Si le Conseil constitutionnel contrôle la loi adaptant en droit interne un règlement de l’Union européenne[1], il a maintenu jusqu’ici sa jurisprudence traditionnelle lorsqu’il examine une loi sur le fondement des articles 61 et 61-1  de la Constitution.  Le Conseil constitutionnel ne procède pas au contrôle de sa compatibilité avec les engagements internationaux et européens de la France « un tel moyen ne saurait être regardé comme grief d’inconstitutionnalité et relève de la compétence des juridictions administratives et judiciaires [2] ».

Avec la pandémie, l’accès aux juges administratifs et judiciaires étant fortement perturbé, le Conseil constitutionnel aurait donc pu à plus forte raison examiner au regard du RGPD la loi du 11 mai 2020 prorogeant l’état d’urgence. Peut-être que l’existence de la loi de 1978 modifiée par ce règlement a évité cet examen ou peut-être qu’il est apparu préférable de laisser au Conseil d’Etat [3]cette confrontation quitte à en fixer les premières limites ? Peu importe finalement les motivations, notons simplement que le règlement du 27 avril 2016 n’est mentionné qu’une seule fois dans la décision du 11 mai 2020 à  propos « des principes régissant les traitements des données à caractère personnel  et aux droits reconnus aux personnes dont les données sont collectées,  notamment leurs droit d’accès,  d’information et de rectification »[4] mais pour ne pas y voir d’atteinte.

C’est donc sans l’appui du RGPD, que le Conseil constitutionnel retient le 11 mai 2020  « l’objectif de valeur constitutionnelle de protection de la santé », ( points 63,  64 ) pour enfermer strictement le  champ des données à caractère personnel …aux seules données strictement nécessaires à la poursuite des quatre finalités de la loi, – démarche très  RGPD compatible –  , ajoutant d’ailleurs pour celle relative à la surveillance épidémiologique et à la recherche contre le virus la suppression des coordonnées des contacts téléphoniques ou électroniques des intéressés. De même, le Conseil constitutionnel retient le respect de la vie privée pour censurer l’emploi à l’accompagnement social des données personnelles recueilles sans consentement ( point 70), exiger des mécanismes d’habilitation des agents pour l’accès à ces données (point 74), et limiter leur conservation au-delà des trois mois après leur collecte ( point 76).

C’est essentiellement à la CNIL de veiller au respect du RGPD en lui reconnaissant une étonnante adaptabilité à cette situation de pandémie.

Le RGPD est compatible avec une pandémie, « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine » ( considérant 46 ). Et quitte même à prévoir des aménagements avec le secret professionnel comme le prévoit la loi avec celui des personnels de santé « Le  traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (Article 9. 2 i).

Le 8 mai,  la CNIL délibère sur SI-DEP et Contact – Covid et les 24 avril et 25 mai pour StopCovid. N’oublions pas que dès le 20 avril, la CNIL s’était prononcée sur des données des patients sur le Hub santé.

Il ne s’agit pas ici de reprendre ces différents avis et délibérations. Limitons-nous à une observation très générale sur ces différents dispositifs de traitements des données personnelles. Tous sont soumis aux mêmes exigences du RGPD par la CNIL bien que seuls les deux premiers aient nécessité une loi d’urgence sanitaire. Le RGPD n’a que faire de la séparation constitutionnelle entre pouvoir législatif (article 34) et  les attributions réglementaires (article 37), et la CNIL exercer son contrôle  sans distinguer entre la loi et la voie réglementaire !

• La CNIL confronte dans les mêmes termes du RGPD les trois dispositifs même si les parlementaires ont exclu des dispositifs techniques requis par l’urgence sanitaire l’information des contacts des personnes infectées par application mobile.
  

La loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions initiales n’a créé que deux traitements d’informations dénommés au décret du 12 mai SI-DEP, les données des personnes infectées, et Contact-Covid pour les personnes en contact avec celles identifiées par le premier système informatique. Ces deux traitements ne requièrent pas l’emploi d’une application mobile. Le fichier des personnes infectées est rempli par les médecins et les responsables des laboratoires d’analyse biologique et d’imagerie médicale. Quant aux informations relatives aux personnes en contact avec des personnes infectées, elles sont saisies par ces mêmes professionnels de la santé, par différents personnels d’organismes publics spécialement habilités ou  proviennent du traitement des informations de SI-DEP. Très clairement, la loi en son article 11 écarte le recours à une application mobile de type Stop Covid : « Sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au Covid-19 ». Dans sa décision, le 11 mai 2020, le Conseil constitutionnel prend acte de cette exclusion.

Bien que soumis à deux régimes juridiques différents par leur origine, ces trois dispositifs sont traités de manière analogue par la CNIL.

 Dès son avis du 8 mai, la CNIL rappelle les exigences applicables aux deux premiers dispositifs autorisés par la loi  « La Commission rappelle que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être apportées. Ainsi, au-delà de son l’avis sur ce projet de décret, la Commission se montrera attentive aux conditions de mise en œuvre de ces traitements, notamment en ce qui concerne les mesures de sécurité prévues. A ce titre, elle demande à être informée des conditions de leur déploiement par la CNAM et le ministère, notamment dans le cadre de la réalisation et de l’évaluation des analyses d’impact relatives à la protection des données (AIPD) qui devront, pour chacun des traitements, être réalisées en application de l’article 35 du RGPD. La Commission demande à ce que celles-ci lui soient transmises dans leur version définitive ainsi que, le cas échéant, leurs mises à jour. »

• L’avis de la CNIL retient comme base légale à Stop Covid la mission d’intérêt public de lutte contre la pandémie et non une quelconque urgence qui avait habilitée le gouvernement à intervenir par ordonnance. 

Le 27 mai, les parlementaires ne votent pas sur une nouvelle loi relative à l’état d’urgence. Ils se prononcent sur une déclaration du gouvernement « relative aux innovations numériques de la lutte contre l’épidémie ». Dans cet intitulé, l’urgence n’apparait pas. Quand le secrétaire d’État au numérique précise que « l’application pouvait être déployée à droit constant sans modifier aucunement la législation existante », il se réfère à l’avis de la CNIL dont la base légale est la mission d’intérêt public de lutte contre la pandémie.  A l’Assemblée nationale, les prises de parole opposent les libertés publiques à l’épidémie sans citer en tant que telle l’urgence même si celle-ci est sous-entendue « s’il ne devait sauver qu’une seule vie humaine, cela justifierait son existence » .

L’urgence et les mesures prises en son nom ne sont pas loin. Stop Covid interagit avec les deux traitements SI-DEP et Contact-Covid. Mais n’est-ce pas d’ailleurs ce que demande la CNIL son déploiement doit s’inscrire dans un plan d’ensemble et « mettant en garde le gouvernement contre la tentation du « solutionnisme technologique » Informée par son mobile d’un contact avec un patient contaminé,  la personne présumée infectée aura un avantage à se voir inscrire dans le fichier Contact-Covid pour obtenir le remboursement des tests effectués en laboratoire de biologie médicale et pour la délivrance de masque en officine.

Cette interaction entre Stop Covid et les deux traitements est un point de vigilance de la CNIL qui a par avance indiqué qu’aucune conséquence négative ne devait être attachée à l’absence de téléchargement ou l’utilisation de l’application. Stop Covid se fonde sur le volontariat des utilisateurs quand les deux traitements sont obligatoires. En séance, le gouvernement a pris l’engagement d’inclure Stop Covid dans la mission d’évaluation des outils numériques du Comité de contrôle et de liaison créé par la loi du 11 mai. Et dans son avis du 26 mai, la CNIL admet que le caractère temporaire de l’application est respecté quand celle-ci voit sa durée calquée sur celle prévue pour les traitements SI-DEP et Contact- Covid.  A cette application qui ressemblerait de plus en plus aux deux traitements qui n’ont été autorisés que par la loi sur l’état d’urgence sanitaire, la CNIL a néanmoins voulu voir dans le projet de décret qui lui était soumis,  l’exclusion de certaines finalités des deux traitements : «  soit expressément exclues des finalités poursuivies par le traitement : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de tout autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes ». A nouveau, les deux avis de la CNIL dessinent le fil rouge des libertés publiques et de la vie privée.

Aux trois dispositifs de données personnelles en relation avec la pandémie, issus de la loi ou de la voie règlementaire, et sans distinguer selon cette origine,  la CNIL oppose le RGPD et les principes fondamentaux des libertés publiques.

[1] Décision n°2018-765 DC du 12 juin 2018

[2] Décision  n° 2010-605 DC du 12 mai 2010  cons. 11 et 12 ; n° 2014-694 DC du 28 4, Loi relative à l’interdiction de la mise en culture des variétés de maïs génétiquement modifié, cons. 2.

[3] Voir par exemple au point 71 de la décision du 11 main

[4] Point 75

L’article CORONAVIRUS et Etat d’urgence sanitaire : la CNIL garante des libertés publiques grace au RGPD appliqué indistinctement aux bases de données personnelles instaurées par la Loi ou par Décret est apparu en premier sur Philippe Schmitt Avocats.

– le RGPD , le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;

– la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

La protection des données personnelles : un droit fondamental

Au préalable, ce projet de loi rappelle un acquis essentiel à la protection des données personnelles : « La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée ; elle est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8) ». S’ajoute par conséquent aux deux textes précités, la Charte des droits fondamentaux que doit également intégrer en droit national ce projet de loi.

Rappelant l’importance que les français attachent à la protection de leurs données personnelles, ce projet rappelle que « seul le cadre européen permet d’y répondre même si la France a pu dès 1978 légiférer en la matière ».

La création de nouveaux droits effectifs et un nouveau paradigme

Deux axes de réforme sont soulignés .

La création de nouveaux droits en faveur des personnes physiques .

Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.  

Un changement de paradigme : la déclaration préalable transformée en une mise en conformité permanente.

« le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. 

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

Un tel changement de paradigme nécessite une évolution des missions et pouvoirs de l’ensemble des autorités de protection des données de l’Union européenne et ainsi de la CNIL. »

Quant à la directive,  elle s’inscrit comme une exception au règlement, celle relative aux données personnelles en matière pénale mise en œuvre par une autorité compétente

« La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente ». 

La présentation du projet de loi faite par Madame Nicole BELLOUBET, Garde des Sceaux, Ministre de la Justice indique trois orientations.

1°) Le gouvernement ne souhaite pas intervenir sur tous les points ( il y a une cinquantaine) sur lesquels le règlement laisse un pouvoir d’intervention aux Etats

Le règlement étant directement applicable, le projet de loi ne peut recopier ses dispositions. Il en est ainsi des dispositions relatives au délégué à la protection des données. Toutefois, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux États membres de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen. Certaines marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale. À cet égard, l’article 8 du règlement fixe à 16 ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information, tout en laissant aux États membres la possibilité d’abaisser cet âge du consentement jusqu’à 13 ans. Le Gouvernement ayant fait le choix de ne pas faire usage de cette marge de manœuvre, le projet de loi ne contient aucune disposition sur l’âge du consentement, le seuil de 16 ans fixé par le règlement s’appliquant.

2°) S’agissant du traitement des données personnelles pénales par des autorités compétentes, il s’agit de distinguer i) ce qui appartient au droit de l’Union des prérogatives conservées par les Etats, ii) ce qui est du domaine du règlement, ou de la directive, et partant, pour enfin déterminer  iii) les objectifs fixés par la directive.

La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente

La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non ». Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les principales innovations de la directive consistent en la création :

– d’un droit à l’information de la personne concernée par les données personnelles traitées ;

– d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré d’ « adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

3°) la conservation de la loi de 1978

le Gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

L’article Données personnelles : projet de loi de transposition du paquet européen de protection des données personnelles est apparu en premier sur Philippe Schmitt Avocats.