Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Clémence Durbecq

Master en droit
ISABELLE GELIS

Gestionnaire administrative et ...
Université Toulouse 1 ...

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Communications électroniques > A l'exception d'une disposition, le Conseil constitutionnel valide la loi relative à la protection des données personnelles - Communications électroniques

Informatique et libertés
/ Flash


13/06/2018


A l'exception d'une disposition, le Conseil constitutionnel valide la loi relative à la protection des données personnelles




 
Le Conseil constitutionnel s'est prononcé le 12 juin 2018 sur la loi relative à la protection des données personnelles, dont il avait été saisi par plus de soixante sénateurs. Le texte modifie la législation nationale en matière de protection des données
personnelles afin, d'une part, de l'adapter au règlement (UE) 2016/679 dit "RGPD" ainsi qu'à la directive (UE) 2016/680 du même jour relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données. 

Les sénateurs contestaient, outre un défaut d'accessibilité et d'intelligibilité de l'ensemble de la loi, une dizaine de ses articles. Seule l'une des dispositions a été censurée.

Dans sa décision, le Conseil constitutionnel a étendu sa jurisprudence relative aux lois de transposition d'une directive européenne aux lois ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne : contrôle restreint à l'absence de méconnaissance de l'identité constitutionnelle de la France lorsque la loi se borne à tirer les conséquences nécessaires de dispositions du règlement européen ; contrôle restreint à l'absence d'incompatibilité manifeste entre la loi et le règlement européen ; possible contrôle du respect par le législateur de l'étendue de sa compétence (absence d'incompétence négative). À la différence des directives, les règlements européens sont d'application directe et n'appellent donc pas de mesures législatives pour prendre effet en droit interne, sauf à ce qu'ils prévoient expressément en faveur des États membres une marge d'appréciation.

Amené à se prononcer pour la première fois sur le recours par l'administration à des algorithmes pour l'édiction de ses décisions, le Conseil a notamment relevé que les dispositions contestées n'ont ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire. Se fondant notamment sur ce que le seul recours à un algorithme pour
fonder une décision administrative individuelle est subordonné au
respect de trois
conditions, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d'un algorithme.

De même a été validé l'article 20 de la loi déférée aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel « en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans ».

En revanche, ont été censuré les mots « sous le contrôle de l'autorité publique » figurant à l'article 13 de la loi déférée, modifiant l'article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016. Il a en effet jugé que l'article 10 du RGPD n'autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l'autorité publique ». Or le législateur s'est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d'agir sous le contrôle de l'autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d'un tel traitement de données. En raison de l'ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, le Conseil a jugé que ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Les mots « sous le contrôle de l'autorité publique ou» sont entachés d'incompétence négative et donc jugée contraires à la Constitution.




13 juin 2018 - Légipresse N°361
823 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer de meilleurs services et de meilleures performances, des fonctionnalités de partage, des informations et des publicités adaptées à vos centres d’intérêts, et les statistiques de visites. Pour en savoir plus sur notre politique d'utilisation des cookies.
X Fermer ce message
Powered by Walabiz