valoir qu’elle « reprend les termes mêmes des dispositions précises et inconditionnelles de l’article 10 du RGPD et ne saurait donc être utilement contestée »12.

Cependant, le juge précise que les mots « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que » figurant au premier alinéa de l’article 9 de la loi du 6 janvier 1978 sont conformes à la constitution. Le Conseil constitutionnel n’a en effet pas pour autant retenu l’ensemble des moyens tirés de l’incompétence négative du législateur.

L’article 30 insère un nouveau chapitre XIII dans la loi du 6 janvier 1978, comportant des articles 70-1 à 70-27 et applicable aux traitements de données relevant de la directive du 27 avril 2016. Ces dispositions régissent les traitements de données à caractère personnel mis en œuvre « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Le premier alinéa du nouvel article 70-1 détermine notamment les personnes autorisées à mettre en œuvre de tels traitements. Le nouvel article 70-2 fixe les conditions dans lesquelles des données sensibles, au sens du paragraphe I de l’article 8 de la loi du 6 janvier 1978, peuvent faire l’objet d’un tel traitement.

Selon les requérants, ces dispositions ne préciseraient pas suffisamment les personnes ainsi autorisées à mettre en œuvre des traitements de données à caractère personnel relatives à des infractions, enquêtes ou poursuites pénales. En outre, elles ne définiraient pas les « garanties appropriées pour les droits et libertés de la personne concernée » auxquelles elles font référence lorsque ces traitements comportent des données sensibles. Il en résulterait une méconnaissance par le législateur de l’étendue de sa compétence.

Le juge souligne en premier lieu, qu’en vertu du premier alinéa de l’article 70-1, les dispositions du chapitre XIII de la loi du 6 janvier 1978, régissant les traitements de données à caractère personnel dans le domaine pénal, s’appliquent, d’une part, aux autorités publiques compétentes en matière de prévention et de détection des infractions pénales, d’enquêtes et de poursuites pénales et d’exécution de sanctions pénales, y compris en matière de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une infraction pénale et de prévention de telles menaces. Elles s’appliquent, d’autre part, à tout autre organisme ou entité à qui une disposition de droit interne a confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique. Ce faisant, le législateur a suffisamment défini les catégories de personnes susceptibles de mettre en œuvre les traitements de données en cause.

Le juge relève en deuxième lieu que l’article 70-2 prévoit que le traitement de données sensibles n’est possible qu’en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne en cause et s’il est autorisé par une disposition législative ou réglementaire, s’il vise à protéger les intérêts vitaux d’une personne physique ou s’il porte sur des données manifestement rendues publiques par la personne en cause. Le juge estime qu’en mentionnant ainsi les « garanties appropriées pour les droits et libertés », qui s’ajoutent à celles prévues au chapitre XIII de la loi du 6 janvier 1978, le législateur a entendu faire référence aux règles relatives à la collecte, à l’accès et à la sécurisation des données, déterminées au cas par cas en fonction de la finalité de chaque traitement en cause. Ainsi, en adoptant les dispositions contestées, le législateur n’est pas resté en deçà de la compétence que lui attribue l’article 34 de la constitution pour fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Le juge écarte donc le grief tiré de la méconnaissance de l’article 34 de la constitution. Il en conclut que le premier alinéa de l’article 70-1 et l’article 70-2 de la loi du 6 janvier 1978 sont conformes à la constitution. L’essentiel de la loi se trouve en effet validé.

B – L’essentiel de la loi validé

Plusieurs moyens tirés de l’inconstitutionnalité de la loi étaient développés par les sénateurs requérants. Le Conseil écarte les griefs tirés du défaut de l’accessibilité et de l’intelligibilité de la loi (1), ceux relatifs aux nouvelles prérogatives de la Commission nationale informatique et libertés (2), ceux qui invoquaient une violation du respect de la vie privée dans ses diverses composantes (3) et enfin, ceux relatifs à l’usage des algorithmes dans la prise de décision (4).

1 – L’accessibilité et l’intelligibilité de la loi

Depuis 1999, le haut Conseil juge que le principe d’accessibilité et d’intelligibilité de la loi est un objectif de valeur constitutionnelle13.

En l’espèce, le juge était saisi de plusieurs éléments de la loi déférée. Sur le grief tiré de la méconnaissance de l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi, les sénateurs requérants estimaient que le texte déféré méconnaît l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi compte tenu des divergences résultant de l’articulation entre les dispositions de la loi du 6 janvier 1978, telle que modifiée, et du règlement du 27 avril 2016 mentionnés ci-dessus. Selon eux, cette absence de lisibilité serait de nature à « induire gravement en erreur » les citoyens quant à la portée de leurs droits et obligations en matière de protection des données personnelles. La loi déférée serait également contraire à ce même objectif au motif qu’elle ne réglerait pas clairement les modalités de son application dans les collectivités constituant des pays et territoires d’outre-mer dans lesquels le droit de l’Union européenne n’est pas applicable. En effet, selon les requérants, la loi du 6 janvier 1978 ne serait désormais compréhensible que combinée avec les dispositions du règlement du 27 avril 2016, lequel n’est pas applicable dans ces territoires.

Le juge rappelle que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration des droits de l’Homme et du citoyen de 1789, impose au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. Il doit en effet prémunir les sujets de droit contre une interprétation contraire à la constitution ou contre le risque d’arbitraire, sans reporter sur des autorités administratives ou juridictionnelles le soin de fixer des règles dont la détermination n’a été confiée par la constitution qu’à la loi.

Rappelant l’objet de la loi déférée qui est de modifier la législation nationale en matière de protection des données personnelles afin d’adapter la législation nationale au règlement du 27 avril 2016 et de transposer la directive du même jour mentionnée ci-dessus. Or pour le Conseil constitutionnel si, à cette fin, le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résulte pas une inintelligibilité de la loi.

Il ajoute encore que l’article 32 de la loi déférée habilite le gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires à la réécriture de l’ensemble de la loi du 6 janvier 1978 « afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité » avec le droit de l’Union européenne ainsi que les mesures pour « mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ».

Il était aussi reproché à la loi de ne pas prévoir de dispositions déterminant ses modalités d’application dans les collectivités d’outre-mer. Cependant le 3° du paragraphe I de son article 32 habilite le gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires à « l’adaptation et à l’extension à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 précitée relevant de la compétence de l’État ».

Rappelant que la Nouvelle-Calédonie, la Polynésie française, les Terres australes et antarctiques françaises, Wallis-et-Futuna, Saint-Pierre-et-Miquelon et Saint-Barthélemy sont des pays et territoires d’outre-mer relevant du régime spécial d’association à l’Union européenne prévu par la quatrième partie du traité sur le fonctionnement de l’Union européenne, le juge souligne que le règlement et la directive du 27 avril 2016 ne s’y appliquent pas.

Aussi, en Nouvelle-Calédonie, en Polynésie française, dans les Terres australes et antarctiques françaises et à Wallis-et-Futuna, qui sont régis par le principe de spécialité législative, la loi du 6 janvier 1978 continuera à s’appliquer dans sa rédaction antérieure à la loi déférée. À Saint-Pierre-et-Miquelon et à Saint-Barthélemy, qui sont régis par le principe d’identité législative, la loi déférée est applicable, y compris en ce qu’elle renvoie à des dispositions du règlement du 27 avril 2016.

L’absence de disposition spécifique déterminant les modalités d’application de la loi déférée dans les collectivités d’outre-mer ne porte donc pas atteinte à l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. Les dispositions sont donc validées, comme celles relatives aux nouvelles prérogatives de la Commission nationale informatique et libertés.

2 – Les nouvelles prérogatives de la Commission nationale informatique et libertés

Les nouvelles dispositions législatives modifient les pouvoirs de la Commission nationale informatique et libertés. Ces nouvelles prérogatives sont jugées conformes par le juge constitutionnel. L’article 1er de la loi déférée modifie l’article 11 de la loi du 6 janvier 1978, relatif aux missions de la Commission nationale de l’informatique et des libertés. En vertu de la deuxième phrase du a du 4° de cet article 11, ainsi modifié, cette commission peut « être consultée par le président de l’Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données ».

Selon les requérants, en adoptant ces dispositions sans préciser à quel moment de l’examen parlementaire de la proposition de loi cette saisine de la Commission nationale de l’informatique et des libertés serait possible, ni dans quel délai son avis doit être rendu, ni quelle publicité peut lui être donnée, le législateur aurait méconnu l’étendue de sa compétence et contrevenu aux exigences de clarté et de sincérité du débat parlementaire.

Le juge relève qu’aux termes du second alinéa de l’article 1er de la loi organique du 20 janvier 2017, pris sur le fondement du dernier alinéa de l’article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l’organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d’exercer pleinement la compétence que lui confie la constitution et, en particulier, son article 34.

Cependant, en prévoyant que la Commission nationale de l’informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu’à la demande d’un président de groupe d’une assemblée parlementaire, le Conseil constitutionnel estime que législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi.

Il en résulte que la deuxième phrase du a du 4° de l’article 11 de la loi du 6 janvier 1978, qui ne méconnaît ni les exigences de clarté et de sincérité du débat parlementaire, ni aucune autre exigence constitutionnelle, est conforme à la Constitution14. Le droit au respect de la vie privée se voit, lui aussi, jugé respecté par les dispositions mises en cause devant le juge constitutionnel.

3 – Le respect de la vie privée

Soulignons en premier lieu que le grief tiré de la méconnaissance du droit au respect de la vie privée pouvait être utilement discuté devant le Conseil constitutionnel15, dès lors que les dispositions contestées ne se bornaient pas à tirer les conséquences nécessaires de dispositions du RGPD, mais exploitaient une marge de manœuvre laissée aux États membres par son article 10, selon lequel un traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes peut être effectué si ce traitement est autorisé « par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ».

Le juge s’attache donc à vérifier la conformité constitutionnelle d l’exercice de ces marges de manœuvre par le législateur. Dans ce cadre d’analyse, il relève que l’article 36 réécrit l’article 230-8 du Code de procédure pénale définissant les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale.

Ces dispositions prévoient que le procureur de la République est compétent pour ordonner l’effacement ou la rectification de ces données, d’office ou à la demande de la personne concernée par les données.

Il souligne encore qu’aux termes des quatrième à huitième phrases du premier alinéa de l’article 230-8 : « La personne concernée peut former cette demande sans délai à la suite d’une décision devenue définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne ne peut former sa demande, à peine d’irrecevabilité, que lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. En cas de décision de relaxe ou d’acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d’une décision de relaxe ou d’acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause font l’objet d’une mention, sauf si le procureur de la République ordonne l’effacement des données personnelles ».

Les requérants estimaient que les quatrième à huitième phrases du premier alinéa de l’article 230-8 du Code de procédure pénale contreviennent au droit au respect de la vie privée dès lors qu’une personne n’ayant pas fait l’objet d’une décision définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite ne peut demander l’effacement ou la rectification des mentions la concernant que « lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire », alors même que cette mention peut être sans lien avec l’inscription à l’origine de la demande. Par ailleurs, la distinction opérée par ces dispositions, en ce qui concerne l’effacement d’office des données, entre les personnes relaxées ou acquittées et celles ayant fait l’objet d’une décision de non-lieu ou de classement sans suite serait contraire au principe d’égalité devant la loi.

S’agissant du grief tiré de la méconnaissance du droit au respect de la vie privée, le juge souligne d’une part, qu’en autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l’accès à ces traitements par des autorités investies par la loi d’attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d’aide à l’enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d’infractions et de prévention des atteintes à l’ordre public. Il relève d’autre part, que figurent dans ce fichier des données particulièrement sensibles pouvant être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d’autres fins de police administrative.

Par ailleurs, le juge relève encore que le législateur n’a pas fixé la durée maximum de conservation des informations enregistrées. Toutefois, d’une part, les dispositions contestées permettent à toute personne ayant bénéficié d’une décision définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou de mention au casier judiciaire, de non-lieu ou de classement sans suite, de demander sans délai l’effacement ou la rectification des données la concernant. D’autre part, en l’absence d’une telle décision, la personne peut demander l’effacement ou la rectification des données dès lors qu’il ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. Indépendamment des règles légales de retrait des mentions d’une condamnation au bulletin n° 2, le juge pénal peut exclure expressément une telle mention lorsqu’il prononce cette condamnation ou par jugement rendu postérieurement sur la requête du condamné. Enfin, la mention est supprimée en cas de réhabilitation acquise de plein droit ou de réhabilitation judiciaire.

Le juge écarte donc le grief tiré de la méconnaissance au droit au respect de la vie privée16, ainsi que les griefs liés au principe d’égalité.

En application des dispositions contestées, le législateur a traité différemment les personnes ayant fait l’objet d’une décision de relaxe ou d’acquittement devenue définitive et celles ayant fait l’objet d’une décision de non-lieu ou de classement sans suite. Alors que, pour les premières, les données personnelles doivent être effacées d’office du traitement, pour les secondes, les données sont conservées sauf décision contraire du procureur de la République.

Cependant, conformément à une jurisprudence constante, le juge constitutionnel rappelle que cette différence de traitement correspond à une différence de situation, les décisions de relaxe ou d’acquittement étant revêtues de l’autorité de la chose jugée et faisant obstacle à ce que la personne soit à nouveau condamnée ou poursuivie pour les mêmes faits alors que les décisions de non-lieu à l’issue d’une instruction ou de classement sans suite n’entraînent pas l’extinction de l’action publique. Cette différence de traitement est en rapport avec l’objet de la loi, qui est de permettre la conservation de données aux fins notamment de faciliter la constatation des infractions à la loi pénale. Le grief tiré de la méconnaissance du principe d’égalité devant la loi doit donc être écarté.

Le Conseil constitutionnel juge que les quatrième à huitième phrases du premier alinéa de l’article 230-8 du Code de procédure pénale, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la constitution.

Le domaine de la santé fait l’objet de dispositions spécifiques. L’article 16 prévoit ainsi une nouvelle rédaction du chapitre IX de la loi du 6 janvier 1978, consacré aux traitements de données à caractère personnel dans le domaine de la santé. Le 3° de l’article 53 de cette loi, dans cette nouvelle rédaction, en exclut toutefois les traitements mis en œuvre aux fins d’assurer « la prise en charge des prestations par les organismes d’assurance maladie complémentaire ».

Les sénateurs requérants estiment que, du fait de cette exclusion, les organismes d’assurance maladie complémentaire privés pourraient avoir accès aux données à caractère personnel issues de la facturation des soins, sans avoir à recueillir le consentement préalable des patients et que ces organismes pourraient utiliser ces données pour « fixer le prix des assurances » ou « à des fins de choix thérapeutique ou médical ». Il en résulterait une atteinte à « la liberté pour le patient de choisir son médecin et la liberté du médecin de choisir la thérapie la plus adaptée au patient ».

Le Conseil estime que les dispositions contestées se bornent à excepter les traitements mis en œuvre par les organismes d’assurance maladie complémentaire, pour le service de leurs prestations, de l’application des dispositions particulières du chapitre IX de la loi du 6 janvier 1978 relatives aux traitements des données de santé.

Par conséquent, le juge constitutionnel, souligne que d’une part, elles n’exemptent pas ces mêmes traitements du respect des autres dispositions du règlement du 27 avril 2016 et de la loi du 6 janvier 1978 relatives aux principes régissant le traitement des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées. À cet égard, en vertu de l’article 5 de ce règlement, les données de santé recueillies dans le cadre de ces traitements ne peuvent faire l’objet d’un traitement ultérieur incompatible avec la finalité d’origine du traitement, qui ne peut être, en vertu des dispositions contestées, que le service des prestations d’assurance maladie.

D’autre part, les dispositions contestées n’ont, en tout état de cause, pas pour effet d’autoriser ces organismes à imposer à leurs assurés le choix d’un médecin ni d’interdire la prise, par ce dernier, de décisions médicales. Le Conseil constitutionnel juge que le grief manque en fait. Les mots « la prise en charge des prestations par les organismes d’assurance maladie complémentaire » figurant au 3° de l’article 53 de la loi du 6 janvier 1978, qui ne méconnaissent aucune exigence constitutionnelle, sont conformes à la constitution.

La question de la protection des enfants est aussi prise en compte dans le règlement comme dans la loi. L’article 20 introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de 15 ans ». Selon le deuxième alinéa de cet article : « Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur ».

Les sénateurs requérants soutenaient que le deuxième alinéa de cet article 7-1 méconnaîtrait l’exigence d’application du droit européen qui résulte de l’article 88-1 de la constitution. Selon eux, en prévoyant que, lorsqu’un mineur est âgé de moins de quinze ans, le traitement de ses données à caractère personnel n’est licite que si sont à la fois recueillis le consentement du mineur et celui d’un des titulaires de l’autorité parentale, le législateur aurait énoncé une règle contraire au règlement du 27 avril 2016, qui exigerait, dans une telle hypothèse, le seul recueil du consentement d’un des titulaires de l’autorité parentale.

Or ainsi que le mentionne le Conseil constitutionnel, selon le 1 de l’article 8 du règlement du 27 avril 2016 : « Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». Cependant, le texte précise encore que les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en dessous de 13 ans.

Ce grief rejoignait pour partie des doutes exprimés par la rapporteure du projet de loi au Sénat, Sophie Joissains. Celle-ci s’était interrogée sur le point de savoir si le RGPD autorisait l’énoncé de ce qui lui apparaissait comme une condition supplémentaire, le recueil du consentement du mineur. Par ailleurs, celle-ci avait exprimé un autre doute, de nature pratique, lié aux difficultés d’application de cette règle « dans le cas de jeunes enfants incapables d’une manifestation de volonté éclairée et dont les représentants légaux souhaiteraient faire bénéficier de certains services en ligne »17.

Le Conseil constitutionnel fait alors application de sa jurisprudence qu’il étend, dans cette même décision, comme on l’a vu plus haut, aux règlements, c’est-à-dire qu’il veille à ce qu’il n’y ait pas d’incompatibilité manifeste entre les termes de la loi et ceux du règlement. Or en l’espèce, il interprète les termes précités, dans le règlement européen « donné ou autorisé » en tant que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Le juge écarte donc le grief tiré de la méconnaissance de l’article 88-1 de la constitution. Il valide ensuite les dispositions prévoyant l’usage d’algorithmes dans l’administration.

4 – L’usage des algorithmes dans la prise de décision

L’article 21 de la loi déférée modifie l’article 10 de la loi du 6 janvier 1978 afin d’étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel. Selon les termes du 2° de cet article 10, il en va ainsi des décisions administratives individuelles dès lors que l’algorithme de traitement utilisé ne porte pas sur des données sensibles, que des recours administratifs sont possibles et qu’une information est délivrée sur l’usage de l’algorithme.

Il convient d’apporter quelques éléments d’explication sur la notion d’algorithmes, dont l’usage dans l’administration était jusqu’à présent, aussi peu fréquent que mal connu. Selon le rapport de première lecture de la commission des lois du Sénat, « on entend par “algorithme” une suite finie d’étapes ou d’instructions produisant un résultat à partir d’éléments fournis en entrée. Une recette de cuisine est, par exemple, un algorithme, de même que les règles de fonctionnement d’un moteur de recherche sur internet. Peuvent également être formulés sous forme d’algorithmes le barème de l’impôt sur le revenu (avec comme entrée les revenus déclarés d’un contribuable), ou encore l’ensemble des règles qui, le cas échéant, déterminent nécessairement l’acceptation ou le refus d’une demande par l’administration »18.

Jusqu’à présent, la loi Informatique et libertés prévoyait plusieurs cas d’interdiction de l’utilisation des algorithmes dans la prise de décision. Ainsi, selon le premier alinéa de l’article 10, « aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité ». Cette interdiction est limitée aux cas où la décision est exclusivement fondée sur l’algorithme : « Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». Cependant des exceptions existent en tant que : « Ne sont pas regardées comme prises sur le seul fondement d’un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée ».

L’article 22 du RGPD a partiellement repris ces interdictions, tout en assouplissant les conditions du recours aux algorithmes pour la prise de décisions emportant des effets juridiques. Le principe tient en ce qu’une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques à son égard ou l’affectant de manière significative. Cependant le règlement prévoit une série d’exceptions.

Les critiques des Sénateurs requérants portaient sur la circonstance qu’en autorisant l’administration à prendre des décisions individuelles sur le seul fondement d’un algorithme, celle-ci serait conduite à renoncer à l’exercice de son pouvoir d’appréciation des situations individuelles. Il en résulterait selon eux, que le 2° de l’article 10 de la loi du 6 janvier 1978 méconnaîtrait la garantie des droits et l’article 21 de la constitution. Selon eux, ces exigences seraient également méconnues en raison de l’existence d’algorithmes dits « auto-apprenants ». Ces derniers sont susceptibles de réviser eux-mêmes les règles qu’ils appliquent, ce qui empêcherait dès lors, selon eux, l’administration de connaître les règles sur le fondement desquelles la décision administrative a été effectivement prise. Il s’agit ici d’un argument lié à l’exigence de base juridique lisible afin non seulement que l’individu à qui s’applique la mesure concernée puisse en connaître les fondements de droit, mais aussi, afin que le juge puisse exercer son contrôle le cas échéant.

Par ailleurs, les requérants estimaient que, faute de garanties suffisantes, le législateur aurait porté atteinte « aux principes de valeur constitutionnelle régissant l’exercice du pouvoir réglementaire ». Selon eux, en effet, d’une part, il ne serait pas garanti que les règles appliquées par les algorithmes seront conformes au droit et, d’autre part, l’administration aurait abandonné son pouvoir réglementaire aux algorithmes définissant leurs propres règles. Les règles appliquées par ce dernier type d’algorithmes ne pouvant être déterminées à l’avance, il en résulterait également une méconnaissance du « principe de publicité des règlements ». Enfin, les requérants soutiennent que les dispositions contestées sont dénuées de portée normative ou, à défaut, qu’elles seraient contraires, par leur complexité, à l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. Cet ensemble de moyens et d’arguments est écarté par le juge constitutionnel.

Après avoir rappelé que l’article 21 de la constitution confie le pouvoir réglementaire au Premier ministre, sous réserve des dispositions de l’article 13, le Conseil constitutionnel prend acte de ce que les dispositions contestées autorisent effectivement, conformément au règlement, l’administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d’un algorithme.

Cependant, le Conseil constitutionnel souligne dans un premier temps que ces dispositions se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement. Elles n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Il n’en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

Dans un deuxième temps, le juge constitutionnel explique que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D’une part, conformément à l’article L. 311-3-1 du Code des relations entre le public et l’administration, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d’un algorithme ne peuvent être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du Code des relations entre le public et l’administration. L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l’algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d’exiger de l’administration la communication des caractéristiques de l’algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l’une des données sensibles mentionnées au paragraphe I de l’article 8 de la loi du 6 janvier 1978, c’est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique19.

Le juge constitutionnel souligne enfin que le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement.

Le Conseil constitutionnel en déduit que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme. Les griefs tirés de la méconnaissance de l’article 16 de la Déclaration de 1789 et de l’article 21 de la constitution doivent donc être écartés. Le 2° de l’article 10 de la loi du 6 janvier 1978, qui n’est pas non plus dépourvu de portée normative ou inintelligible et ne méconnaît aucune autre exigence constitutionnelle, est conforme à la constitution. Ce domaine reste encore en friche, dans la mesure où jusqu’alors, le conseil constitutionnel n’avait pas été amené à se prononcer sur la constitutionnalité du cadre juridique de recours aux algorithmes. Cependant, on relèvera que dans une décision du 13 mars 200320, il a pu estimer que l’exclusion du recours exclusif à un algorithme peut constituer une garantie nécessaire à la constitutionnalité de traitements particuliers de données à caractère personnel. Il était alors saisi de dispositions autorisant les services de la police nationale et de la gendarmerie à mettre en œuvre des « applications automatisées d’informations nominatives recueillies au cours des enquêtes préliminaires ou de flagrance ou des investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que les contraventions de la cinquième classe sanctionnant un trouble à la sécurité ou à la tranquillité publiques ou une atteinte aux personnes, aux biens ou à l’autorité de l’État », à des fins de police judiciaire ou pour certaines consultations administratives. Il avait alors a relevé, au détour d’une réserve d’interprétation, que les dispositions contestées ne remettaient pas en cause l’article 2 de la loi Informatique et libertés, dans sa rédaction de l’époque, en vertu de laquelle : « Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». Le Conseil constitutionnel a estimé que, dès lors, « les données recueillies dans les fichiers ne constitueront donc, dans chaque cas, qu’un élément de la décision prise, sous le contrôle du juge, par l’autorité administrative »21.

En validant les nouvelles dispositions législatives, il prend soin de relever les éléments de garantie, prévus tant dans le règlement européen que dans le droit national, dont principalement l’exclusion des données sensibles et les possibilités de recours.

La décision du 12 juin 2018 est ainsi riche à la fois de premiers jalons en matière de droit des données personnelles dans un contexte technologique profondément renouvelé depuis les premières bases législatives relatives à l’informatique et aux libertés et de nouvelles précisions quant au contrôle de constitutionnalité à exercer sur des textes d’application du droit européen.

Ainsi la jurisprudence dite IVG de 1975, par laquelle le juge constitutionnel déclinait sa compétence sur la conformité des lois aux traités internationaux, par une lecture de l’article 55 de la constitution posant pourtant le principe de la supériorité des traités sur les lois nationales, si elle connaît des exceptions par cela seul de la constitutionnalisation de l’Union européenne, demeure en vigueur. Le juge rappelle en effet sa jurisprudence traditionnelle selon laquelle, lorsqu’il examine une loi sur le fondement des articles 61 et 61-1 de la constitution, le Conseil constitutionnel ne procède pas au contrôle de sa conventionnalité, c’est-à-dire à l’examen de sa compatibilité avec les engagements internationaux et européens de la France : un tel moyen « ne saurait être regardé comme un grief d’inconstitutionnalité » et « relève de la compétence des juridictions administratives et judiciaires »22.

Par cette nouvelle décision, le juge constitutionnel poursuit donc la construction d’un droit constitutionnel européen, renforçant encore la spécificité de l’appartenance d’un État membre à une Union européenne dotée de pouvoirs de décision, rappelant l’articulation des ordres juridiques et les offices respectifs des juges, constitutionnel, européen, et ordinaires. Il inaugure dans le même temps, une jurisprudence relative au traitement des données personnelles. Entre continuité et nouveauté, le juge constitutionnel confirme son statut de garant de l’État de droit, État de droit national, État de droit européen.

Notes de bas de pages

  • 1.
    Cons. const., 12 juin 2018, n° 2018-765 DC, loi relative à la protection des données personnelles.
  • 2.
    Cons. const., 19 juin 1970, n° 70-39 DC.
  • 3.
    Cons. const., 30 déc. 1976, n° 76-71 DC.
  • 4.
    Déc. préc., note 3.
  • 5.
    Cons. const., 22 mai 1985, n° 85-188 DC.
  • 6.
    Cons. const., 9 avr. 1992, n° 92-308 DC.
  • 7.
    Cons. const., 10 juin 2004, n° 2004-496 DC.
  • 8.
    Cons. const., 27 juill. 2006, n° 2006-504 DC.
  • 9.
    Ibid., cons. n° 20.
  • 10.
    Cons. const., 31 juill. 2017, n° 2017-749 DC, accord économique et commercial global entre le Canada, d’une part, et l’Union européenne et ses États membres, d’autre part, paragr. 13 et 14.
  • 11.
    Cons. const., 19 juin 2008, n° 2008-564 DC, loi relative aux organismes génétiquement modifiés, cons. 53 : « Si la transposition en droit interne d’une directive communautaire résulte d’une exigence constitutionnelle, il ressort de la constitution et notamment de son article 88-4 que cette exigence n’a pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu’elle est déterminée par la constitution ». Prononçant une censure sur ce fondement, le Conseil constitutionnel avait alors jugé que « la déclaration immédiate d’inconstitutionnalité des dispositions contestées serait de nature à méconnaître » l’exigence constitutionnelle de transposition en droit interne et « à entraîner des conséquences manifestement excessives » : dès lors, « afin de permettre au législateur de procéder à la correction de l’incompétence négative constatée ». Cité dans les commentaires, sur la décision ici commentée.
  • 12.
    V. les observations du gouvernement sur la présente décision.
  • 13.
    Cons. const., 16 déc. 1999, n° 99-421 DC.
  • 14.
    Point n° 17 de la décision ici commentée.
  • 15.
    Pour un cas inverse, v. Cons. Const., 29 juill. 2004, n° 2004-499 DC, cons. 8 : « Les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l’article 8 de la directive n° 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n’appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l’atteinte au respect de la vie privée ne peut être utilement présenté devant lui ». Cité dans les commentaires sur la décision ici commentée.
  • 16.
    Point 82 de la décision ici commentée.
  • 17.
    Élément repris des commentaires sur la présente décision.
  • 18.
    Rapport n° 350 (Sénat – 2017-2018) de Sophie Joissains, fait au nom de la commission des lois, déposé le 14 mars 2018, p. 106-107. V. Comm. sur la présente décision, précités.
  • 19.
    Point n° 70 de la décision ici commentée.
  • 20.
    Cons. const., 13 mars 2003, n° 2003-467 DC.
  • 21.
    Passage cité dans les commentaires, préc.
  • 22.
    Cons. const., 12 mai 2010, n° 2010-605 DC, préc., cons. 11 et 12 ; Cons. const., 28 mai 2014, n° 2014-694 DC, loi relative à l’interdiction de la mise en culture des variétés de maïs génétiquement modifié, cons. 2.
X