Décision n° 2018-765 DC du 12 juin 2018 - Communiqué de presse

Par sa décision n° 2018-765 DC du 12 juin 2018, le Conseil constitutionnel s'est prononcé sur la loi relative à la protection des données personnelles, dont il avait été saisi par plus de soixante sénateurs.

Cette loi a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin, d'une part, de l'adapter au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et, d'autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
Les sénateurs contestaient, outre un défaut d'accessibilité et d'intelligibilité de l'ensemble de la loi, une dizaine de ses articles.
S'agissant de la nature du contrôle opéré par le Conseil constitutionnel sur des dispositions législatives prises pour l'adaptation du droit national au droit de l'Union européenne :
Afin de se prononcer sur les critiques des sénateurs, le Conseil constitutionnel a complété sa jurisprudence antérieure sur la transposition des directives européennes, en précisant la nature du contrôle qu'il opère sur des dispositions législatives tirant des conséquences du droit de l'Union européenne, lorsque celui-ci procède d'un règlement.
Jusqu'à présent, le Conseil constitutionnel avait développé une jurisprudence spécifique aux lois ayant pour objet de transposer en droit interne une directive de l'Union européenne (décision n° 2004-496 DC du 10 juin 2004). Selon cette jurisprudence, il résulte de l'article 88-1 de la Constitution une exigence de transposer les directives européennes. S'il appartient au Conseil constitutionnel de veiller au respect de cette exigence constitutionnelle, son contrôle est soumis à une double limite (décision n° 2006-540 DC du 27 juillet 2006). En premier lieu, la transposition d'une directive ne saurait aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai d'un mois prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne (CJUE) d'une question préjudicielle afin de lever un éventuel doute sur la portée de la directive. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la CJUE à titre préjudiciel. En outre, il ressort de la Constitution que cette exigence constitutionnelle de transposition des directives n'a pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu'elle est déterminée par la Constitution (décision n° 2008 564 DC du 19 juin 2008).
Dans sa décision du 12 juin 2018, le Conseil constitutionnel a étendu cette jurisprudence aux lois ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. À la différence des directives, les règlements européens sont d'application directe et n'appellent donc pas de mesures législatives pour prendre effet en droit interne, sauf à ce qu'ils prévoient expressément en faveur des États membres une marge d'appréciation. Toutefois, dans le cas où le législateur intervient afin d'adapter la législation nationale à un règlement européen, le Conseil constitutionnel a jugé que, en application de l'article 88-1 de la Constitution, il incombe alors au législateur de respecter ce règlement. Le contrôle que le Conseil constitutionnel est ensuite amené à opérer sur une telle loi a la même portée et obéit aux mêmes conditions que celui qu'il exerce sur les lois de transposition d'une directive européenne : contrôle restreint à l'absence de méconnaissance de l'identité constitutionnelle de la France lorsque la loi se borne à tirer les conséquences nécessaires de dispositions du règlement européen ; contrôle restreint à l'absence d'incompatibilité manifeste entre la loi et le règlement européen ; possible contrôle du respect par le législateur de l'étendue de sa compétence (absence d'incompétence négative).
S'agissant des critiques adressées à certaines dispositions de la loi :

• Le Conseil constitutionnel a notamment écarté le grief selon lequel le principe d'impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l'article 7 de la loi déférée, réécrivant l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés (CNIL) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.
  Le Conseil constitutionnel a notamment jugé que ni les avertissements ni les mises en demeure prononcées par le président de la commission ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.
• Le Conseil constitutionnel a jugé que ne méconnaît pas l'exigence constitutionnelle d'application du droit européen résultant de l'article 88-1 de la Constitution l'article 20 de la loi déférée, qui introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ». Selon le deuxième alinéa de cet article : « Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur ».
  Il a relevé à cet égard qu'il résulte de l'emploi par le législateur européen des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l'autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l'autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.
• Le Conseil constitutionnel a également jugé conformes à la Constitution les dispositions de la loi déférée modifiant l'article 10 de la loi du 6 janvier 1978 afin d'étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
  Amené à se prononcer pour la première fois sur le recours par l'administration à des algorithmes pour l'édiction de ses décisions, il a notamment relevé que les dispositions que contestait le recours se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
  Il s'est également fondé sur ce que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311 3 1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte qu'une décision individuelle ne saurait être prise à l'aide d'un algorithme dont les principes de fonctionnement ne pourraient être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2 ° de l'article L. 311-5 du code des relations entre le public et l'administration. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième de ce code. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l'algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication de l'algorithme. Enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique », les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
  Enfin, le Conseil constitutionnel a relevé que le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme « auto-apprenant »).
  Par l'ensemble des motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme.
• En revanche, le Conseil constitutionnel a censuré les mots « sous le contrôle de l'autorité publique » figurant à l'article 13 de la loi déférée, modifiant l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.
  Il a en effet jugé que l'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Il en résulte que les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative et donc contraires à la Constitution.