- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
RGPD : le Conseil constitutionnel valide l’essentiel de la loi d’adaptation
RGPD : le Conseil constitutionnel valide l’essentiel de la loi d’adaptation
Le Conseil constitutionnel devait se prononcer sur la loi adaptant le droit français au règlement général de protection des données (RGPD). S’il a validé l’essentiel, il en a profité pour préciser l’étendu de son contrôle dans les lois d’adaptation aux règlements européens et pour aborder, pour la première fois, la question des algorithmes administratifs.
par Pierre Januelle 14 juin 2018
Cette saisine des sénateurs LR avait un aspect punitif : l’intransigeance des députés En Marche lors de la commission mixte paritaire les a conduit à saisir le Conseil constitutionnel, repoussant ainsi la promulgation de la loi à après la date limite de transposition de la directive (25 mai). Pour rappel, le RGPD (Dalloz actualité, 15 mai 2018, obs. J.-M. Pastor isset(node/190552) ? node/190552 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>190552) étant composé d’une directive et d’un règlement (qui est d’application directe), le projet de loi visait à transposer la directive et à adapter le droit français au règlement.
Tout d’abord, le Conseil a complété sa jurisprudence antérieure sur la transposition des directives européennes, l’étendant aux projets de loi d’adaptation à un règlement européen. Dans ces cas, son contrôle, restreint, consiste en trois points. Le Conseil vérifie que la loi d’adaptation ne porte pas atteinte à « l’identité constitutionnelle » de la France. Il contrôle que la loi n’est pas « manifestement incompatible » avec le règlement européen (n’ayant matériellement pas le temps de saisir la Cour de justice de l’Union européenne d’une question préjudicielle, c’est aux juridictions administratives et judiciaires d’effectuer un contrôle plus poussé). Enfin, le Conseil peut vérifier qu’il n’y a pas d’incompatibilité négative par le législateur, l’exigence de respect du droit européen n’ayant « pas pour effet de porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement ».
Les sénateurs avaient saisi le Conseil sur onze articles. Ils contestaient en particulier le régime d’effacement des données du TAJ (traitement des antécédents judiciaires, v. Dalloz actualité, 30 oct. 2017, obs. P. Januel isset(node/187374) ? node/187374 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>187374), dès lors qu’une personne ayant bénéficié de non-lieu ou de classement sans suite ne peut demander de rectification que lorsque ne figure plus aucune mention dans le bulletin n° 2 de son casier judiciaire (même si elles sont sans lien avec l’affaire en question). Le Conseil a jugé que les décisions de non-lieu ou de classement sans suite n’éteignant pas l’action publique, le maintien des mentions au TAJ pouvait être justifié.
Le Conseil a également validé l’article permettant à une administration d’avoir recours exclusivement à un algorithme pour édicter ses décisions individuelles. Sans édicter de réserve d’interprétation, il a noté que la loi prévoyait plusieurs garanties. D’abord, ces algorithmes sont établis en fonction de règles et critères définis à l’avance par le responsable du traitement. Il n’y a donc pas d’abandon de compétence par l’administration.
Par ailleurs, cette décision administrative doit respecter trois conditions : elle doit mentionner qu’elle a été adoptée sur le fondement d’un algorithme dont les principales caractéristiques doivent pouvoir être communiquées à la personne. Dès lors, une décision individuelle ne saurait être prise en se basant sur l’un des secrets prévus par la loi, qui ne pourrait être communiqué (sûreté de l’État, secret défense…). Deuxièmement, la décision peut faire l’objet de recours administratifs, l’administration étant alors tenue de se prononcer sans se fonder exclusivement sur l’algorithme. Troisièmement, ce recours exclusif à un algorithme est interdit s’il concerne l’une des données sensibles prévues par la loi (origine ethnique, opinions politiques, données génétiques, …).
Enfin, l’algorithme doit pouvoir être expliqué par l’administration à la personne concernée par la décision. Ne peuvent donc être utilisés des algorithmes « auto-apprenants », pouvant réviser eux-mêmes les règles qu’ils appliquent.
C’est sur les fichiers pénaux que le Conseil constitutionnel prononce sa seule censure. Le RGPD autorise ces fichiers dans certaines hypothèses, notamment lorsque ces traitements sont « sous le contrôle de l’autorité publique ». Le Parlement avait repris cette possibilité sans plus de précision, autorisant tout fichier pénal dès lors qu’il était « sous le contrôle de l’autorité publique », sans indiquer ni les catégories de personnes susceptibles d’agir sous ce contrôle, ni les finalités du traitement. Pour le Conseil, cette disposition imprécise est entachée d’incompétence négative.
