Decision

Decision no. 2018-765 DC of 12 June 2018

Law related to the protection of personal data

THE CONSTITUTIONAL COUNCIL WAS ASKED TO DECIDE on the law related to the protection of personal data, no. 2018-765 DC, under the conditions set out in Article 61 of the Constitution. In attendance on 16 May 2018: Mr. Bruno RETAILLEAU, Mr. Pascal ALLIZARD, Mr. Serge BABARY, Mr. Jean-Pierre BANSARD, Mr. Philippe BAS, Mr. Jérôme BASCHER, Mr. Arnaud BAZIN, Ms. Martine BERTHET, Ms. Anne-Marie BERTRAND, Ms. Christine BONFANTI-DOSSAT, Mr. François BONHOMME, Ms. Pascale BORIES, Mr. Gilbert BOUCHET, Ms. Céline BOULAY-ESPERONNIER, Mr.Yves BOULOUX, Mr. Jean-Marc BOYER, Mr. Max BRISSON, Ms. Marie-Thérèse BRUGUIÈRE, Mr. François-Noël BUFFET, Mr. François CALVET, Mr. Christian CAMBON, Ms. Agnès CANAYER, Mr. Jean-Noël CARDOUX, Mr. Patrick CHAIZE, Mr. Pierre CHARON, Mr. Alain CHATILLON, Ms. Marie-Christine CHAUVIN, Mr. Guillaume CHEVROLLIER, Mr. Gérard CORNU, Mr. Pierre CUYPERS, Ms. Laure DARCOS, Mr. Mathieu DARNAUD, Mr. Marc-Philippe DAUBRESSE, Ms. Annie DELMONT-KOROPOULIS, Ms. Catherine DEROCHE, Ms. Jacky DEROMEDI, Ms. Chantal DESEYNE, Ms. Catherine DI FOLCO, Mr. Philippe DOMINATI, Mr. Alain DUFAUT, Ms. Catherine DUMAS, Mr. Laurent DUPLOMB, Ms. Nicole DURANTON, Ms. Dominique ESTROSI SASSONE, Ms. Jacqueline EUSTACHE-BRINIO, Mr. Michel FORISSIER, Mr. Bernard FOURNIER, Mr. Christophe-André FRASSA, Mr. Pierre FROGIER, Ms. Joëlle GARRIAUD-MAYLAM, Mr. Jacques GENEST, Ms. Frédérique GERBAUD, Mr. Jordi GINESTA, Mr. Jean-Pierre GRAND, Mr. Daniel GREMILLET, Mr. François GROSDIDIER, Mr. Jacques GROSPERRIN, Mr. Charles GUENÉ, Mr. Jean-Raymond HUGONET, Mr. Benoît HURÉ, Mr. Jean-François HUSSON, Ms. Corinne IMBERT, Ms. Muriel JOURDA, Mr. Alain JOYANDET, Mr. Roger KAROUTCHI, Mr. Marc LAMENIE, Ms. Élisabeth LAMURE, Ms. Christine LANFRANCHI-DORGAL, Ms. Florence LASSARADE, Mr. Antoine LEFÈVRE, Mr. Dominique de LEGGE, Mr. Ronan LE GLEUT, Mr. Jean-Pierre LELEUX, Mr. Henri LEROY, Ms. Brigitte LHERBIER, Mr. Gérard LONGUET, Ms. Vivette LOPEZ, Ms. Viviane MALET, Ms. Marie MERCIER, Ms. Brigitte MICOULEAU, Mr. Alain MILON, Mr. Albéric de MONTGOLFIER, Ms. Patricia MORHET-RICHAUD, Mr. Jean-Marie MORISSET, Mr. Philippe MOUILLER, Mr. Philippe NACHBAR, Mr. Olivier PACCAUD, Mr. Philippe PAUL, Mr. Philippe PEMEZEC, Mr. Stéphane PIEDNOIR, Mr. Jackie PIERRE, Mr. François PILLET, Mr. Rémy POINTEREAU, Mr. Ladislas PONIATOWSKI, Ms. Sophie PRIMAS, Mr. Christophe PRIOU, Ms. Catherine PROCACCIA, Ms. Frédérique PUISSAT, Ms. Isabelle RAIMOND-PAVERO, Mr. Michel RAISON, Mr. Jean-François RAPIN, Ms. Évelyne RENAUD-GARABEDIAN, Mr. Charles REVET, Mr. Hugues SAURY, Mr. René-Paul SAVARY, Mr. Michel SAVIN, Mr. Alain SCHMITZ, Mr. Bruno SIDO, Mr. Jean SOL, Ms. Catherine TROENDLÉ, Mr. Michel VASPART, and Mr. Jean-Pierre VIAL, Senators.

In light of the following texts:

  • the Constitution;
  • Ordinance no. 58-1067 of 7 November 1958 laying down the Institutional Act on the Constitutional Council;
  • Organic Law no. 2017-54 of 20 January 2017 related to independent administrative authorities and public independent authorities;
  • the Treaty on the Functioning of the European Union;
  • Regulation (EU) 2016/679 of the European Parliament and the Council of 27 April 2016 regarding the protection of natural persons with regard to the processing of personal data and the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation);
  • Directive (EU) 2016/680 of the European Parliament and the Council of 27 April 2016 regarding the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JAI
  • the Code of Criminal Procedure;
  • the Code on Relations Between the Public and the Administration;
  • Law no. 78-17 of 6 January 1978 on information technology, data files and civil liberties;
  • the observations of the Government, registered on 31 May 2018;

And having heard the rapporteur;

THE CONSTITUTIONAL COUNCIL WAS ASKED TO DECIDE ON THE FOLLOWING:

  1. The applicant Senators refer to the Constitutional Council the Law related to the protection of personal data. They make claims to the incomprehensibility and contest the constitutionality of certain provisions of its Articles 1, 4, 5, 7, 13, 16, 20, 21, 30 and 36.
  • On the oversight exercised by the Constitutional Council:
  1. Pursuant to Article 88-1 of the Constitution: "The Republic shall participate in the European Union, constituted by States which have freely chosen to exercise some of their powers in common, by virtue of the treaty on European Union and the Functioning of the European Union, as derived from the Treaty signed in Lisbon on 13 December 2007". Thus, transposing a European Union Directive into domestic law as well as abiding by a regulation of the European Union, when a law aims at adapting it to domestic law, are constitutional requirements.

  2. It is the Constitutional Council's responsibility, under the conditions provided for under Article 61 of the Constitution, regarding a law which purpose is to transpose a European Union directive into domestic law, to oversee the respect of this requirement. Likewise for a law which purpose is to adapt a regulation of the European Union into domestic law. However, the control it exercises for this purpose is subject to a double limitation. Firstly, transposing a directive or adapting a domestic law to a regulation cannot conflict with a rule or principle inherent to France's constitutional identity, except that which has been consented to. In the absence of questioning such a rule or principle, the Constitutional Council has no jurisdiction to oversee the constitutionality of legislative provisions that merely draw the necessary consequences of unconditional and precise provisions of a directive or the provisions of a European Union regulation. Secondly, being required to rule before the law is enacted within the time frame established by Article 61 of the Constitution, the Constitutional Council cannot go before the European Union Court of Justice on the basis of Article 267 of the treaty on the Functioning of the European Union. Consequently, only a legislative provision that is manifestly incompatible with the directive it has the purpose of transposing or the regulation that it is adapting into domestic law can be declared as not in accordance with Article 88-1 of the Constitution. In any event, it is the responsibility of administrative and judicial jurisdictions to oversee the compatibility of the law in terms of France's European commitments and, as the case may be, to go before the European Union Court of Justice for a preliminary ruling.

  3. It follows from the Constitution that these constitutional requirements do not have the effect of undermining the division of matters between the area of law and that of regulation such as determined by the Constitution.

  • On the claim of infringement on the objective of the constitutional value of accessibility and comprehensibility of the law.
  1. The applicant senators claim that the contested text infringes on the objective of the constitutional value of accessibility and comprehensibility of the law given the differences that arise from the link between the provisions of the Law of 6 January 1978, as amended, and the Regulation of 27 April 2016 mentioned above. According to them, this lack of comprehensibility is likely to “seriously mislead” citizens regarding the extent of their rights and obligations in terms of personal data protection. The contested law also infringes upon this same objective on the grounds that that it does not clearly regulate the terms of its application in the communities of the overseas countries and territories in which European Union law is not applicable. In fact, according to the applicants, the law of 6 January 1978 is now only comprehensible when included with the provisions of the 27 April 2016 Regulation, which is not applicable in these territories.

  2. The objective of the constitutional value of accessibility and comprehensibility of the law, as written in Articles 4, 5, 6, and 16 of the Declaration of Human and Civic Rights of 1789, requires that the legislature adopt provisions that are sufficiently precise and unambiguously drafted. It must indeed protect subjects of the law against unconstitutional interpretation and arbitrary risk, without entrusting administrative or judicial authorities with the responsibility for establishing the rules, the determination of which has only been granted to the law by the Constitution.

  3. Firstly, the main objective of the contested law is to modify national legislation related to personal data protection in order to adapt national legislation to the Regulation of 27 April 2016 and to transpose the Directive of 27 April 2016 mentioned above. If, for this purpose, the legislature made the choice to modify the provisions of the Law of 6 January 1978 by introducing provisions some of which were formally different from those of the regulation, it does not result in incomprehensibility of the law. Additionally, Article 32 of the contested law allows the Government, through ordinances, to take the relevant measures in the area of the law necessary to rewrite the Law of 6 January 1978 in totality “in order to bring about the formal corrections and the adaptations necessary to simplify and make it consistent as well as to simplify implementation by the individuals in question of the provisions which bring national law into conformity” with European Union law as well as the measures to “make these changes coherent with all of the legislation applicable to the protection of personal data, to bring about modifications that make it necessary to ensure the respect of the hierarchical standards and the drafting consistency of the texts, to harmonise the law, to remedy any potential errors and omissions of the current law and to repeal the provisions that have become inapplicable”.

  4. Secondly, the contested text does not provide for provisions determining its terms of application in the overseas communities. However, Section 3° of Paragraph I of its Article 32 allows the Government, by ordinance, to take the relevant measures in the area of the law necessary to “adapt and extend overseas the provisions established in Sections 1° and 2° regarding its application in Saint Barthelemy, Saint Pierre and Miquelon, New Caledonia, French Polynesia, Wallis and Futuna and in the French southern and Antarctic areas regarding all of the provisions of the above-mentioned Law no. 78-17 of 6 January 1978 falling within the State's authority”.

  5. New Caledonia, French Polynesia, the French southern and Antarctic areas, Wallis and Futuna, Saint Pierre and Miquelon, and Saint Barthelemy are overseas countries and territories falling within the special association with the European Union established in the fourth part of the treaty on the Functioning of the European Union. The Regulation and Directive of 27 April 2016 do not apply there.

  6. Additionally, in New Caledonia, French Polynesia, the French southern and Antarctic areas and Wallis and Futuna, which are governed by the specialised legislative principle, the Law of 6 January 1978 shall continue to apply in its drafting prior to the contested law. In Pierre and Miquelon and Saint Barthelemy, which are governed by the legislative identity principle, the contested law is applicable, including that which refers to the provisions of the Regulation of 27 April 2016.

  7. Consequently, the absence of provisions specifically determining the terms of application of the contested law in the above-mentioned overseas communities does not bring about an infringement on the objective of the constitutional value of accessibility and comprehensibility of the law.

  8. It follows from the foregoing that the claim of infringement on this objective should be set aside.

  • On certain provisions of Article 1:
  1. Article 1 of the contested law modifies Article 11 of the Law of 6 January 1978 regarding the missions of the Commission Nationale de l'Informatique et des Libertés [French National Commission for Information Technology and Civil Liberties]. Pursuant to the second sentence of Part a of Section 4° of this Article 11, as amended, this commission may “be consulted by the Chairperson of the National Assembly, by the Chairperson of the Senate or by the authorized commissions of the National Assembly and the Senate as well as upon the request of a chairperson of a parliamentary group on any bill of law related to the protection of personal data or to the processing of such data”.

  2. According to the applicants, by adopting these provisions without specifying at what time parliamentary examination of the law proposal for consulting the Commission Nationale de l'Informatique et des Libertés is possible, or within what time frame its decision must be handed down, or what publicity may be given to it, the legislature overstepped the scope of its authority and infringed on the requirements of clarity and honesty in parliamentary debate.

  3. According to the second subparagraph of Article 1 of the organic law of 20 January 2017 mentioned above, regarding the basis of the last subparagraph of Article 34 of the Constitution, the law “sets the rules related to the composition and attribution as well as the fundamental principles related to the organization and the functioning of independent administrative authorities and independent public authorities”. It falls on the legislature to fully exercise the competence granted to it under the Constitution, specifically Article 34.

  4. By establishing that the Commission Nationale de l'Informatique et des Libertés may be consulted on a bill of law related to the protection or processing of personal data by the chairperson, by the competent commissions as well as upon request of a chairperson of a parliamentary group, the legislature sufficiently defined the new allocation thus granted to this independent administrative authority. The terms and conditions according to which this ability may be implemented do not fall within the scope of the law.

  5. Consequently, the second sentence of Part a of Section 4° of Article 11 of the Law of 6 January 1978, which does not infringe on either the requirement of clarity and honesty in parliamentary debate, or on any other constitutional requirement, is constitutional.

  • On certain provisions of Article 4:
  1. Article 4 modifies Articles 17 and 18 of the Law of 6 January 1978 related to the procedure followed before the limited panel of the Commission Nationale de l'Informatique et des Libertés, which hands down penalties against data managers or their subcontractors in the event of a breach of the obligations described in the Regulation of 27 April 2016 and the Law of 6 January 1978. Specifically, Section 2° of this Article 4 integrates a second subparagraph to Article 17 of this law in order to establish that the members of the limited panel deliberate without of the presence of the agents of the commission, with the exception of those in charge of holding the session.

  2. The applicants claim that the circumstances under which the agents of the authorities in charge of penalties are placed under the authority of the chairperson of the commission infringes on the principle of impartiality. Furthermore, by not establishing a separation within the commission group between members of the limited panel and the other members, these provisions do not guarantee the separation between the functions of prosecution and investigation and those of judgments and sanctions imposed by this same principle.

  3. According to Article 16 of the 1789 Declaration: “Any society in which no provision is made for guaranteeing rights or for the separation of powers, has no Constitution”.

  4. Neither the principle of the separation of powers nor any other principle or rule with constitutional value precludes that an independent administrative or public authority, acting within the framework of the requirements of public powers, may exercise punishment powers insofar as necessary to accomplish their mission, when exercising this power is part of the measures of law intended to ensure the protection of the constitutionally guaranteed rights and liberties. Specifically, the principles of independence and impartiality arising from Article 16 of the Declaration of 1789 must be respected.

  5. Firstly, the second subparagraph of Article 17 of the Law of 6 January 1978 establishes that among the agents from the Commission Nationale de l'Informatique et des Libertés only the persons in charge of holding the session may be present during the deliberation of the limited panel. The circumstance that these individuals are placed under the authority of the chairperson of this commission does not infringe on the principle of impartiality.

  6. Secondly, neither the contested provisions nor the rest of Article 4 of the contested law modifies the rules related to separation within the Commission Nationale de l'Informatique et des Libertés between, on the one hand, the functions of prosecution and investigation and, on the other, those of judgments and sanctions. Therefore, the applicants' arguments on this point are without merit in terms of the provisions of Article 4.

  7. It follows from the foregoing that the second subparagraph of Article 17 of the Law of 6 January 1978, which does not infringe upon any other constitutional requirement, is constitutional.

  • On certain provisions of Article 5:
  1. Article 5 extends the right of access and communication recognised under Article 44 of the Law of 6 January 1978 to the authorized members and individuals of the Commission Nationale de l'Informatique et des Libertés. Its Section 5° completes this Article 44 with a paragraph V, which excludes the commission's oversight on processing operations carried out, when exercising their judicial roles, by jurisdictions.

  2. The applicants claim that, in terms of the constitutional public powers, by not establishing an exception to the commission's oversight powers, these provisions infringe on the principle of the autonomy of the constitutional public powers from which arises from the separation of powers protected by Article 16 of the Declaration of 1789 and which is inherent to France's constitutional identity.

  3. Firstly, the Commission Nationale de l'Informatique et des Libertés only exercises its oversight powers within the limits and under the guarantees established by the Regulation of 27 April 2016 and the Law of 6 January 1978. Specifically, pursuant to Section 2° of Article 11 of this law, they are only exercised to oversee that the processing of personal data is implemented in compliance with the provisions of the same law and the other provisions related to the protection of personal data established in the legislative and regulatory texts of European Union Law and France's international commitments.

  4. Secondly, and in any case, oversight operations of the Commission Nationale de l'Informatique et des Libertés do not bring into question the regular functioning of the constitutional public powers.

  5. It follows from the foregoing that the claim of infringement on the principle of the separation of powers should be set aside.

  6. Paragraph V of Article 44 of the Law of 6 January 1978, which does not infringe upon any other constitutional requirement, is constitutional.

  • On certain provisions of Article 7:
  1. Section 2° of Article 7 rewrites Article 45 of the Law of 6 January 1978 to establish different measures that may be taken by the Commission Nationale de l'Informatique et des Libertés in the event of a breach of the obligations established in the Regulation of 27 April 2016 and the Law of 6 January 1978. Paragraphs I and II of this Article 45 allow the chairperson of the Commission to respectively issue warnings or formal notices. Its Paragraph III establishes that the chairperson of the Commission, as the case may be, after having issued a warning or formal notice, may ask the Commission's limited panel to rule on one or more measures, for which a 20 million euros fine or, in the event of a company, 4% of its revenue, may be issued, by virtue of the second sentence of its Section 7°.

  2. The applicants claim that, by allowing the chairperson of the Commission Nationale de l'Informatique et des Libertés to issue formal notices likely to be made public, which constitute penalties having the characteristics of punishment, Paragraph II of Article 45 infringes on the principle of impartiality insofar as these measures are investigated and handed down by a single authority. Additionally, according to them, it allows the same behaviour to give rise to additional warnings or formal notices from the chairperson of the Commission and then to penalties decided upon by the limited panel, the first subparagraph of Paragraph III of the same Article 45 infringes on the principle of the proportionality of offences. Furthermore, by not specifying the criteria according to which a cumulative penalty is possible, Paragraph III infringes on the principle of equality before the law. Finally, insofar as the maximum amount of the fine established in the second sentence of Section 7° term of Paragraph III of Article 45 is 20 million euros or, in the event of a company, 4% of its revenue, the legislature should have increased the rights and guarantees of the individuals thus punished, otherwise it infringes on the right to a fair trial.

  3. Article 45 of the Law of 6 January 1978 grants the Commission Nationale de l'Informatique et des Libertés the power to take the measures and sanctions, in order to prevent, bring an end to or punish negligence committed by data processors or their subcontractors, regarding the provisions of the Regulation of 27 April 2016 and of this Law,

  4. Firstly, when a breach is found and when such breach is subject to compliance, the first subparagraph of Paragraph II of Article 45 allows the chairperson of the Commission to provide formal notice to the data processor or its subcontractor to take the measures necessary in this regard. It also seeks to allow its recipient to comply with the Regulation of 27 April 2016 or the Law of 6 January 1978. Its infringement has no consequences. If this formal notice may be made public, upon the chairperson's request and upon the decision of the Commission's office, this publication does not, in this case, carry a sanction that has a punitive effect. Therefore, the claim of infringement on the principle of impartiality should be set aside as being without merit.

  5. Secondly, according to Article 8 of the 1789 Declaration:
    "The law must prescribe only the punishments that are strictly and evidently necessary, and no one may be punished except by virtue of a Law that has been drawn up and promulgated before the offence is committed, and legally applied". The principles thus established do not only relate to penalties established by criminal courts but extend to any sanction that is a punishment. The principle of the necessity of offences and penalties does not preclude that the same actions committed by the same person may be subject to different charges for the purposes of administrative or criminal sanctions under a different set of rules. Should two proceedings be carried out and lead to a cumulative sanction, the principle of proportionality implies, in any case, that the total amount of potential sanctions pronounced do not exceed the highest amount of one of the sanctions incurred.

  6. It follows from Paragraph I of Article 45 of the Law of 6 January 1978 that the warning it establishes is issued by the chairperson of the Commission to the data processor or its subcontractor when “the processing operations intended” may violate the provisions of the Regulation of 27 April 2016 or the Law of 6 January 1978. Thus, this warning is issued, as a preventive measure, to its recipient even before the breach is committed. Thus, it does not constitute a sanction that is a punishment. Therefore, insofar as neither warnings nor formal notices issued by the chairperson of the Commission constitute sanctions that are punitive, the circumstances of sanctions as established in Paragraph III of Article 45 being cumulative with these measures cannot be considered as being a cumulation of sanctions. Consequently, the claim of infringement on the principle of the proportionality of penalties should be set aside.

  7. Thirdly, according to Article 6 of the 1789 Declaration, the law "must be the same for all, whether it protects or punishes". The principle of equality before the law does not prevent the legislature from regulating different situations in different ways, nor does it depart from equality for reasons of public interest, provided that in both cases, the resulting difference in treatment is directly related to the objectives of the law establishing it.

  8. By allowing the chairperson of the Commission Nationale de l'Informatique et des Libertés to call on the limited panel to pronounce one of the measures for sanctions established in Paragraph III of Article 45 when a data processor or its subcontractor has not respected their obligations under the Regulation of 27 April 2016 or the Law of 6 January 1978, as the case may be, as an addition to a warning or a formal notice, the legislature has not instituted any difference in treatment. Consequently, the claim of infringement on the principle of equality before the law should be set aside.

  9. Lastly, the requirements of impartiality, when an independent administrative authority issues a fine, do not vary on the basis of its maximum amount. Consequently, the claim on the infringement on the principle of impartiality of the second sentence of Section 7° of Paragraph III of Article 45 should be set aside.

  10. It follows from the foregoing that Paragraph I, the first subparagraph of Paragraph II and the second sentence of Section 7° of Paragraph III of Article 45 of the Law of 6 January 1978, which do not infringe upon any other requirement of constitutional law, should be ruled constitutional.

  • On certain provisions of Article 13:
  1. Article 13 modifies Article 9 of the Law of 6 January 1978 in order to establish the regime for processing personal data related to criminal convictions, offences or related security measures, when this data processing is not implemented by the competent authorities for criminal purposes within the meaning of the Directive of 27 April 2016.

  2. According to the new first subparagraph of this Article 9 such data processing may be carried out either “under the oversight of the public authority”, or by the individuals established in Sections 1° to 5° of the same article. Among the latter, Article 13 of the contested law, respectively in Sections 1° and 3° of Article 9, adds private legal persons working with the public justice system and natural or legal persons who, as victims or those implicated or on behalf of the latter, are seeking to prepare, to carry out or to take legal action and to enforce a decision handed down.

  3. According to the applicants, these provisions are undermined by negative incompetence [the legislature erroneously delegating the scope of its own powers], in that the legislature did not sufficiently specify the categories of the persons now authorized to implement such processing of criminal data for purposes other than police or judicial purposes. Furthermore, they do not contain the guarantees necessary for the legal protection regarding respect for privacy, specifically in that they do not establish prior administrative authorization of this data processing.

. Regarding Section 1° of Article 13:

  1. Pursuant to Article 34 of the Constitution, statutes determine the rules concerning the fundamental guarantees granted to citizens for the exercise of their civil liberties. It falls on the legislature to fully exercise the competence granted to it under the Constitution, specifically Article 34.

  2. Article 10 of the European Regulation of 27 April 2016 only authorizes processing personal data in terms of criminal circumstances not relating to the Directive also dated 27 April 2016 under certain conditions, among which implementing processing “under the oversight of the public authority” is included. The legislature limited itself to reproducing these terms in the contested provisions, without itself determining either the category of individuals able to act under the oversight of the public authority, or the purposes that must be sought to implement such data processing. Because of the importance that this data processing has and the nature of the information processed, these provisions, by their consequences, have an effect on the fundamental guarantees granted to citizens to exercise their public freedoms. Therefore, the words “under the oversight of the public authority or” are undermined by negative incompetence.

  3. For the reasons established above, the words “under the oversight of the public authority or” mentioned in Section 1° of Article 13 are unconstitutional. The words “criminal convictions, offences or related security measures can only be carried out” appearing in the first subparagraph of Article 9 of the Law of 6 January 1978 are constitutional.

. Regarding Sections 2° and 3° of Article 13:

  1. The freedom proclaimed by Article 2 of the 1789 Declaration includes the right to respect privacy. Owing to this, collecting, recording, keeping, consulting and communicating information of a personal nature must be justified by general interest and implemented in an adequate and proportional manner.

  2. Firstly, on the one hand, by adopting the provisions of Section 2° of Article 13, the legislature sought to allow the processing of personal data related to criminal convictions, offences or related security measures by persons working with the public justice system, such as associations that help victims or support individuals in the justice system. On the other hand, by adopting the provisions of Section 3° of this same article, the legislature also sought to open this ability to victims or those implicated in criminal proceedings, in order to allow them to prepare or to conduct legal proceedings. In so doing, it sought the goal of the public interest.

  3. Secondly, on the one hand, by establishing that these provisions apply to private legal individuals working with the public justice system that are part of the categories, the list of which is established by decree in the Conseil d'État, made after reasoned opinion and published by the Commission Nationale de l'Informatique et des Libertés, as well as persons acting either as victims or those implicated or on behalf of these latter, the contested provisions sufficiently delineate the scope of the persons thus authorized to implement data processing for personal data related to criminal proceedings.

  4. On the other hand, implementing this processing may only be carried out, in the first case, insofar as strictly necessary to the mission of the person working with the public justice system and, on the second hand, for the time frame strictly proportionate to the purposes sought by victims or those implicated. In the latter case, communication to a third party is only possible under the same conditions and in the strictest terms necessary to achieve the same purposes.

  5. Finally, implementing this data processing is subject to complying with the guarantees established by the Regulation of 27 April 2016, and in particular the conditions imposed by its Articles 5 and 6, and those established by the Law of 6 January 1978.

  6. It follows from the foregoing that the legislature, which was not required to establish an authorization procedure prior to the processing of the data in question, did not infringe on the right to the respect for privacy. Nor did it fall short of its competence. Thus, the claims of infringement on Article 2 of the Declaration of 1789 and Article 34 of the Constitution should be set aside.

  7. The terms “private legal persons working with the public justice system that are part of the categories, the list of which is established by decree in the Conseil d'État, made after reasoned opinion and published by the Commission Nationale de l'Informatique et des Libertés insofar as strictly necessary to their mission” appearing in Section 1° of Article 9 of the Law of 6 January 1978, and the provisions of Section 3° of the same article, which do not infringe on any other constitutional requirements, are constitutional.

  • On certain provisions of Article 16:
  1. Article 16 establishes a new drafting of Chapter IX of the Law of 6 January 1978 dedicated to processing personal data in the field of healthcare. Section 3° of Article 53 of this Law, in this new drafting, nevertheless excludes processing implemented for the purposes of ensuring “services are provided by supplementary healthcare insurance organizations”.

  2. The applicants claim that, due to this exclusion, private supplementary healthcare insurance organizations may have access to personal data from healthcare invoices, without having previously obtained the consent of the patients and that these organizations may use this data for “setting the price of insurance” or “for therapeutic or medical choices”. It results in an infringement on “the patient's freedom to choose his/her doctor and the doctor's freedom to choose the therapy that is most adapted to the patient”.

  3. The contested provisions are limited to making exceptions for processing implemented by supplementary healthcare insurance organizations, for their services, regarding applying the particular provisions of Chapter IX of the Law of 6 January 1978 related to healthcare data processing.

  4. Consequently, on the one hand, they do not exempt the same processing with respect to other provisions of the Regulation of 27 April 2016 and the Law of 6 January 1978 related to the principles governing personal data processing and the rights afforded to the persons whose data is collected. In this regard, pursuant to Article 5 of this Regulation, healthcare data gathered within the framework of this processing cannot be subject to further processing that is incompatible with the original purpose of data processing, which can only be, regarding the contested provisions, the service of providing healthcare insurance.

  5. On the other hand, the contested provisions, in any case, do not have the effect of authorizing these organizations to impose upon their insured the choice of a doctor nor to prohibit this latter from making medical decisions.

  6. It follows from all of the foregoing that the claim is wrong on the facts. The words “services provided by supplementary healthcare insurance organizations” appearing in Section 3° of Article 53 of the Law of 6 January 1978, which does not infringe on any other constitutional requirement, is constitutional.

  • On certain provisions of Article 20:
  1. Article 20 introduces a new Article 7-1 in the Law of 6 January 1978 according to which a minor may by himself/herself consent to the processing of personal data “regarding the direct offer of the information company services from the age of 15”. According to the second Subparagraph of this Article: “When a minor is younger than 15, personal data processing is only legal if consent is given both by the minor in question and the parental authority in charge of this minor”.

  2. The applicants claim that the second subparagraph of this Article 7-1 infringes on the requirements applicable to European law that results from Article 88-1 of the Constitution. According to them, by establishing that, when a minor is younger than 15 years old, processing their personal data is only legal if consent is given both by the minor in question and the person entitled to parental authority, the legislature announced a rule that is contrary to the Regulation of 27 April 2016, which requires, in such a case, that consent is only required from one of the parental authorities.

  3. According to Article 8 of the Regulation of 27 April 2016:
    “When Article 6, Paragraph 1, point a) applies, in terms of the direct offer of information company services to children, processing the personal data related to a child is legal when the child is at least 16 years old. When the child is younger than 16, this data processing is only legal if, and insofar as, consent is granted or authorized by the person entitled to the child's parental authority. - The Member States may establish by law a younger age for these purposes as long as this younger age is not below 13”.

  4. It follows that the use of the terms “granted or authorized” that the Regulation allows Member States to establish that either consent must be given related to the minor by their parental authority, or that the minor is authorized to consent by the parental authority, which therefore implies that dual consent is established in the contested text. The contested provisions are thus not manifestly incompatible with the Regulation for which they have adapted national law. The result is that the claim of infringement of Article 88-1 of the Constitution should thus be set aside.

  5. The second subparagraph of Article 7-1 of the Law of 6 January 1978, which does not infringe upon any other constitutional requirement, are constitutional.

  • On certain provisions of Article 21:
  1. Article 21 modifies Article 10 of the Law of 6 January 1978 in order to extend the cases in which, by exception, a decision having legal effects with regard to a person or significantly affecting them may be made on the basis of automated processing of personal data. Based on Section 2° of this Article 10 it is likewise for individual administrative decisions when the processing algorithm used does not relate to sensitive data, that administrative recourse is possible and that information is provided by the use of the algorithm.

  2. The applicants feel that by authorizing the administration to make individual decisions based only on an algorithm, this would lead to renouncing their assessment power over individual situations, and that Section 2° of Article 10 of the Law of 6 January 1978 infringes on the guarantee of rights and Article 21 of the Constitution. These requirements also infringe in the sense that the existence of “self-learning” algorithms may themselves revise the rules that they apply, according to them in this regard, hindering the administration knowing the rules on the basis of which administrative decisions have essentially been made. Furthermore, the applicants deem that, barring sufficient guarantees, the legislature will have infringed “on the principles of the constitutional value governing the exercise of regulatory power” insofar as, on the one hand, there is no guarantee that the rules applied by the algorithms are in compliance with the law and, on the other, the administration would have abandoned their regulatory power to algorithms defining their own rules. The rules applied by this type of algorithm cannot be determined in advance, which also results in an infringement on the “principle of the public nature of regulations”. Finally, the applicants claim that the contested provisions have no normative scope and, barring this, that they are, by their complexity, contrary to the objective of the constitutional value of accessibility and comprehensibility of the law.

  3. Article 21 of the Constitution grants regulatory power to the Prime Minister, subject to the provisions of Article 13.

  4. The contested provisions allow the administration to adopt individual decisions having legal effects or decisions which significantly affect a person only on the basis of an algorithm.

  5. However, firstly, these provisions are limited to authorizing the administration to carry out an individual assessment of the situation, only through an algorithm, based on the rules and criteria defined in advance by the data processor. They have neither the purpose or effect of authorizing the administration to adopt decisions without a legal basis, nor to apply other rules than those of the law in force. Therefore, there is no abandonment of the competence of regulatory power.

  6. Secondly, only having recourse to an algorithm as the basis of an individual administrative decision is subject to compliance with three conditions. On the one hand, in compliance with Article L. 311-3-1 of the Code of the Relationship Between the Public and the Administration, an individual administrative decision must explicitly mention that it has been adopted on the basis of an algorithm and the main characteristics of implementing the latter must be communicated to the person in question, upon their request. It follows that, when the principles of the functioning of an algorithm cannot be communicated without infringing on one of the secrets or interests set out under Section 2° of Article L. 311-5 of the Code of the Relationship Between the Public and the Administration, no individual decision shall be made on the exclusive basis of this algorithm. On the other hand, the individual administrative decision must be subject to administrative recourse, in compliance with the first chapter of the first title of the fourth book of the Code of the Relationship Between the Public and the Administration. The administration sought for this recourse is then required to decide without being exclusively based on the algorithm. Furthermore, the administrative decision, in the event of a dispute, is placed under the judge's review, who may require the administration to disclose the characteristics of the algorithm. Finally, only using an algorithm is excluded if this data processing relates to any of the sensitive data mentioned in Paragraph I of Article 8 of the Law of 6 January 1978, which is personal data “that refers to the alleged racial or ethnic origin, political opinions, religious or philosophical beliefs or trade union membership of a natural person”, genetic data, biometric data, healthcare data, or data related to the sexual life or orientation of a natural person.

  7. Lastly, the data processor must ensure managing the algorithmic processing and its changes in order to be able to explain, in detail and in an intelligible format, to the person in question how the data processing has been implemented to him/her. It results that, as an exclusive basis for an individual administrative decision, algorithms likely to revise by themselves the rules to which they apply cannot be used, without the oversight and validation of the data processor.

  8. It follows from all the foregoing that the legislature defined the appropriate guarantees to safeguard the rights and freedoms of the individuals subject to individual administrative decisions made based exclusively on an algorithm. Thus, the claims of infringement on Article 16 of the Declaration of 1789 and Article 21 of the Constitution should be set aside. Section 2° of Article 10 of the Law of 6 January 1978, which is not devoid of normative scope and is not incomprehensible and does not infringe upon any other constitutional requirement, is constitutional.

  • On certain provisions of Article 30:
  1. Article 30 inserts a new Chapter XIII in the Law of 6 January 1978, including Articles 70-1 to 70-27 and applicable to data processing related to the Directive of 27 April 2016. These provisions govern the processing of personal data implemented “for the purposes of prevention and detection of criminal offences, investigations and prosecutions related to or carrying out criminal sanctions, including the protection against threats to public security and preventing such threats”. The first subparagraph of the new Article 70-1 the specifically determines the persons authorized to implement such data processing. The new Article 70-2 sets the conditions under which sensitive data, under the meaning of Paragraph I of Article 8 of the Law of 6 January 1978, may be subject to such processing.

  2. According to the applicants, these provisions do not sufficiently specify the persons authorized to implement such personal data processing related to offences, investigations or criminal prosecutions Furthermore, they do not define the “appropriate guarantees for the rights and freedoms of the person in question” to which they refer when this data processing includes sensitive data. They result in an infringement on the scope of the legislature's authority.

  3. Firstly, under the first Paragraph of Article 70-1, the provisions of Chapter XIII of the Law of 6 January 1978, governing personal data processing in the criminal domain, on the one hand, apply to the competent public authorities in terms of preventing and detecting criminal offences, investigations and criminal prosecutions and carrying out criminal sanctions, including relating to the protection against threats to public security that may lead to a criminal offence and preventing such threats. They apply, on the other hand, to any organization or entity to which a provision of national law has allowed exercising public authority and the prerogatives of public powers, for the same purposes. In so doing, the legislature sufficiently defined the categories of persons that may implement the processing of the data in question.

  4. Secondly, Article 70-2 sets out that processing personal data is only possible if absolutely necessary, subject to the appropriate guarantees for the rights and freedoms of the person in question, and if it is authorized by a legislative or regulatory provision, if it seeks to protect the vital interests of a natural person or if it relates to data manifestly made public by the person in question. By thus mentioning the “appropriate guarantees for the rights and freedoms”, which are included in those that are established in Chapter XIII of the Law of 6 January 1978, the legislature sought to refer to the rules related to collecting, accessing, and securing the data, determined on a case-by-case basis for the purpose of each data processing. Additionally, by adopting the contested provisions, the legislature did not go beyond the competence attributed to it under Article 34 of the Constitution to set the rules related to the fundamental guarantees granted to the citizens to exercise their public freedoms.

  5. The claim of infringement on Article 34 of the Constitution should thus be set aside. The first subparagraph of Article 70-1 and Article 70-2 of the Law of 6 January 1978, which in any event does not infringe on any other constitutional requirement, sis constitutional.

  • On certain provisions of Article 36:
  1. Article 36 rewrites Article 230-8 of the Code of Criminal Procedure defining the conditions under which references to previous legal proceedings appearing in personal data processing in order to facilitate establishing offences to criminal law may be erased. These provisions establish that the Public Prosecutor has jurisdiction to order the erasure or the rectification of this data, motu proprio or at the request of the person to whom this data pertains. The terms of the fourth to the eighth sentences of the first Subparagraph of Article 230-8 state: “The person in question may make this request immediately following a final decision of acquittal or conviction with no penalty or exemption from mentioning the criminal record, dropped or dismissed cases. In other cases, the person may only make his/her request, on penalty of inadmissibility, if there is no longer any mention of a criminal nature in Bulletin no. 2 of their criminal record. In the event that a decision of discharge or acquittal becomes final, the personal data of the persons in question shall be erased, unless the Public Prosecutor decides that it be maintained, in which case this will be recorded. When the Public Prosecutor decides to maintain the personal data regarding a person for whom the discharge or acquittal decision has become final, they shall advise the individual in question thereof. In the event of a decision to dismiss or to drop the case with no further action, the personal data related to the person in question shall be subject to being recorded, unless the Public Prosecutor orders the erasure of personal data.”

  2. The applicants claim that the fourth to the eighth sentences of the first Subparagraph of Article 230-8 of the Code of Criminal Procedure infringe on the right to respect for privacy when a person has not been subject to a decision that has become final for an acquittal or a conviction with no penalty or no mention in the criminal record, of dropped or dismissed cases cannot request the erasure or rectification of the indications related to them except “if there is no longer any mention of a criminal nature in Bulletin no. 2 of their criminal record”, even if this indication has no relation with the indication at the origin of the request. Furthermore, the distinction indicated in these provisions, in terms of the motu proprio erasure of data, between individuals whose cases have been acquitted and those whose cases have been dropped or dismissed infringes on the principle of equality before the law.

.Regarding the claim of infringement on the right to respect for privacy:

  1. On the one hand, by authorizing the creation of personal data processing documenting criminal records and the access to this data processing by authorities vested by the law with judicial police authority and by certain persons vested with administrative police authority, the legislature sought to provide them a tool to help them with judicial and certain administrative investigations. It also sought the objective of the constitutional value of searching for the authors of infringements and preventing attacks to public order.

  2. On the other hand, particularly sensitive data is mentioned in this file, such data may be examined not only to establish criminal law infringement, to gather proof of these infringements and to find their authors, but also for the purposes of administrative police. Furthermore, the legislature did not establish a maximum retention period of the information recorded. However, on the one hand, the contested provisions allow any person for whom a decision that has become final for an acquittal or a conviction with no penalty or mention in the criminal record, whose cases have been dropped or dismissed, to immediately request that their data be erased or rectified. On the other hand, in the absence of such a decision, the person may demand their data to be erased or rectified as soon as there is no longer any mention of a criminal nature in Bulletin no. 2 of their criminal record. Independently of the legal rules for withdrawal of any mention of a conviction in Bulletin no. 2, the criminal judge may expressly exclude such an indication when they decide on this conviction or by a judgment handed down after the convicted individual requests it. Finally, this indication is erased in the event of rehabilitation acquired legally or through judicial rehabilitation.

  3. It follows from the foregoing that the claim of infringement on the right to respect privacy should be set aside.

. Regarding the claim of infringement on the principle of equality before the law:

  1. In terms of the contested provisions, the legislature treated individuals differently subject to a decision of discharge or acquittal becoming final and those subject to a decision that has been dropped or dismissed. For the former, personal data must be erased motu proprio to its processing, for the latter, the data is kept barring a decision to the contrary by the Public Prosecutor.

  2. However, this difference in treatment corresponds to a difference in situation, the decisions of discharge or acquittal having res judicata authority and hindering this person being again convicted or charged for the same facts while decisions that have been dropped or dismissed are not prohibited from criminal action. This difference in treatment is in line with the purposes of the law, which is to allow data to be kept specifically for the purpose of facilitating establishing criminal law infringements. Thus, the claim of infringement on the principle of equality before the law should be set aside.

  3. It follows from the foregoing that the fourth to the eighth sentences of the first subparagraph of Article 230-8 of the Code of Criminal Procedure, which do not infringe upon any other requirement of constitutional laws, are constitutional.

  • On other provisions:
  1. The Constitutional Council raised no other issues regarding conformity with e Constitution and has no ruling on the constitutionality of any provision other than those brought up in this decision.

THE CONSTITUTIONAL COUNCIL DECIDES:

Article 1. - The terms “under the oversight of the public authority or” mentioned in Section 1° of Article 13 of the law or related to the protection of personal data are unconstitutional.

Article 2. - The following provisions, in their drafting resulting from the contested law, are constitutional:

  • the second subparagraph of Article 7-1 of Law no. 78-17 of 6 January 1978 on information technology, data files and personal freedoms;
  • the terms “criminal convictions, offences or related security measures can only be carried out” appearing in the first subparagraph of Article 9 of the same Law of 6 January 1978, the terms “private legal individuals working with the public justice system that are part of the categories, the list of which is established by decree in the Conseil d'État, made after reasoned opinion and published by the Commission Nationale de l'Informatique et des Libertés insofar as strictly necessary to their mission” appearing in Section 1° and Section 1° of the same article;
  • Section 2° Article 10 of the same law;
  • the second sentence of Section a to 4° of Article 11 of the same law;
  • the second subparagraph of Article 17 of the same law;
  • Paragraph V of Article 40 for the same law;
  • Paragraph I, the first subparagraph of Paragraph II and the second sentence of Section 7° of Paragraph III of Article 45 of the same law;
  • the terms “services provided by supplementary healthcare insurance organizations” appearing in Section 3° of Article 53 of the same law;
  • the first subparagraph of Article 70-1 and Article 70-2 of the same law;
  • the fourth to the eighth sentence of the first subparagraph of Article 230-8 of the Code of Criminal Procedure:

Article 3. - This decision shall be published in the Journal Officiel of the French Republic.

Deliberated by the Constitutional Council in its session of 12 June 2018, in attendance: Mr. Laurent FABIUS, Chairperson, Ms. Claire BAZY MALAURIE, Mr. Valéry GISCARD d'ESTAING, Mr. Jean-Jacques HYEST, Mr. Lionel JOSPIN, Ms. Dominique LOTTIN, Ms. Corinne LUQUIENS, Ms. Nicole MAESTRACCI and Mr. Michel PINAULT.
Made public on 12 June 2018.

JORF no. 0141 of 21 June 2018 text no. 2
ECLI:FR:CC:2018:2018.765.DC

Les abstracts

  • 1. NORMES CONSTITUTIONNELLES
  • 1.5. CONSTITUTION DU 4 OCTOBRE 1958
  • 1.5.16. Titre XV - Des Communautés européennes et de l'Union européenne
  • 1.5.16.1. Principe de participation de la République aux Communautés européennes et à l'Union européenne (article 88-1)
  • 1.5.16.1.2. Exigence constitutionnelle de transposition des directives européennes et d'adaptation du droit interne aux règlements européens

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, le contrôle qu'il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne sur le fondement de l'article 267 du traité sur le fonctionnement de l'Union européenne. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l'Union européenne à titre préjudiciel.

(2018-765 DC, 12 June 2018, cons. 2, 3, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
  • 3.3. ÉTENDUE ET LIMITES DE LA COMPÉTENCE LÉGISLATIVE
  • 3.3.4. Incompétence négative
  • 3.3.4.1. Cas d'incompétence négative
  • 3.3.4.1.1. Droit pénal et procédure pénale
  • 3.3.4.1.1.3. Fichiers privés d'infractions

L'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative. Censure.

(2018-765 DC, 12 June 2018, cons. 45, 46, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
  • 3.3. ÉTENDUE ET LIMITES DE LA COMPÉTENCE LÉGISLATIVE
  • 3.3.4. Incompétence négative
  • 3.3.4.2. Absence d'incompétence négative
  • 3.3.4.2.1. Le législateur a épuisé sa compétence

Les dispositions contestées modifient l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016. En premier lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. En second lieu, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi du 6 janvier 1978. Le législateur n'est donc pas resté en deçà de sa compétence. Le grief tiré de l'incompétence négative est écarté.

(2018-765 DC, 12 June 2018, cons. 41, 42, 47, 48, 49, 50, 51, 52, JORF n°0141 du 21 juin 2018 texte n° 2)

En premier lieu, en vertu des dispositions contestées, les dispositions du chapitre XIII de la loi du 6 janvier 1978, régissant les traitements de données à caractère personnel dans le domaine pénal, s'appliquent, d'une part, aux autorités publiques compétentes en matière de prévention et de détection des infractions pénales, d'enquêtes et de poursuites pénales et d'exécution de sanctions pénales, y compris en matière de protection contre les menaces pour la sécurité publique susceptibles de déboucher  sur une infraction pénale et de prévention de telles menaces. Elles s'appliquent, d'autre part, à tout autre organisme ou entité à qui une disposition de droit interne a confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique. Ce faisant, le législateur a suffisamment défini les catégories de personnes susceptibles de mettre en œuvre les traitements de données en cause. En second lieu, les dispositions contestées prévoient que le traitement de données sensibles n'est possible qu'en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne en cause, et s'il est autorisé par une disposition législative ou réglementaire, s'il vise à protéger les intérêts vitaux d'une personne physique ou s'il porte sur des données manifestement rendues publiques par la personne en cause. En mentionnant ainsi les « garanties appropriées pour les droits et libertés », qui s'ajoutent à celles prévues au chapitre XIII de la loi du 6 janvier 1978, le législateur a entendu faire référence aux règles relatives à la collecte, à l'accès et à la sécurisation des données, déterminées au cas par cas en fonction de la finalité de chaque traitement en cause. Le législateur n'est donc pas resté en deçà de la compétence que lui attribue l'article 34 de la Constitution pour fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Le grief tiré de l'incompétence négative est écarté.

(2018-765 DC, 12 June 2018, cons. 73, 75, 76, 77, JORF n°0141 du 21 juin 2018 texte n° 2)

Aux termes du second alinéa de l'article 1er de la loi organique du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes, pris sur le fondement du dernier alinéa de l'article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l'organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34. En prévoyant que la Commission nationale de l'informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu'à la demande d'un président de groupe d'une assemblée parlementaire, le législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi. Le grief tiré de l'incompétence négative est écarté.

(2018-765 DC, 12 June 2018, cons. 15, 16, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 3. NORMES LÉGISLATIVES ET RÉGLEMENTAIRES
  • 3.7. RÉPARTITION DES COMPÉTENCES PAR MATIÈRES
  • 3.7.18. Compétence du législateur précisée ou complétée par une loi organique
  • 3.7.18.1. Autorités administratives indépendantes et autorités publiques indépendantes

Aux termes du second alinéa de l'article 1er de la loi organique du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes, pris sur le fondement du dernier alinéa de l'article 34 de la Constitution, la loi « fixe les règles relatives à la composition et aux attributions ainsi que les principes fondamentaux relatifs à l'organisation et au fonctionnement des autorités administratives indépendantes et des autorités publiques indépendantes ». Il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34. En prévoyant que la Commission nationale de l'informatique et des libertés peut être consultée sur une proposition de loi relative à la protection ou au traitement de données à caractère personnel par le président, par les commissions compétentes ainsi qu'à la demande d'un président de groupe d'une assemblée parlementaire, le législateur a suffisamment défini la nouvelle attribution ainsi conférée à cette autorité administrative indépendante. Les conditions et modalités selon lesquelles cette faculté peut être mise en œuvre ne relèvent pas du domaine de la loi. Le grief tiré de l'incompétence négative est écarté.

(2018-765 DC, 12 June 2018, cons. 15, 16, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 4. DROITS ET LIBERTÉS
  • 4.2. PRINCIPES GÉNÉRAUX APPLICABLES AUX DROITS ET LIBERTÉS CONSTITUTIONNELLEMENT GARANTIS
  • 4.2.2. Garantie des droits
  • 4.2.2.6. Séparation des pouvoirs

Griefs tiré d'atteinte à la garantie des droits et à l'article 21 de la Constitution, du fait, d'une part, de l'autorisation donnée à l'administration de renoncer, par le recours à un algorithme, à l'exercice de son pouvoir d'appréciation des situations individuelles et, d'autre part, de la capacité de ces algorithmes à réviser eux-mêmes les règles qu'ils appliquent.
Les dispositions contestées autorisent l'administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme. Toutefois, en premier lieu, ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
En deuxième lieu, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311–3–1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
En dernier lieu, le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.
Il résulte de tout ce qui précède que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Les griefs tirés de la méconnaissance de l'article 16 de la Déclaration de 1789 et de l'article 21 de la Constitution sont écartés.

(2018-765 DC, 12 June 2018, cons. 68, 69, 70, 71, 72, JORF n°0141 du 21 juin 2018 texte n° 2)

L'article 4 de la loi relative à la protection des données personnelles modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative ou publique indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.
Ni les dispositions contestées ni le reste de l'article 4 de la loi déférée ne modifient les règles relatives à la séparation au sein de la Commission nationale de l'informatique et des libertés entre, d'une part, les fonctions de poursuite et d'instruction et, d'autre part, celles de jugement et de sanction. Dès lors, l'argumentation des requérants sur ce point n'est pas opérante à l'encontre des dispositions de l'article 4. Le grief est écarté.

(2018-765 DC, 12 June 2018, cons. 18, 21, 23, JORF n°0141 du 21 juin 2018 texte n° 2)

L'article 5 de la loi relative à la protection des données personnelles étend le droit d'accès et le droit de communication reconnu par l'article 44 de la loi du 6 janvier 1978 aux membres et agents habilités de la Commission nationale de l'informatique et des libertés. Son 5° complète cet article 44 d'un paragraphe V, qui exclut le contrôle de la commission sur les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions.
En premier lieu, la Commission nationale de l'informatique et des libertés n'exerce ses pouvoirs de contrôle que dans les limites et sous les garanties prévues par le règlement du 27 avril 2016 et la loi du 6 janvier 1978. En particulier, elle ne les exerce que, conformément au 2° de l'article 11 de cette loi, afin de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la même loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires du droit de l'Union européenne et les engagements internationaux de la France. En second lieu et en tout état de cause, les opérations de contrôle de la Commission nationale de l'informatique et des libertés ne sauraient mettre en cause le fonctionnement régulier des pouvoirs publics constitutionnels. Le grief tiré de la méconnaissance du principe de séparation des pouvoirs est écarté.

(2018-765 DC, 12 June 2018, cons. 25, 27, 28, 29, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 4. DROITS ET LIBERTÉS
  • 4.5. DROIT AU RESPECT DE LA VIE PRIVÉE (voir également ci-dessous Droits des étrangers et droit d'asile, Liberté individuelle et Liberté personnelle)
  • 4.5.2. Traitements de données à caractère personnel (voir également Titre 15 Autorités indépendantes)
  • 4.5.2.1. Fichiers de police et de justice
  • 4.5.2.1.1. Fichiers de la police et de la Gendarmerie

L'article 230-8 du code de procédure pénale définit les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale.
D'une part, en autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public. D'autre part, figurent dans ce fichier des données particulièrement sensibles pouvant être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Par ailleurs, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées.
Toutefois, d'une part, les dispositions contestées permettent à toute personne ayant bénéficié d'une décision définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou de mention au casier judiciaire, de non-lieu ou de classement sans suite, de demander sans délai l'effacement ou la rectification des données la concernant. D'autre part, en l'absence d'une telle décision, la personne peut demander l'effacement ou la rectification des données dès lors qu'il ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire. Indépendamment des règles légales de retrait des  mentions d'une condamnation au bulletin n° 2, le juge pénal peut exclure expressément une telle mention lorsqu'il prononce cette condamnation ou par jugement rendu postérieurement sur la requête du condamné. Enfin, la mention est supprimée en cas de réhabilitation acquise de plein droit ou de réhabilitation judiciaire. Absence de méconnaissance du droit au respect de la vie privée.

(2018-765 DC, 12 June 2018, cons. 78, 80, 81, 82, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 4. DROITS ET LIBERTÉS
  • 4.5. DROIT AU RESPECT DE LA VIE PRIVÉE (voir également ci-dessous Droits des étrangers et droit d'asile, Liberté individuelle et Liberté personnelle)
  • 4.5.2. Traitements de données à caractère personnel (voir également Titre 15 Autorités indépendantes)
  • 4.5.2.4. Fichiers privés d'infractions

Les dispositions contestées modifient l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016. En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général. En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi du 6 janvier 1978. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.

(2018-765 DC, 12 June 2018, cons. 41, 42, 47, 48, 49, 50, 51, 52, 53, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 4. DROITS ET LIBERTÉS
  • 4.23. PRINCIPES DE DROIT PÉNAL ET DE PROCÉDURE PÉNALE
  • 4.23.3. Principes de nécessité et de proportionnalité

Le 2° de l'article 7 de la loi relative à la protection des données réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
Il ressort du paragraphe I de l'article 45 de la loi du 6 janvier 1978 que l'avertissement qu'il prévoit est adressé par le président de la commission au responsable d'un traitement de données ou à son sous-traitant lorsque « les opérations de traitements envisagées » sont susceptibles de violer les dispositions du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978. Ainsi, cet avertissement est adressé, à titre préventif, à son destinataire avant même la commission d'un manquement. Il n'est donc pas une sanction ayant le caractère d'une punition. Ainsi, dès lors que ni les avertissements ni les mises en demeure prononcées par le président de la commission ne constituent des sanctions ayant le caractère de punition, la circonstance qu'une sanction prévue par le paragraphe III de l'article 45 se cumule avec ces mesures ne saurait être regardé comme constituant un cumul de sanctions. Le grief tiré de la méconnaissance du principe de proportionnalité des peines est écarté.

(2018-765 DC, 12 June 2018, cons. 31, 36, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 5. ÉGALITÉ
  • 5.1. ÉGALITÉ DEVANT LA LOI
  • 5.1.3. Respect du principe d'égalité : absence de différence de traitement
  • 5.1.3.12. Applications diverses

Le 2° de l'article 7 de la loi relative à la protection des données personnelles réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
En prévoyant que le président de la Commission nationale de l'informatique et des libertés peut saisir la formation restreinte en vue du prononcé de l'une des mesures ou sanctions prévues par le paragraphe III de l'article 45 lorsque le responsable d'un traitement ou son sous-traitant n'a pas respecté les obligations découlant du règlement du 27 avril 2016 ou de la loi du 6 janvier 1978, le cas échéant en complément d'un avertissement ou d'une mise en demeure, le législateur n'a institué aucune différence de traitement. Le grief tiré de la méconnaissance du principe d'égalité devant la loi est écarté.

(2018-765 DC, 12 June 2018, cons. 31, 38, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 5. ÉGALITÉ
  • 5.1. ÉGALITÉ DEVANT LA LOI
  • 5.1.4. Respect du principe d'égalité : différence de traitement justifiée par une différence de situation
  • 5.1.4.5. Droit pénal et procédure pénale
  • 5.1.4.5.8. Fichiers

L'article 36 réécrit l'article 230-8 du code de procédure pénale définissant les conditions dans lesquelles peuvent être effacées les mentions relatives aux antécédents judiciaires figurant dans un traitement de données à caractère personnel opéré aux fins de faciliter la constatation des infractions à la loi pénale.
En application des dispositions contestées, le législateur a traité différemment les personnes ayant fait l'objet d'une décision de relaxe ou d'acquittement devenue définitive et celles ayant fait l'objet d'une décision de non-lieu ou de classement sans suite. Alors que, pour les premières, les données personnelles doivent être effacées d'office du traitement, pour les secondes, les données sont conservées sauf décision contraire du procureur de la République. Toutefois, cette différence de traitement correspond à une différence de situation, les décisions de relaxe ou d'acquittement étant revêtues de l'autorité de la chose jugée et faisant obstacle à ce que la personne soit à nouveau condamnée ou poursuivie pour les mêmes faits alors que les décisions de non-lieu à l'issue d'une instruction ou de classement sans suite n'entraînent pas l'extinction de l'action publique. Cette différence de traitement est en rapport avec l'objet de la loi, qui est de permettre la conservation de données aux fins notamment de faciliter la constatation des infractions à la loi pénale. Le grief tiré de la méconnaissance du principe d'égalité devant la loi est écarté.

(2018-765 DC, 12 June 2018, cons. 78, 83, 84, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
  • 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
  • 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
  • 7.4.4.1. Notion de loi de transposition et de loi d'adaptation

En les soumettant à un contrôle normal, le Conseil constitutionnel juge implicitement que les 2° et 3° de l'article 13 de la loi déférée ne se bornent pas à tirer les conséquences nécessaires de dispositions du règlement européen du 27 avril 2016 auquel la loi a pour objet d'adapter le droit interne.

(2018-765 DC, 12 June 2018, cons. 48, 49, 50, 51, 52, 53, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
  • 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
  • 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
  • 7.4.4.2. Absence de contrôle de la constitutionnalité de la loi de transposition ou d'adaptation
  • 7.4.4.2.2. Exception fondée sur la clause de sauvegarde
  • 7.4.4.2.2.1. Clause de sauvegarde fondée sur l'identité constitutionnelle de la France

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne.

(2018-765 DC, 12 June 2018, cons. 2, 3, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
  • 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
  • 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
  • 7.4.4.2. Absence de contrôle de la constitutionnalité de la loi de transposition ou d'adaptation
  • 7.4.4.2.4. Autres exceptions à l'absence de contrôle
  • 7.4.4.2.4.1. Incompétence négative du législateur

Les exigences constitutionnelles qui se déduisent de l'article 88-1 relatives aux limites du contrôle de constitutionnalité sur les lois de transposition d'une directive européenne ou sur celles adaptant le droit interne à un règlement européen n'ont pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement telle qu'elle est déterminée par la Constitution.

(2018-765 DC, 12 June 2018, cons. 2, 3, 4, JORF n°0141 du 21 juin 2018 texte n° 2)

L'article 10 du règlement européen du 27 avril 2016 n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l'autorité publique ou » sont entachés d'incompétence négative. Censure.

(2018-765 DC, 12 June 2018, cons. 44, 45, 46, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
  • 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
  • 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
  • 7.4.4.3. Contrôle de l'exigence de bonne transposition ou de correcte adaptation du droit interne au texte européen
  • 7.4.4.3.1. Conditions du contrôle

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution). Il appartient au Conseil constitutionnel, saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne, de veiller au respect de cette exigence. Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne. Toutefois, le contrôle qu'il exerce à cet effet est soumis à une double limite. En premier lieu, la transposition d'une directive ou l'adaptation du droit interne à un règlement ne sauraient aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti. En l'absence de mise en cause d'une telle règle ou d'un tel principe, le Conseil constitutionnel n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne. En second lieu, devant statuer avant la promulgation de la loi dans le délai prévu par l'article 61 de la Constitution, le Conseil constitutionnel ne peut saisir la Cour de justice de l'Union européenne sur le fondement de l'article 267 du traité sur le fonctionnement de l'Union européenne. En conséquence, il ne saurait déclarer non conforme à l'article 88-1 de la Constitution qu'une disposition législative manifestement incompatible avec la directive qu'elle a pour objet de transposer ou le règlement auquel elle adapte le droit interne. En tout état de cause, il appartient aux juridictions administratives et judiciaires d'exercer le contrôle de compatibilité de la loi au regard des engagements européens de la France et, le cas échéant, de saisir la Cour de justice de l'Union européenne à titre préjudiciel.

(2018-765 DC, 12 June 2018, cons. 2, 3, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 7. DROIT INTERNATIONAL ET DROIT DE L'UNION EUROPÉENNE
  • 7.4. QUESTIONS PROPRES AU DROIT COMMUNAUTAIRE OU DE L'UNION EUROPÉENNE
  • 7.4.4. Lois de transposition des directives communautaires ou de l'Union européenne ou d'adaptation du droit interne aux règlements européens
  • 7.4.4.3. Contrôle de l'exigence de bonne transposition ou de correcte adaptation du droit interne au texte européen
  • 7.4.4.3.2. Applications
  • 7.4.4.3.2.2. Absence d'incompatibilité manifeste

L'article 20 introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ». Selon le deuxième alinéa de cet article : « Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur ». Selon le 1 de l'article 8 du règlement du 27 avril 2016 : « Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. - Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». Il résulte de l'emploi des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l'autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l'autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Il en résulte que le grief tiré de la méconnaissance de l'article 88-1 de la Constitution est écarté.

(2018-765 DC, 12 June 2018, cons. 60, 62, 63, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 9. PRÉSIDENT DE LA RÉPUBLIQUE ET GOUVERNEMENT
  • 9.2. GOUVERNEMENT
  • 9.2.3. Premier ministre
  • 9.2.3.3. Pouvoir réglementaire

Griefs tiré d'atteinte à la garantie des droits et à l'article 21 de la Constitution, du fait de l'autorisation donnée à l'administration à renoncer, par le recours à un algorithme, à l'exercice de son pouvoir d'appréciation des situations individuelles et de la capacité de ces algorithmes à réviser eux-mêmes les règles qu'ils appliquent.
Les dispositions contestées autorisent l'administration à adopter des décisions individuelles ayant des effets juridiques ou affectant de manière significative une personne sur le seul fondement d'un algorithme. Toutefois, en premier lieu, ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement. Elles n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.
En deuxième lieu, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions. D'une part, conformément à l'article L. 311–3–1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts énoncés au 2° de l'article L. 311-5 du code des relations entre le public et l'administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. D'autre part, la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième du code des relations entre le public et l'administration. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme. La décision administrative est en outre, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme. Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
En dernier lieu, le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.
Il résulte de tout ce qui précède que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme. Les griefs tirés de la méconnaissance de l'article 16 de la Déclaration de 1789 et de l'article 21 de la Constitution sont écartés.

(2018-765 DC, 12 June 2018, cons. 68, 69, 70, 71, 72, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 10. PARLEMENT
  • 10.3. FONCTION LEGISLATIVE
  • 10.3.10. Qualité de la loi
  • 10.3.10.3. Objectif d'accessibilité et d'intelligibilité (voir également ci-dessus Principe de clarté de la loi)

Les requérants reprochaient au législateur d'avoir, afin d'adapter la législation nationale à un réglement et à une directive européens, modifié la législation existante et, ce faisant, introduit des divergences résultant de l'articulation entre cette législation et le droit européen.
Le Conseil constitutionnel juge que si le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n'en résulte pas une inintelligibilité de la loi.

(2018-765 DC, 12 June 2018, cons. 7, JORF n°0141 du 21 juin 2018 texte n° 2)

Il était soutenu que la loi déférée méconnaissait l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi au motif qu'elle ne réglait pas clairement les modalités de son application dans les collectivités constituant des pays et territoires d'outre-mer dans lesquels le droit de l'Union européenne n'est pas applicable. En effet, selon les requérants, la loi du 6 janvier 1978, modifiée par le texte déféré, ne serait désormais compréhensible que combinée avec les dispositions du règlement européen du 27 avril 2016 relatif à la protection des données à caractère personnel, lequel n'est pas applicable dans ces territoires.
Le Conseil constitutionnel juge que, si le texte déféré ne prévoit pas de dispositions déterminant ses modalités d'application dans les collectivités d'outre-mer, en revanche, le 3° du paragraphe I de son article 32 habilite le Gouvernement à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à « l'adaptation et à l'extension à l'outre–mer des dispositions prévues aux 1° et 2° ainsi qu'à l'application à Saint–Barthélemy, à Saint–Pierre–et–Miquelon, en Nouvelle–Calédonie, en Polynésie française, à Wallis–et–Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi n° 78–17 du 6 janvier 1978 précitée relevant de la compétence de l'État ».
Par ailleurs, La Nouvelle-Calédonie, la Polynésie française, les Terres australes et antarctiques françaises, Wallis-et-Futuna, Saint-Pierre-et-Miquelon et Saint-Barthélemy sont des pays et territoires d'outre-mer relevant du régime spécial d'association à l'Union européenne prévu par la quatrième partie du traité sur le fonctionnement de l'Union européenne. Le règlement et la directive du 27 avril 2016 ne s'y appliquent pas. Aussi, en Nouvelle-Calédonie, en Polynésie française, dans les Terres australes et antarctiques françaises et à Wallis-et-Futuna, qui sont régis par le principe de spécialité législative, la loi du 6 janvier 1978 continuera à s'appliquer dans sa rédaction antérieure à la loi déférée. À Saint-Pierre-et-Miquelon et à Saint-Barthélemy, qui sont régis par le principe d'identité législative, la loi déférée est applicable, y compris en ce qu'elle renvoie à des dispositions du règlement du 27 avril 2016.
Par voie de conséquence, il ne résulte pas de l'absence de disposition spécifique déterminant les modalités d'application de la loi déférée dans les collectivités d'outre-mer précitées une méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi.

(2018-765 DC, 12 June 2018, cons. 5, 8, 9, 10, 11, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 11. CONSEIL CONSTITUTIONNEL ET CONTENTIEUX DES NORMES
  • 11.5. GRIEFS (contrôle a priori des lois - article 61 de la Constitution)
  • 11.5.2. Griefs inopérants, manquant en fait, surabondants ou mal dirigés
  • 11.5.2.2. Griefs manquant en fait (exemples)

Les dispositions contestées se bornent à excepter les traitements mis en œuvre par les organismes d'assurance maladie complémentaire, pour le service de leurs prestations, de l'application des dispositions particulières du chapitre IX de la loi du 6 janvier 1978 relatives aux traitements des données de santé. Par conséquent, d'une part, elles n'exemptent pas ces mêmes traitements du respect des autres dispositions du règlement européen du 27 avril 2016 et de la loi du 6 janvier 1978 relatives aux principes régissant le traitement des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées. D'autre part, elles n'ont, en tout état de cause, pas pour effet d'autoriser ces organismes à imposer à leurs assurés le choix d'un médecin ni d'interdire la prise, par ce dernier, de décisions médicales. Le grief tiré de l'atteinte à « la liberté pour le patient de choisir son médecin et la liberté du médecin de choisir la thérapie la plus adaptée au patient » manque en fait.

(2018-765 DC, 12 June 2018, cons. 55, 56, 57, 58, 59, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 12. JURIDICTIONS ET AUTORITÉ JUDICIAIRE
  • 12.1. JURIDICTIONS ET SÉPARATION DES POUVOIRS
  • 12.1.2. Indépendance de la justice et des juridictions
  • 12.1.2.2. Applications
  • 12.1.2.2.1. Séparation des pouvoirs

L'article 4 de la loi relative à la protection des données modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative ou publique indépendante, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789.
Ni les dispositions contestées ni le reste de l'article 4 de la loi déférée ne modifient les règles relatives à la séparation au sein de la Commission nationale de l'informatique et des libertés entre, d'une part, les fonctions de poursuite et d'instruction et, d'autre part, celles de jugement et de sanction. Dès lors, l'argumentation des requérants sur ce point n'est pas opérante à l'encontre des dispositions de l'article 4. Le grief est écarté.

(2018-765 DC, 12 June 2018, cons. 18, 21, 23, JORF n°0141 du 21 juin 2018 texte n° 2)
  • 15. AUTORITÉS INDÉPENDANTES
  • 15.2. GARANTIES D'INDÉPENDANCE
  • 15.2.1. Membres
  • 15.2.1.3. Obligations d'impartialité
  • 15.2.1.3.4. Commission nationale de l'informatique et des libertés

L'article 4 de la loi relative à la protection des données personnelles modifie les articles 17 et 18 de la loi du 6 janvier 1978 relatifs à la procédure suivie devant la formation restreinte de la Commission nationale de l'informatique et des libertés, laquelle prononce les sanctions à l'encontre des responsables de traitements de données ou de leurs sous-traitants en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. En particulier, le 2° du même article 4 insère un deuxième alinéa à l'article 17 de cette loi afin de prévoir que les membres de la formation restreinte délibèrent hors la présence des agents de la commission, à l'exception de ceux en charge de la tenue de la séance.
Le deuxième alinéa de l'article 17 de la loi du 6 janvier 1978 prévoit que seuls parmi les agents de la Commission nationale de l'informatique et des libertés peuvent être présents au cours des délibérés de sa formation restreinte ceux chargés de la tenue de la séance. La circonstance que ces agents sont placés sous l'autorité du président de cette commission ne méconnaît pas le principe d'impartialité.

(2018-765 DC, 12 June 2018, cons. 18, 21, 22, JORF n°0141 du 21 juin 2018 texte n° 2)

Le 2° de l'article 7 de la loi relative à la protection des données personnelles réécrit l'article 45 de la loi du 6 janvier 1978 pour prévoir les différentes mesures susceptibles d'être prises par la Commission nationale de l'informatique et des libertés en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de la loi du 6 janvier 1978. Les paragraphes I et II de cet article 45 permettent au président de la commission de prononcer respectivement des avertissements ou des mises en demeure. Son paragraphe III prévoit que le président de la commission, le cas échéant après avoir adressé un avertissement ou prononcé une mise en demeure, peut saisir la formation restreinte de la commission en vue du prononcé d'une ou plusieurs mesures, dont une amende pouvant atteindre, en vertu de la deuxième phrase de son 7°, 20 millions d'euros ou, s'agissant d'une entreprise, 4 % de son chiffre d'affaires.
Lorsqu'un manquement constaté est susceptible de faire l'objet d'une mise en conformité, le premier alinéa du paragraphe II de l'article 45 permet au président de la commission de mettre en demeure le responsable du traitement ou son sous-traitant de prendre les mesures nécessaires à cette fin. Elle vise ainsi à permettre à son destinataire de se mettre en conformité avec le règlement du 27 avril 2016 ou la loi du 6 janvier 1978. Sa méconnaissance n'emporte aucune conséquence. Si cette mise en demeure peut être rendue publique, à la demande du président et sur décision du bureau de la commission, cette publicité ne lui confère pas, en l'espèce, la nature d'une sanction ayant le caractère d'une punition. Le grief tiré de la méconnaissance du principe d'impartialité est écarté comme inopérant.

(2018-765 DC, 12 June 2018, cons. 31, 34, JORF n°0141 du 21 juin 2018 texte n° 2)
À voir aussi sur le site : Communiqué de presse, Commentaire, Dossier documentaire, Texte adopté, Saisine par 60 sénateurs, Observations du Gouvernement, Liste des contributions extérieures, Dossier législatif AN, Dossier législatif Sénat, Références doctrinales.