Retour
à l'indexIV - LE REGIME DE L'EXAMEN PREALABLE
1 - Champ d'application
La directive ne soumet à un contrôle a priori que les traitements "susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées" (article 20-1) ; leur nombre, précise également la directive, (considérant 54) "devrait être très restreint". Cette dernière indication étant elle-même parfaitement cohérente avec la position (considérant 54) suivant laquelle "le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante". La directive précise également (considérant 53) les critères permettant d'apprécier la dangerosité des traitements en cause : leur nature, leur portée ou leurs finalités.
Ces dispositions soulèvent des questions qui sont parmi les plus délicates de celles qu'aura à examiner le législateur national dans le cadre de la transposition.
a) Mode de détermination des traitements soumis à examen préalable.
A priori : deux solutions sont possibles :
De ces deux solutions la première nous paraît préférable pour les raisons suivantes :
b) Analyse critique des catégories de traitements devant faire l'objet d'un examen préalable.
Cette analyse peut utilement, pensons-nous, porter sur la liste proposée par la CNIL dans sa note du 14 mai 1996, qui nous paraît refléter une conception maximaliste. Etant précisé que le cas particulier des traitements "de souveraineté" mentionnés ci-dessus en II 1 - sera examiné plus particulièrement ci-après en VI, seules deux catégories de traitements de cette liste nous paraissent relever clairement de l'examen préalable. Il s'agit :
(3) Des traitements "portant sur des catégories particulières de données" au sens de l'article 8 de la directive, c'est-à-dire celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la santé et à la vie sexuelle (appelées également : données sensibles).
S'agissant de ces traitements, la règle posée par la directive (article 81) est en effet l'interdiction. Le même article prévoit lui-même toute une série d'exceptions à ce principe d'interdiction mais précisément, l'examen préalable aura utilement pour objet de vérifier que les traitements envisagés restent bien dans le cadre défini par la loi. Il y a lieu toutefois de mentionner une difficulté. Prise à la lettre, la définition des données "sensibles" pourrait conduire à faire considérer comme telles toutes les images de personnes - puisque de telles images révèlent toujours, au moins, l'origine ethnique. Par suite, se trouveraient attraits dans le champs du contrôle préalable tous les traitements comportant ces images, alors que tel n'est sans doute pas le sens de la directive. Il serait donc opportun, dans la transposition, de réserver les cas dans lesquels la nature particulière des données en cause (images) et la destination des traitements (par exemple : un fichier de mannequins), ne justifient pas le contrôle préalable.
(8) Des traitements destinés à exclure les personnes d'un droit, d'une prestation ou d'un contrat. Cette catégorie est mentionnée à titre d'exemple par la directive elle-même (considérant 53). La CNIL cite à titre d'exemples les fichiers communs d'incidents, ou de mauvais payeurs.
Les autres catégories de la liste appellent les observations suivantes :
(2) Traitements mettant en oeuvre une nouvelle technologie : eu égard au caractère parfaitement indéterminé de la notion de nouvelle technologie, noté par la CNIL elle-même, il ne nous parait pas possible de retenir cette catégorie d'une manière générale. Mais comme on l'a déjà indiqué, le législateur pourrait renvoyer au décret en Conseil d'Etat la détermination des cas dans lesquels l'utilisation d'une nouvelle technologie pourra justifier le contrôle a priori sous réserve, encore une fois d'une vérification du caractère constitutionnel de ce renvoi. Le décret permettra tout à la fois de désigner avec toute la précision souhaitable les traitements en cause (ce que ne pourrait faire la loi) et la modulation dans le temps de ce contrôle, en fonction de l'évolution des technologies: une technologie nouvelle ne le reste sans doute jamais très longtemps.
(4) Traitements pouvant être mis en oeuvre par dérogation aux principes protecteurs des personnes prévus à l'article 13. Il nous paraît difficile de considérer a priori tous ces traitements comme présentant des risques particuliers au regard des droits et libertés ; d'autant plus que toutes les possibilités de dérogations prévues à l'article 13 ne seront pas nécessairement retenues dans la loi de transposition. Ce point sera plus particulièrement examiné ci-après, en VIII, mais il paraît exclu, par exemple, que puissent être admises des dérogations à certains principes relatifs à la qualité des données énumérées à l'article 6-1 de la directive, comme par exemple le traitement loyal et licite des données, ou l'existence d'une finalité explicite et légitime.
Par ailleurs, il ressort des motifs énoncés à l'article 13 comme de nature à justifier les dérogations aux articles 6, 10, 11, 12 et 21, que les traitements en cause seront mis en oeuvre par des administrations ou organismes publics. Il pourra leur être imposé de préciser la nature et l'étendue des dérogations dont auront bénéficié leurs traitements dans des actes réglementaires soumis au contrôle du juge de l'excès de pouvoir. Cette forme de contrôle, plus fidèle à l'esprit de la directive que le contrôle a priori, peut être regardée comme offrant des garanties suffisantes en termes de protection des libertés.
(5) et (6) Traitements recourant à l'enregistrement du numéro national d'identification de tout autre identifiant de portée générale, et traitements constitués par des interconnexions entre fichiers distincts.
Le cas particulier de ces traitements sera examiné ci-après en VI.
(7) Traitements conduisant à des décisions individuelles automatisées prévues par l'article 15-2.
Il s'agit d'une catégorie difficile à appréhender compte tenu de la rédaction de l'article 15-1, qui fait référence au droit de toute personne de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données. Si les effets juridiques en question consistent en l'exclusion d'un droit, d'une prestation ou d'un contrat, il s'agit d'une catégorie de traitements déjà individualisée (au 8 dans la "liste CNIL") et d'ailleurs retenu comme devant faire l'objet d'un examen préalable. Dès lors, on voit mal le contenu exact de la catégorie 7 : il y aurait lieu d'affiner l'analyse sur ce point, à partir d'informations complémentaires.
(9) Enquêtes statistiques obligatoires
Cette catégorie de traitements ne nous paraît pas devoir relever d'un examen préalable. La CNIL justifie sa position, sur ce point, en rappelant que selon la loi du 7 juin 1951, le refus de répondre est possible d'une amende administrative, ce qui confère selon elle "aux questions posées une sensibilité particulière". Mais d'une part, on sait qu'en pratique les sanctions administratives ne sont jamais infligées, même en cas de refus avéré de répondre, en raison de la facilité à remplacer un ménage dans un échantillon donné. D'autre part, s'il arrive à l'INSEE de poser dans certaines de ses enquêtes des questions ''indiscrètes" qui justifieraient un contrôle a priori au titre de la catégorie ci-dessus mentionnée des traitements de données sensibles, il est clair que les enquêtes obligatoires ne sont pas nécessairement à celles qui comportent le plus de risques au regard des libertés. Leur caractère obligatoire leur est en effet conféré surtout pour leur intérêt en termes de recueil d'informations statistiques : par exemples, enquêtes budget-consommation des ménages.
(10) Traitements concernant la totalité de la population "ou une partie très largement majoritaire de la population concernée".
La question de savoir s'il faut inclure cette catégorie dans le champ du contrôle a priori peut donner lieu à hésitation. D'un côté, la taille de la population concernée est indépendante de la nature des données recueillies et celles-ci peuvent être "anodines". Mais d'un autre côté, de tels traitements manient et fixent une masse considérable d'information, ce qui peut justifier une vigilance particulière.
(11) Traitements de données faisant l'objet d'un flux transfrontière
En tout état de cause ces traitements font l'objet d'un régime particulier qui sera examiné ci-après en IX.
2 - Procédure à suivre à l'issue de examen préalable.
A l'issue de l'examen préalable, effectué par l'autorité de contrôle, la question se pose de savoir dans quelles conditions le traitement en cause peut être mis en oeuvre : dans le cas où un avis est émis, comment s'articule-t-il avec la décision prise au vu de cet avis ? Et à qui appartient le pouvoir de décision ?
Trois solutions sont possibles :
1 - l'autorité de contrôle émet dans tous les cas un avis, qui peut être publié, mais la décision de mettre en oeuvre le traitement reste au responsable du traitement, qu'il soit public ou privé. Dans le cas où l'avis est défavorable ou assorti de réserves, il lui appartient seul de décider d'éventuelles modifications ; la décision est prise "à ses risques et périls".
Observations : c'est une solution "minimale" en ce qui concerne les pouvoirs de l'autorité de contrôle dans le cadre du contrôle a priori. S'agissant des traitements du secteur privé qui, aujourd'hui, ne sont pas soumis à cette forme de contrôle, il n'y aurait en pratique guère de changement par rapport à la situation actuelle. Mais en ce qui concerne les traitements du secteur public le contrôle serait sensiblement allégé par rapport au régime actuel des articles 31 (données sensibles : décret en Conseil d'Etat sur avis conforme de la CNIL) et 15 (avis défavorable ne pouvant être surmonté que par décret en Conseil d'Etat) de la loi de 1978.
Cette solution pourrait donc être analysée comme un amoindrissement de la protection, et présenter un risque d'inconstitutionnalité.
2 - L'autorité de contrôle émet un avis ; dans le cas où cet avis est défavorable, la décision de mettre en oeuvre le traitement ne peut être prise ou autorisée que par décision gouvernementale (décret en Conseil d'Etat). C'est une solution proche du régime de l'article 15 de la loi de 1978. Aussi, dans le cas de traitements publics n'y aurait-il guère de changement, étant toutefois observé : 1) qu'actuellement, dans le cas où ces traitements portent sur des données sensibles, le décret en Conseil d'Etat doit être pris sur avis conforme de la CNIL, il y aurait donc une différence sur ce point ; 2) qu'en pratique ce système revient à donner un pouvoir de décision à la CNIL, puisque la pratique de la loi de 1978 nous a appris que les conditions ne se sont jamais réunies pour permettre de surmonter par décret en Conseil d'Etat un avis défavorable de la CNIL. Mais dans le cas d'un traitement du secteur privé, la nouveauté serait totale et probablement inacceptable : ce système ferait dépendre la mise en oeuvre de ce traitement d'une double appréciation extérieure au responsable du traitement, celle de l'autorité de contrôle et celle de l'autorité gouvernementale. Au surplus il paraît totalement illusoire d'imaginer qu'un avis défavorable de l'autorité de contrôle puisse être dans ce cas surmonté par une décision gouvernementale : on se retrouverait exactement dans le même cas de figure que celui de l'article 15 de la loi de 1978. Cette solution paraît donc difficilement praticable.
3 - L'autorité de contrôle, à l'issue de son examen, décide d'autoriser ou non le traitement. Cette décision est motivée au regard de la loi, de telle sorte qu'en cas de refus, le responsable du traitement dispose d'un recours extérieur, de nature juridictionnelle. Cette solution est à la fois la plus logique et la plus claire en ce qui concerne le partage des responsabilités. Elle appelle toutefois deux séries d'observation :
- ce régime de décision ou de refus d'autorisation, apparemment simple dans son principe, cadre mal avec la pratique suivie jusqu'ici par la CNIL, de l'avis défavorable assorti de réserves, qui s'inscrit dans la logique de codécision analysée ci-dessus. Si le responsable du traitement tient absolument à son projet initial, une telle forme d'avis ne peut s'analyser que comme un avis défavorable. Mais si l'expression des réserves donne lieu à des échanges qui l'amènent à modifier son projet, le responsable du traitement accepte, dans une certaine mesure, de s'en remettre à l'instance de contrôle pour l'assister dans la conception même de son projet. C'est cette dialectique qui est au coeur du processus de codécision. Diversement appréciée du côté du secteur public, cette pratique est difficilement envisageable pour les traitements du secteur privé, à supposer qu'il se trouve effectivement des traitements de cette nature dans le champ d'application du contrôle a priori. Il faut donc que l'examen préalable conduise à une décision clairement identifiable, qui puisse directement faire l'objet d'un recours juridictionnel.
- Il paraît difficile de faire accepter le principe d'une décision de l'autorité de contrôle pour les traitements de souveraineté, lesquels, exclus du champ d'application de la directive, pourront, dans la nouvelle loi, faire l'objet de dispositions spécifiques (voir observations ci-dessus en II). On voit mal comment la mise en oeuvre de ces traitements pourrait relever d'une décision autre que gouvernementale. Le cas particulier de ces traitements sera examiné ci-après en VI.
a) Procédure.
La directive ne prévoit pas le délai pour l'examen préalable. C'est un manque qu'il faudrait combler par les dispositions réglementaires d'application de la loi. Ces dispositions auraient pour objet de préciser dans le détail les modalités du contrôle a priori, notamment en ce qui concerne l'instruction des dossiers soumis à l'autorité de contrôle.
L'intérêt de fixer un délai pour l'examen préalable se justifie de lui-même par des motifs de sécurité juridique ; mais il faut alors préciser dans quel sens la décision implicite est acquise si aucune décision explicite n'est notifiée dans le délai. Dans le sens des réflexions actuelles sur la réforme de l'Etat, cette décision implicite devrait être réputée positive. Mais se pose alors la question de la conformité de ce système avec la jurisprudence du Conseil constitutionnel dans sa décision du 18 janvier 1995 à propos de la vidéo-surveillance, qui paraît condamner le mécanisme de l'autorisation tacite dans le cas où les systèmes soumis à autorisation comportent des risques "pour la liberté individuelle".
On observe toutefois à cet égard, que le critère retenu par la directive - les "droits et libertés des personnes" - est plus large que celui de la liberté individuelle auquel se réfère le Conseil constitutionnel. Il serait alors prudent de prévoir un régime d'autorisation tacite qui réserve expressément le cas où il existe des risques pour la liberté individuelle. Mais alors, on est logiquement conduit à prévoir que le demandeur soit averti que son traitement se trouve dans ce cas, et ne peut être mis en oeuvre qu'après une autorisation expresse (la CNIL propose, dans sa note du 14 juin 1996 d'aviser l'intéressé par lettre recommandée avec accusé de réception, adressée dans le délai de quinze jours à compter du dossier).
b) Contentieux
Enfin, comme on l'a déjà indiqué, il est nécessaire que la décision de l'autorité de contrôle puisse faire l'objet d'un recours juridictionnel. Il peut se poser un problème de qualification où cette décision se présente comme favorable, mais assortie de conditions ou de réserves. Si ces dernières ne sont pas acceptées par le demandeur, il devrait être clair pour celui-ci que la décision peut être analysée comme un refus d'autorisation (du traitement envisagé dans la demande initiale), lequel peut être déféré au juge de l'excès de pouvoir.
Contactez-nous : info@celog.fr