Délibération n° 2018-284 du 21 juin 2018 portant avis sur un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (saisine n° AV 18012134)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par la garde des sceaux, ministre de la justice, d'une demande d'avis concernant un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/68o du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-I (4°, a) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978 ;


  • Après avoir entendu Mme Isabelle FALQUE-PIERROTIN, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    La commission a été saisie pour avis, le 11 juin 2018, d'un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978, modifiée en dernier lieu par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, sur le fondement de l'article 11-I (4°, a) de cette même loi. En application de ces dispositions, cet avis sera rendu public.
    Ce projet de décret a pour objet de poursuivre la mise en conformité du droit national avec le règlement (UE) 2016/679 susvisé (ci-après « le Règlement ») et la directive (UE) 2016/680 susvisée (ci-après « la Directive »). L'adaptation du droit français au nouveau cadre européen a été principalement réalisée par l'adoption de la loi précitée du 20 juin 2018, sur laquelle la commission s'est prononcée dans son avis en date du 17 novembre 2017, qui a substantiellement modifié la loi du 6 janvier 1978 et a notamment fait usage de certaines des marges de manœuvre ouvertes aux Etats membres par le Règlement. Le présent projet de décret vise à poursuivre, au niveau réglementaire, ce travail d'adaptation au droit de l'Union, principalement par la modification du décret susvisé n° 2005-1309 du 20 octobre 2005 susvisé, et à faire application de certaines de ces nouvelles dispositions législatives. Il appelle les seules observations suivantes de la part de la commission.
    Sur les dispositions relatives à la commission :
    Les articles 2 à 7 du projet de décret visent à modifier le titre Ier du décret n° 2005-1309 du 20 octobre 2005 modifié, relatif au fonctionnement et aux missions de la commission. A titre général, la commission considère que les dispositions projetées complètent utilement ledit décret des nouvelles missions prévues par le Règlement et la Directive, apportent les précisions nécessaires aux règles de procédure applicables aux nouveaux outils de conformité prévus par le Règlement et ménagent la souplesse indispensable au bon exercice de l'ensemble des missions de la commission. Ces dispositions appellent néanmoins les observations suivantes de la part de la commission.
    Concernant le projet d'article 4 du décret du 20 octobre 2005, relatif aux modalités de convocation et d'envoi des projets de délibération au commissaire du Gouvernement, la commission estime que le cas de l'urgence, pouvant conduire à écarter le délai de huit jours, pourrait utilement être réservé de manière expresse.
    L'article 4 du projet de décret vise à faire application des dispositions prévues au dernier alinéa de l'article 15 de la loi du 6 janvier 1978 modifiée, en définissant, dans un nouvel article 4-1 du décret du 20 octobre 2005 modifié, les conditions et limites dans lesquelles le président et le vice-président délégué de la commission peuvent déléguer leur signature. Si la commission est favorable au dispositif projeté, elle estime que ces dispositions seraient utilement complétées, au e du 1° du I du projet d'article 4-1 du décret du 20 octobre 2005 modifié, de la possibilité de déléguer la signature des renouvellements de délai en cas de consultation de la commission sur les analyses d'impact relatives à la vie privée. La mention des délais prévus au projet d'article 110-1du même décret et au 2° de l'article 36 du Règlement serait dès lors utilement ajoutée et la référence aux dispositions du IV de l'article 54 de la loi du 6 janvier 1978 modifiée doit être remplacée par celle du V du même article.
    Elle estime en outre que les modalités de publicité des délégations au Journal officiel ou sur son site internet devraient figurer dans le projet de décret, sauf à ce que ce dernier renvoie expressément au règlement intérieur le soin de les préciser.
    L'article 6 du projet de décret vise à modifier l'article 6-1 du décret du 20 octobre 2005 modifié pour tenir compte de la faculté, nouvellement prévue à l'article 11-I (4°, a) de la loi du 6 janvier 1978 modifiée, de consulter la commission sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. La commission s'interroge sur la possibilité pour le Gouvernement lui-même d'invoquer l'urgence dans cette dernière hypothèse.
    L'article 7 du projet de décret prévoit la création des articles 6-2 à 6-8 du décret du 20 octobre 2005 modifié, relatifs à différentes demandes pouvant être adressées à la commission, à savoir les réclamations, les demandes d'approbation de code de conduite, de règles d'entreprise contraignantes et en matière de certification.
    De manière générale, la commission relève que les dispositions projetées fixent des règles claires, cohérentes et transparentes pour les usagers, en particulier s'agissant des délais d'examen des demandes et des conséquences de l'absence de réponse de la commission. A cet égard, elle rappelle que les mécanismes de coopération et de cohérence prévus aux articles 6o et suivants du Règlement sont susceptibles d'allonger les délais d'instruction de certaines demandes et prend acte que ces hypothèses sont globalement prises en compte dans le projet de décret.
    Néanmoins, elle observe que les modalités de saisine de la commission sur ces demandes ne sont pas précisées, à l'exception des réclamations. Elle relève en particulier que la saisine par voie électronique n'est pas expressément prévue, à la différence de ce que le projet de décret prévoit pour les « formalités préalables » - cette précision n'apparaissant en tout état de cause pas impérative compte tenu de l'application des dispositions de droit commun du code des relations entre le public et l'administration. Elle estime en outre qu'il serait opportun de préciser, comme le prévoit l'article 7 du décret du 20 octobre 2005 modifié en matière de formalités préalables, que la commission peut fixer la liste des pièces et annexes devant, le cas échéant, être jointes à ces saisines et déterminer des modèles facilitant et encourageant l'utilisation de ces nouveaux outils. En tout état de cause, ces éléments devraient pouvoir être précisés dans son règlement intérieur, conformément au II de l'article 13 de la loi du 6 janvier 1978 modifiée.
    S'agissant en particulier des demandes d'approbation de règles d'entreprise contraignantes mentionnées au projet d'article 6-6 du décret du 20 octobre 2005 modifiée, la commission rappelle que les délais prévus par les dispositions projetées de saisine du Comité européen de la protection des données (CEPD) ne doivent s'appliquer qu'à compter de la réception d'une demande complète et lorsque la commission agit en tant qu'autorité chef de file.
    En outre, elle estime que les délais prévus pour approuver ces règles d'entreprise après réception de l'avis du CEPD ne permettent pas de prendre en compte toutes les hypothèses prévues par les articles 64 et 65 du Règlement. En particulier, lorsque le comité émet un avis qui requiert que des modifications soient apportées aux règles à approuver, la commission ne sera pas nécessairement en mesure d'approuver ces règles dans un délai d'un mois si elle refuse de suivre l'avis du comité, qui peut alors adopter une décision contraignante dans les conditions prévues par l'article 65 du Règlement. Il convient dès lors de reporter le point de départ du délai d'un mois à l'issue des procédures prévues aux articles 64 et 65 du Règlement.
    Sur les dispositions relatives aux « formalités préalables » :
    Les articles 8 à 16 du projet de décret prévoient la modification du titre II du décret du 20 octobre 2005 modifié, relatif aux formalités préalables adressées à la commission. Ils visent à tirer les conséquences du Règlement et de la loi du 6 janvier 1978 modifiée, qui suppriment la plupart de ces formalités mais en font néanmoins subsister certaines, et à intégrer les consultations préalables sur les analyses d'impact visées aux articles 36 du Règlement et 70-4 de la loi précitée, dans les dispositions générales applicables à ces saisines de la commission.
    Il est notamment prévu que les déclarations, consultations et demandes sont obligatoirement adressées à la commission par voie électronique, avec accusé de réception qui peut être délivré par la même voie. A cet égard, la mention de l'envoi d'un accusé de réception n'apparaît pas nécessaire, dès lors qu'il est déjà prévu par le code des relations entre le public et l'administration pour les saisines par voie électronique. La modification de l'article 8 du décret du 20 octobre 2005 modifié est opportune, dans la mesure où elle permettra à la commission d'imposer aux usagers professionnels de recourir aux téléservices qu'elle met à leur disposition. La commission pourrait dès lors lister dans son règlement intérieur les téléservices obligatoires pour les professionnels excluant toute autre forme de saisine.
    L'article 14 du projet de décret prévoit en outre que la notification des délibérations de la commission est faite par voie électronique. Cette disposition appelle des réserves de la part de la commission. La mise en œuvre systématique d'une telle modalité apparait en effet difficilement envisageable à court terme, compte tenu du renvoi aux exigences techniques du code des postes et communications électroniques, et supposerait a minima une disposition transitoire. En outre, elle peut ne pas correspondre au souhait de l'usager. Ces deux enjeux expliquent d'ailleurs que le code des relations entre le public et l'administration, d'une part, rende cette modalité de notification facultative et, d'autre part, la subordonne à l'accord de l'usager (articles L. 112-15, R. 112-17 et R. 112-18). Il est donc hautement souhaitable de renvoyer au droit commun sur ce point.
    En tout état de cause, de telles dispositions rendent nécessaire l'ajout de la mention de l'adresse électronique dans le contenu de l'ensemble des dossiers et éléments transmis à la commission.
    L'article 12 du projet de décret prévoit également d'abroger l'obligation d'informer la commission de la suppression de tout traitement. Une telle information apparaît cependant nécessaire pour les traitements qui restent soumis à formalités, dont la liste doit être tenue à jour par la commission en application de la loi du 6 janvier 1978 modifiée. En outre, pour les traitements ayant fait l'objet de formalités antérieurement au 25 mai 2018, une même liste, arrêtée à cette date, doit être mise à la disposition du public dans un format ouvert et aisément réutilisable pour une durée de dix ans. La commission propose dès lors de maintenir cette obligation.
    Sur les traitements de données dans le domaine de la santé :
    L'article 17 du projet de décret vise à modifier le chapitre IV du titre II du décret n° 2005-1309 du 20 octobre 2005 modifié, relatif aux dispositions particulières concernant les traitements de données dans le domaine de la santé. Prises globalement, ces dispositions assurent une application complète et adéquate des règles posées par le législateur et par le Règlement en ce domaine. Elles appellent les seules observations suivantes de la part de la commission.
    Sur les traitements de données ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé :
    Le projet d'article 20 du décret du 20 octobre 2005 modifié prévoit le dépôt du dossier de demande d'autorisation auprès soit du comité de protection des personnes (CPP), soit du secrétariat unique assuré par l'Institut National des Données de Santé (INDS). Dans la mesure où le responsable du traitement doit saisir directement la commission après avoir obtenu l'avis du CPP dans le cadre des recherches impliquant la personne humaine, la commission propose qu'il soit fait mention du dépôt du dossier auprès d'elle plutôt qu'auprès dudit comité, sans préjudice de la possibilité de déposer le dossier auprès du secrétariat unique de l'INDS.
    Le projet d'article 21 du décret du 20 octobre 2005 modifié décrit la composition des dossiers transmis à l'INDS. La commission suggère que soit également prévu au même article 21 le contenu des dossiers déposés après avis d'un CPP. En effet, la composition du dossier adressé pour avis au CPP, prévue par le code de la santé publique, vise à permettre l'examen d'un projet de recherche sur les plans scientifique et éthique, et non s'agissant du traitement des données rendu nécessaire par la recherche. Il en résulte que les pièces fournies au CPP ne fournissent pas l'ensemble des éléments nécessaires pour permettre l'examen de la demande adressée à la commission.
    Le contenu de ce dossier devrait être similaire à celui de l'INDS, moyennant certains ajustements, par exemple s'agissant de la déclaration d'intérêts qui ne devrait concerner que les dossiers prévoyant un accès au Système National des Données de Santé (SNDS). Les deux derniers alinéas de l'article 21 du décret du 20 octobre 2005 modifié devront également être adaptés pour tenir compte de cet ajout et préciseraient enfin utilement que le secrétariat unique vérifie la complétude des dossiers qui lui sont transmis et que les modifications sont transmises au secrétariat unique ou à la commission.
    Le projet d'article 24 du même décret précise que l'INDS rend un avis motivé sur le caractère d'intérêt public que présente la recherche, dans un délai d'un mois à compter de sa saisine. A cet égard, la commission relève que la saisine de l'INDS ne suspend pas le délai d'instruction dont dispose la commission pour se prononcer sur la demande et que le projet de décret ne prévoit pas les conséquences de l'absence d'avis de l'INDS dans ce délai d'un mois. Elle estime dès lors que le projet d'article 24 du décret du 20 octobre 2005 modifié devrait prévoir que les demandes d'autorisation concernées ne peuvent bénéficier d'une acceptation tacite en l'absence d'un avis expressément favorable de l'INDS, lorsque ce dernier s'est autosaisi ou a été saisi en application du deuxième alinéa de l'article 61 de la loi du 6 janvier 1978 modifiée, à l'instar de ce que prévoit le V de l'article 54 de la même loi s'agissant des avis du CPP ou du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES).
    La commission propose en outre de prévoir, au projet d'article 26 du décret du 20 octobre 2005 modifié, la faculté pour le CEREES de saisir un CPP, par exemple via la Commission Nationale des Recherches Impliquant la personne humaine (CNRIPH), si des recherches n'impliquant pas la personne humaine soulèvent des questions éthiques, comme par exemple la réutilisation d'échantillons biologiques.
    La commission regrette enfin la diminution du nombre minimal de réunions du CEREES. En effet, ce nombre semble difficilement compatible avec les missions et prérogatives du CEREES, qui dispose d'une compétence unique pour certaines catégories de recherche.
    Sur les autres traitements de données dans le domaine de la santé :
    Le projet de décret ne comporte pas de dispositions relatives au contenu des demandes d'autorisation de traitements de données à caractère personnel ne relevant pas de la recherche, des études et des évaluations dans le domaine de la santé. La commission estime que ce contenu devrait être défini dans le décret du 20 octobre 2005 modifié et que de telles demandes d'autorisation devraient comporter au moins les éléments mentionnés à l'article 16 dudit décret, relatif aux formalités préalables, ainsi que, le cas échéant, l'analyse d'impact relative à la vie privée relative au traitement concerné et tout autre élément nécessaire à l'examen de la commission et spécifique à de tels traitements.
    Sur le comité d'audit du système national des données de santé :
    L'article 17 du projet de décret fait notamment application des dispositions prévues au dernier alinéa de l'article 65 de la loi du 6 janvier 1978 modifiée, en précisant la composition du comité d'audit du SNDS, ses règles de fonctionnement et les modalités de l'audit. Il prévoit la création, au sein du chapitre IV du titre II du décret n° 2005-1309 du 20 octobre 2005 modifié, d'une sous-section 3 consacrée audit comité d'audit et composée de nouveaux articles 32-1 à 32-7. Ces dispositions appellent les seules observations suivantes de la part de la commission.
    S'agissant de la composition du comité, établie au projet d'article 32-1 du décret du 20 octobre 2005, la commission estimerait utile d'en améliorer la représentativité en permettant aux personnes dont les données sont traitées dans le SNDS, et en particulier aux patients, de prendre part à la mission d'audit. Elle propose que leurs intérêts soient donc également portés au sein dudit comité par l'intermédiaire des personnes qualifiées qui doivent y être désignées.
    Les modalités de réalisation des audits sont prévues aux projets d'articles 32-2 à 32-5 du décret du 20 octobre 2005 modifié. Il est notamment prévu que ces audits sont réalisés « par des prestataires indépendants », sans que soient précisées ni les conditions et garanties associées à cette exigence, ni les règles de nature à prévenir tout conflit d'intérêt dans l'exercice des missions de ces prestataires, alors même que l'article 65 de la loi du 6 janvier 1978 modifiée n'apporte pas de précision sur ce point.
    A cet égard, la commission rappelle que, par comparaison, les dispositions légales relatives aux missions de vérification réalisées par les agents de la CNIL prévoient que ces derniers doivent faire l'objet d'une habilitation par la commission, pour une durée limitée à cinq ans renouvelable, présenter des garanties particulières, comme l'absence de condamnation à une peine correctionnelle ou criminelle et l'absence de détention d'un intérêt direct ou indirect dans un organisme contrôlé, et que leur habilitation peut être retirée dans des conditions précisément définies.
    Compte tenu, d'une part, des pouvoirs d'investigation dévolus aux prestataires chargés de mener les audits mentionnés au projet d'article 32-3 du décret du 20 octobre 2005 modifié et, d'autre part, des décisions de puissance publique pouvant être prises au vu des résultats de l'audit, et notamment la suspension de l'accès par l'organisme audité au SNDS, la commission estime que le projet de décret apparaît insuffisamment précis sur les garanties d'indépendance et de procédure devant entourer la désignation et l'intervention des prestataires en charge des audits. Des garanties comparables à celles requises pour les agents de la commission, qui sont le corollaire des prérogatives susceptibles d'être exercées en aval de ses contrôles, devraient être prévues.
    S'agissant des pouvoirs dévolus aux prestataires dans le cadre des audits conduits sur place ou en ligne, définis au projet d'article 32-3 du décret du 20 octobre 2005 modifié, la commission s'interroge en outre sur la possibilité de prévoir au niveau réglementaire des dispositions similaires à celles qui figurent aux articles 20 et 44 de la loi du 6 janvier 1978 modifiée. En particulier, les dispositions relatives aux conditions dans lesquelles des secrets prévus par la loi sont ou non opposables aux prestataires lors d'audits, notamment dans le cadre de visites domiciliaires, apparaissent relever du domaine législatif.
    Le même projet d'article 32-3 prévoit une notification de la réalisation de l'audit à l'entité concernée, qui doit notamment indiquer les délais et voies de recours dont dispose ladite entité. La commission estime qu'un délai devrait être prévu pour cette notification et s'interroge en outre, s'agissant d'un audit, sur la nature du recours ouvert à l'entité concernée. Elle considère que le projet de décret devrait être complété sur ces points.
    Le projet d'article 32-4 du décret du 20 octobre 2005 modifié prévoit le cadre procédural attaché aux audits conduits par les prestataires, ainsi que les conditions dans lesquelles ils peuvent recourir à un médecin pour procéder à des constatations portant sur des données de santé.
    A cet égard, la commission estime que les garanties procédurales prévues pourraient être renforcées. En particulier, l'identification du responsable de l'entité auditée, qui ne se confond pas nécessairement avec la notion de responsable des lieux du déroulement de l'audit, pourrait être explicitée afin de mieux garantir les droits de la défense. Il en va de même de la réunion de fin d'audit et du rapport adressé à l'issue de la mission, dont la portée et le contenu apparaissent insuffisamment détaillés, notamment au regard des dispositions de l'article 64 du décret du 20 octobre 2005 modifié relatif aux contrôles menés par la CNIL. En outre, l'entité auditée devant répondre dans le délai d'un mois au rapport qui lui est adressé en précisant un plan d'action et un calendrier, il conviendrait, pour éclairer utilement l'organisme concerné, que le contenu du rapport d'audit décline précisément les actions de mise en conformité attendues.
    S'agissant du recours à un médecin pour les besoins de la réalisation des audits, les garanties d'indépendance qui devraient être attachées à sa désignation ne figurent pas davantage dans le projet de décret. Il est en effet uniquement prévu que le médecin est désigné par le prestataire réalisant l'audit. Par comparaison, les médecins chargés d'assister les agents de la commission à l'occasion de contrôles sur des traitements comportant des données de santé sont désignés, sur demande du président de la commission, par le préfet ou, selon le cas, le directeur général de l'Agence Régionale de Santé compétents et doivent en outre présenter l'ensemble des garanties exigées des agents de la commission habilités à procéder aux missions de vérification.
    Enfin, la commission estime que, au vu des dispositions législatives précitées et dans l'hypothèse où les dispositions réglementaires projetées seraient précisées dans le sens de ses observations, l'avis de la commission sur la charte d'audit mentionnée au dernier alinéa du projet d'article 32-2 du décret du 20 octobre 2005 modifiée ne serait pas nécessaire.
    Sur les délégués à la protection des données :
    L'article 19 du projet de décret vise à modifier substantiellement le titre III du décret du 20 octobre 2005 modifié, afin de tenir compte de la disparition du correspondant à la protection des données à caractère personnel au profit du délégué à la protection des données. Il prévoit de remplacer les articles 42 à 56 dudit décret par quatre nouveaux articles 42 à 45.
    A titre général, la commission approuve ces modifications rendues nécessaires par le nouveau cadre juridique et estime que la diffusion, par la commission, de certaines des coordonnées visées aux articles 37-7 du Règlement et 70-18 de la loi du 6 janvier 1978 modifiée dans un format ouvert et aisément réutilisable constitue une mesure de nature à renforcer la transparence et l'information des personnes.
    La commission estime néanmoins que le projet d'article 44 du décret du 20 octobre 2005 modifié, qui rappelle la possibilité de désigner un délégué mutualisé, devrait être complété pour mentionner les sous-traitants.
    Enfin, le projet d'article 45 du décret du 20 octobre 2005 modifié prévoit que la commission peut être saisie à tout moment par le délégué ou par le responsable du traitement ou le sous-traitant de toute difficulté rencontrée à l'occasion de de l'exercice des missions du délégué. Comme elle l'avait souligné dans son avis relatif au projet de loi, la commission rappelle que le Règlement ne prévoit pas cette faculté, alors qu'il édicte précisément les pouvoirs et missions de ce délégué, qui doivent être harmonisés pour tous les responsables de traitement quelle que soit leur localisation sur le territoire européen. Cette précision ne semble dès lors pas nécessaire à la commission, qui rappelle en outre que le Règlement prévoit que le délégué « coopère avec l'autorité » et « fait office de point de contact » avec cette dernière, ce qui permettra au délégué de pouvoir contacter la commission pour toute question.
    Sur les contrôles et vérifications :
    L'article 20 du projet de décret vise à modifier les dispositions du chapitre 1er du titre IV du décret du 20 octobre 2005 modifié relatif aux contrôles et vérifications menés par la commission. De manière générale, il assure une application cohérente des nouvelles dispositions européennes et législatives. Il n'appelle pas d'observation particulière de la part de la commission, à l'exception du projet d'article 65-1 dudit décret, relatif au contrôle en ligne. Les dispositions projetées prévoient en effet que les agents de la commission dressent un procès-verbal des opérations réalisées en ligne et sous identité d'emprunt, des modalités de consultation et d'utilisation « des sites internet ». Cette formulation doit être remplacée par les termes « de ces services [de communication au public en ligne] », afin de permettre la conduite de vérifications portant sur des applications proposées sur ordiphone ou tablette.
    Sur les mesures et sanctions :
    L'article 21 du projet de décret vise à modifier les dispositions du chapitre II du titre IV du décret du 20 octobre 2005 modifié relatif aux mesures et sanctions que peut prendre la commission en cas de manquement aux dispositions du Règlement et de la loi du 6 janvier 1978 modifiée. Les dispositions projetées tirent les conséquences du nouveau cadre juridique et appellent les seules observations suivantes.
    Le projet d'article 73 du décret du 20 octobre 2005 modifié prévoit que les mises en demeure précisent le ou les manquements aux obligations incombant aux responsables du traitement et sous-traitants en vertu du Règlement« ou de la loi ». Par mesure de clarté, il conviendrait de préciser que la loi visée est celle du 6 janvier 1978 modifiée. Dans la même perspective, le projet d'article 78-1 du même décret, qui prévoit que les dispositions relatives aux mesures et sanctions sont applicables lorsqu'est mis en cause « un organisme autre qu'un responsable de traitement ou un sous-traitant », pourrait être modifié afin de préciser qu'il est fait référence aux organismes de certification et aux organismes chargés du respect d'un code de conduite visés à l'article 48 de la loi du 6 janvier 1978 modifiée.
    Le projet d'article 75 du décret du 20 octobre 2005 modifié établit principalement les modalités selon lesquelles l'organisme mis en cause et le rapporteur présentent leurs observations devant la formation restreinte de la commission.
    En premier lieu, la commission estime nécessaire de supprimer, au dernier alinéa dudit projet d'article, la référence à un champ d'application particulier, la disposition concernée ayant vocation à s'appliquer également aux traitements relevant de la Directive ou de la seule loi du 6 janvier 1978 modifiée.
    En second lieu, pour plus de précisions et afin de garantir le bon déroulé des débats devant la formation restreinte, il est proposé de modifier la rédaction afin de rappeler le caractère écrit de la procédure devant cette formation et que, passés les délais qui leur sont laissées pour présenter leurs observations, l'organisme mis en cause et le rapporteur ne peuvent dès lors présenter aucun moyen nouveau de fait ou de droit.
    Le projet d'article 77 du 20 octobre 2005 modifié est dédié au déroulé de la séance de la formation restreinte. A titre liminaire, la commission relève que le projet de décret indique que le troisième alinéa dudit article est supprimé, alors que la suppression doit concerner le deuxième alinéa de cet article.
    Les dispositions projetées prévoient la possibilité pour le rapporteur de modifier, à tout moment, son rapport. La commission relève, d'une part, que cette faculté, reconnue à tout moment de la procédure, ne devrait pas figurer dans l'article 77 du décret précité, consacré à la séance, et pourrait utilement être prévue à l'article 75 dudit décret. D'autre part, la commission propose que soit inséré au dernier alinéa de cet article, entre les mots « son rapport » et « au vu », le mot « notamment ». En effet, le rapporteur peut souhaiter modifier son rapport pour d'autres raisons que les éléments portés à sa connaissance par le responsable du traitement ou le sous-traitant.
    La dernière phrase du dernier alinéa du projet d'article 81-4 du décret 20 octobre 2005 modifié dispose que « Ces derniers [le responsable du traitement ou le sous-traitant] disposent d'une semaine pour transmettre leurs observations écrites. » La commission propose, dans un souci de cohérence avec la rédaction du dernier alinéa du projet d'article 81-8 du même décret, que le délai mentionné ne saurait être inférieur à une semaine. En effet, selon la consistance des objections et les circonstances de l'espèce, le délai devra parfois être supérieur à une semaine pour garantir le respect des droits de la défense.
    Le projet d'article 81-5 du décret du 20 octobre 2005 modifié porte sur le processus de décision applicable à la suite d'une procédure de coopération prévue à l'article 6o du Règlement. La commission estime que la rédaction projetée devrait être modifiée pour couvrir toutes les hypothèses pouvant résulter de cette procédure de coopération. En effet, elle n'intègre pas la possibilité que, à l'issue tant de la procédure de coopération précitée que du mécanisme de cohérence prévu à l'article 65 du Règlement, également applicable en l'espèce, la mesure correctrice retenue ne soit pas une de celle relevant de la compétence de la formation restreinte, mais reste une mise en demeure relevant de la compétence propre du président de la commission, et ce malgré les objections dont la mesure a pu initialement faire l'objet. Ce n'est que lorsque le président se ralliera aux objections, ou ne sera pas suivi par le comité européen, que la procédure devra basculer vers la désignation d'un rapporteur en vue d'un examen de l'affaire par la formation restreinte.
    La commission propose dès lors de retenir la rédaction suivante : « Dans les hypothèses prévues à l'article précédent, le président de la commission désigne, le cas échéant, un rapporteur au terme des procédures prévues par les articles 60 et 65 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. Lorsque la formation restreinte est saisie, elle adopte une décision finale dans les conditions prévues à la sous-section suivante. Cette décision mentionne, le cas échéant, les échanges entre les autorités de contrôle ou avec le Comité européen de la protection. »
    Le projet d'article 82 du 20 octobre 2005 modifié précise que certaines des dispositions de l'article 75 du même décret ne sont pas applicables à la procédure d'urgence prévue à l'article 46 de la loi du 6 janvier 1978 modifiée. Dans un souci de lisibilité et de cohérence avec les dispositions des articles 75 et 76 dudit décret, la commission propose de préciser expressément, aux alinéas 2 et 3 du projet d'article 82, que c'est « par dérogation », respectivement au deuxième alinéa de l'article 75 et à l'article 76 du même décret, que les délais impartis pour la production d'observation et pour la convocation à la séance sont prévus.
    Enfin, le projet d'article 82-3 du décret du 20 octobre 2005 modifié précise que certaines dispositions de la procédure d'assistance mutuelle prévue à l'article 61 du Règlement (UE) 2016/679 du 27 avril 2016 susvisé sont applicables aux traitements relevant du champ d'application de la Directive. La commission s'interroge sur le positionnement de cette disposition au sein du chapitre intitulé « Mesures et sanctions » et suggère de la faire figurer au sein du titre VIII (nouveau) du même décret, relatif aux traitements relevant du champ d'application de la Directive.
    Sur les droits des personnes :
    L'article 23 du projet de décret vise à modifier le titre VI du décret du 20 octobre 2005 modifié, relatif aux obligations des responsables du traitement et aux droits des personnes concernées. Dans la mesure où, d'une part, les dispositions du Règlement relatives aux droits des personnes concernées sont directement applicables et, d'autre part, des dispositions spéciales sont prévues pour les traitements ne relevant pas du champ d'application dudit Règlement, le projet de décret prévoit logiquement la suppression de la plupart de ces dispositions.
    Néanmoins, la commission rappelle que certaines des dispositions en vigueur du décret du 20 octobre 2005 modifié ont vocation à s'appliquer également aux traitements relevant du champ d'application de la Directive ou ne relevant pas du champ d'application du droit de l'Union. La suppression de certaines de ces dispositions aboutit ainsi, indirectement, à une diminution des droits des personnes à l'égard de ces traitements et la commission demande dès lors que les dispositions spéciales figurant dans le même décret et qui leur sont applicables soient complétées de certaines des dispositions abrogées pat l'article 23 du projet de décret, en ce qui concerne par exemple l'obligation faite au responsable du traitement, en cas d'opposition au traitement ou de rectification des données, d'en informer tout autre responsable du traitement qui a été rendu destinataire des données concernées.
    Sous cette réserve, l'article 23 du projet de décret appelle les seules observations suivantes de la part de la commission.
    Sur l'information des personnes :
    Le 3° de l'article 23 du projet de décret vise à modifier les dispositions de l'article 90 du décret n° 2005-1309 du 20 octobre 2005 modifié, relatif à l'obligation d'information incombant aux responsables du traitement. Il prévoit la suppression de la plupart de ces dispositions mais maintient néanmoins des obligations particulières lorsque les informations sont communiquées par voie d'affichage, en imposant que ces informations soient dans ce cas, sur simple demande orale ou écrite de la personne concernée, également fournies sur un support écrit ou, avec l'accord de la personne, par voie électronique.
    A cet égard, la commission relève que les articles 12 et 13 du Règlement définissent l'objectif de transparence et les critères permettant de satisfaire à cette obligation, et en particulier la nécessité de prendre des « mesures appropriées pour fournir toutes informations […] d'une façon concise, transparente, compréhensible et aisément accessible ». La nature de ces mesures appropriées n'est pas précisément définie par le Règlement, une marge de manœuvre étant laissée aux responsables du traitement dans l'identification des moyens permettant d'atteindre cet objectif de transparence. Ces dispositions ne prescrivent pas davantage les modalités pratiques devant être mises en œuvre par les responsables du traitement pour informer les personnes concernées, ni les modalités particulières d'information par voie d'affichage.
    La commission considère dès lors que les dispositions du projet de décret pourraient s'avérer plus prescriptives que celles du Règlement en matière de transparence et d'information des personnes concernées. En outre, si elle estime que les modalités prévues par le projet de décret permettent effectivement, dans certaines situations, de rendre cette information aisément accessible lorsqu'elle est portée à la connaissance des personnes par voie d'affichage, la commission relève que d'autres modalités pourraient, en pratique, apparaître tout aussi, voire plus pertinentes et adaptées au regard de certains traitements. Enfin, le projet de décret traite uniquement de la fourniture de l'information par voie d'affichage et n'aborde pas les autres voies par lesquelles l'information peut être fournie.
    Au regard de ces éléments, la commission s'interroge sur le maintien de ces dispositions du projet de décret, qui définissent des obligations plus précises que celles du Règlement, pouvant dans certains cas apporter une protection moindre aux personnes et applicables uniquement à l'information fournie par voie d'affichage.
    Sur les modalités d'exercice des droits :
    Le 4° de l'article 23 du projet de décret vise également à modifier les dispositions de l'article 92 du décret du 20 octobre 2005 modifié relatives à l'identification des demandeurs dans le cadre de l'exercice de leurs droits auprès d'un responsable du traitement ou d'un sous-traitant. Il prévoit que l'organisme peut, en cas de doute raisonnable, demander des compléments d'information, y compris un titre d'identité, au demandeur et que, lorsqu'il s'agit d'un traitement mis en œuvre par l'Etat, la photocopie d'un titre d'identité peut être directement demandée.
    L'article 12 du Règlement, qui impose au responsable du traitement de faciliter l'exercice des droits des personnes, lui permet en effet, en cas de doute raisonnable sur l'identité de la personne exerçant ses droits, de demander les informations complémentaires nécessaires à la confirmation de cette identité.
    La commission rappelle néanmoins qu'une copie d'un titre d'identité ne doit être sollicitée que si elle est nécessaire au traitement de la demande, conformément au Règlement. En effet, la sollicitation systématique d'une pièce d'identité peut constituer un frein à l'exercice des droits des personnes, notamment dans le cadre des traitements liés aux activités en ligne, dès lors qu'elle aboutit à requérir des personnes concernées un niveau d'authentification plus forte en cas d'exercice de leurs droits que dans le cadre de leur utilisation du service. En outre, une telle exigence systématique pourrait conduire le responsable du traitement à traiter des données excessives au regard des finalités poursuivies, en méconnaissance du principe de minimisation des données.
    La commission estime dès lors que le projet de décret devrait limiter les cas dans lesquels le responsable du traitement, qu'il s'agisse ou non de l'Etat, peut exiger une pièce d'identité aux seules situations qui le nécessitent. Il devrait également mentionner la faculté pour les personnes d'exercer leurs droits via l'utilisation de données d'identité numériques lorsque ces données sont estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
    Le 6° de l'article 23 du projet de décret vise quant à lui à modifier les dispositions de l'article 94 du décret du 20 octobre 2005 modifié et prévoit notamment que le silence gardé par le responsable du traitement ou le sous-traitant, à la suite d'une demande d'exercice d'un droit et à l'issue des délais prévus par le Règlement, vaut« décision de refus ».
    Si cette précision permet utilement de « lier » le litige et de le porter devant la commission ou devant le juge, elle ne doit cependant pas être interprétée par les organismes comme atténuant leur obligation de répondre à la demande d'exercice d'un droit dont ils sont saisis, d'informer la personne des motifs de leur inaction ni de motiver un éventuel refus, conformément aux dispositions du Règlement.
    Sur le droit d'opposition :
    Le 8° de l'article 23 du projet de décret vise à modifier les dispositions de l'article 96 du décret du 20 octobre 2005 modifié, relatif au droit d'opposition. Il prévoit le maintien d'obligations particulières concernant l'exercice de ce droit, que la personne doit pouvoir faire valoir « avant la validation définitive des réponses » ou, en cas de collecte des données par voie orale, « avant la fin de la collecte des données ».
    La commission relève tout d'abord que le projet de décret ne vise que l'article 21 du Règlement. Elle considère que l'article 38 de la loi du 6 janvier 1978 modifiée devrait également être visé, dans la mesure où il a vocation à pouvoir s'appliquer aux traitements relevant du champ d'application de la Directive et aux traitements qui ne relèvent ni du champ d'application du Règlement ni de celui de la Directive.
    Elle souligne en outre que le droit d'opposition est un droit fondamental pour les personnes concernées qui leur permet de maîtriser l'utilisation qui est faite de leurs données personnelles par les responsables de traitement, notamment en matière de prospection. Le projet de décret prévoit ainsi, utilement, de maintenir des dispositions spécifiques pour préciser les modalités d'exercice de ce droit.
    La commission considère toutefois que les dispositions projetées devraient être modifiées pour clarifier la rédaction de son premier alinéa et pour faire plus fidèlement écho aux dispositions du Règlement, dont l'article 21 prévoit que les personnes concernées peuvent exercer leur droit d'opposition« à tout moment ». Les mentions « avant la validation définitive des réponses » et « avant la fin de la collecte desdonnées » peuvent apparaître trop prescriptives au regard desdites dispositions. Il convient néanmoins que, dans les deux cas visés et en particulier en matière de prospection, commerciale ou non, le droit d'opposition puisse être exercé au moment de la collecte des données, ce qui correspond au moment auquel les personnes sont informées des finalités pour lesquelles leurs données sont collectées et traitées ainsi que des droits dont elles disposent, conformément à l'article 13 du Règlement. La reprise de la formulation de l'article 21 du Règlement permettra atteindre cet objectif.
    Sur le droit de rectification :
    Le projet de décret ne prévoit pas de modifier l'article 100 du décret du 20 octobre 2005 modifié, relatif aux justificatifs devant être produits par l'héritier demandant la mise à jour des données personnelles concernant un défunt.
    La commission rappelle néanmoins que ledit article 100 vise uniquement le droit de rectification et non l'ensemble des droits que les héritiers peuvent exercer après le décès de la personne concernée en application du III de l'article 40-1 de la loi du 6 janvier 1978 modifiée. Elle regrette en outre que le décret d'application prévu par lesdites dispositions n'ait pas été adopté à ce jour, alors même que ces dispositions ont été introduites dans la loi par la loi n° 2016-1321 du 7 octobre 2016 et que les dispositions de l'article 40-1 sont difficilement applicables en l'absence de ce décret.
    Sur les dérogations aux droits des personnes applicables au traitement à des fins de recherche scientifique ou historique ou à des fins statistiques :
    Le 10° de l'article 23 du projet de décret prévoit d'insérer un nouvel article 100-1 au décret du 20 octobre 2005 modifié, relatif aux dérogations qui peuvent être apportées aux droits des personnes en ce qui concerne les traitements de recherche scientifique, historique et statistique. Il vise à faire application des dispositions nouvellement prévues au troisième alinéa de l'article 36 de la loi du 6 janvier 1978 modifiée, en déterminant dans quelles conditions et sous réserve de quelles garanties il peut être dérogé aux droits d'accès, de rectification, de limitation et d'opposition à l'égard de tels traitements.
    Les conditions générales dans lesquelles de telles dérogations peuvent intervenir, qui reprennent les dispositions de l'article 89 du Règlement applicables à ces traitements, n'appellent pas d'observation de la part de la commission. Il en est de même des garanties prévues au deuxième alinéa du projet d'article 100-1du décret du 20 octobre 2005 modifiée, qui reprennent également des dispositions générales applicables à tout traitement de données.
    En revanche, la commission relève que les dispositions projetées ne prévoient aucune distinction, s'agissant des conditions comme des garanties applicables, entre les différentes catégories traitements de données en cause. Dans la mesure où ces traitements sont susceptibles de se caractériser par une grande hétérogénéité et concerner des catégories de responsables de traitement variées, la commission estime que les conditions dans lesquelles des dérogations aux droits des personnes peuvent être prévues ainsi que les garanties encadrant de telles dérogations doivent être précisément adaptées à chacune de ces catégories, en s'interrogeant par exemple sur le distinction entre les différentes finalités prévues ainsi que les objectifs généraux poursuivis par les traitements en cause, qui peuvent être mis en œuvre à des fins d'intérêt public ou poursuivre un intérêt privé ou commercial.
    Le projet d'article 100-1 du décret du 20 octobre 2005 modifié précise en outre les conditions de diffusion des données issues de ces traitements, sans que ces précisions n'apparaissent pourtant nécessaires au vu des dispositions du dernier alinéa de l'article 36 de la loi du 6 janvier 1978 modifiée.
    A cet égard, la commission souligne que la rédaction des dispositions projetées, qui prévoient une diffusion possible sans anonymisation des données dans certaines conditions, ne semblent pas compatibles avec celles prévues à l'article 89 du Règlement, aux termes desquelles, au titre des mesures devant être mises en œuvre pour assurer le respect du principe de minimisation des données, « chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière ». L'anonymisation doit être présentée, en rédaction, comme la priorité. S'agissant de la diffusion de documents administratifs communicables, la commission s'interroge en outre sur la conformité des dispositions projetées du deuxième alinéa de l'article L. 312-1-2 du code des relations entre le public et l'administration.
    La commission estime dès lors que si des dispositions expresses concernant la diffusion de données issues des traitements mis en œuvre à des fins de recherche scientifique ou historique ou à des fins statistiques devaient être maintenues, elles devraient être substantiellement modifiées et correspondre aux mesures mentionnées aux considérants (156) à (162) du Règlement en la matière.
    Sur les transferts internationaux de données :
    L'article 24 du projet de décret vise à modifier le titre VII du décret du 20 octobre 2005 modifié, relatif aux transferts de données vers les Etats n'appartenant pas à l'Union européenne. Il prévoit la suppression de la plupart des dispositions concernant ces transferts, dorénavant directement encadrés par les dispositions du Règlement, et n'appelle pas d'observation particulière de la part de la commission.
    Néanmoins, elle estime que le projet de décret pourrait utilement prévoir les modalités et le contenu de l'information de la CNIL et de la personne concernée, dans le cadre des transferts dérogatoires mentionnés au dernier alinéa de l'article 49 du Règlement. Il devrait en outre prévoir l'information de la commission concernant les catégories de transferts relevant des articles 37.2 (garanties appropriées) et 39.3 (transferts dérogatoires) de la Directive. En effet, ces textes prévoient une information active de la part du responsable du traitement, et non la seule possibilité, pour la commission, d'avoir accès à cette information par la sollicitation des registres.
    A minima, il pourrait être prévu que la commission peut éditer des formulaires indiquant les éléments d'informations à transmettre dans chacune de ces situations, à l'instar de ce que prévoit le décret du 20 octobre 2005 modifié en ce qui concerne les formalités préalables.
    Sur les traitements relevant du champ d'application de la Directive :
    L'article 25 du projet de décret a pour objet de préciser les dispositions législatives applicables aux traitements relevant du chapitre XIII de la loi du 6 janvier 1978 modifiée, à savoir les traitements relevant de la Directive dite « Police/Justice ». Il prévoit la création de nouveaux articles 110 à 110-6 du décret du 20 décembre 2005 modifié, au sein d'un titre VIII consacré aux dispositions applicables à ces traitements.
    De manière générale et au même titre qu'elle avait pu regretter au cours de l'examen des dispositions du projet de loi relatif aux données personnelles un « manque d'ambition » s'agissant de la transposition de la Directive en droit interne, la commission constate que les dispositions réglementaires projetées constituent le plus souvent une reprise in extenso des termes de la loi ou de ceux de la Directive, sans que leurs modalités d'application effective ne fassent l'objet des précisions nécessaires, en particulier sur les points suivants.
    Sur les dispositions générales applicables à ces traitements :
    Le projet d'article 110-1 du décret du 20 octobre 2005 modifié concerne les analyses d'impact relatives à la vie privée. Les dispositions projetées n'appellent pas d'observation particulière de la part de la commission, à l'exception de celles prévues en son dernier alinéa qui devraient être modifiées pour prévoir que l'analyse d'impact relative à un traitement présentant des risques élevés et non mis en œuvre pour le compte de l'Etat peut également être transmise par le sous-traitant et non uniquement par le responsable du traitement. De même, l'obligation de transmettre à la commission toute autre information lui permettant d'apprécier la conformité du traitement ne devrait pas être limitée au seul responsable du traitement.
    Le projet d'article 110-3du décret du 20 octobre 2005 modifié a vocation à régir le droit à l'information des personnes concernées en cas de mise en œuvre, de manière conjointe par plusieurs responsables, d'un traitement relevant du champ d'application de la Directive. Il est prévu que la désignation du point de contact pour les personnes concernées est dans ce cas obligatoire, dans l'acte instaurant le traitement lorsque celui-ci est mis en œuvre pour le compte de l'Etat et dans l'accord conclu entre les responsables conjoints du traitement lorsqu'il est mis en œuvre par une autre autorité compétente.
    La commission relève que le premier alinéa du projet d'article 110-3 du décret du 20 octobre 2005 modifié constitue une reprise in extenso de l'article 21.1 de la Directive. Elle s'interroge toutefois sur l'articulation de cette disposition avec l'article 70-18 de la loi du 6 janvier 1978 modifiée dans l'hypothèse où le point de contact serait le délégué à la protection des données, dans la mesure où la mise à disposition des personnes concernées des coordonnées de ce dernier ne constituerait alors plus une faculté, comme le prévoit l'article 70-18 de la loi du 6 janvier 1978 modifiée, mais une obligation.
    Le deuxième alinéa du projet d'article 110-3 du même décret prévoit que, dans le cadre d'un traitement qui serait mis en œuvre par une autorité compétente pour son propre compte et dont l'acte instaurant le traitement n'aurait pas précisé lequel des responsables conjoints peut servir de point de contact unique pour la personne concernée pour exercer ses droits, les personnes concernées peuvent exercer leurs droits « à l'égard de et contre chacun des responsables de traitement ». La commission rappelle tout d'abord que, par principe, en cas de responsabilité conjointe, la désignation d'un point de contact est obligatoire. Elle s'interroge également sur le périmètre précisément couvert par cette disposition, dans la mesure où, dès lors que le traitement projeté ne serait pas mis en œuvre pour le compte de l'Etat, il n'est pas possible de considérer que la création de ce dernier soit nécessairement subordonnée à un « acte instaurant le traitement ». Elle estime à ce titre qu'il y aurait lieu de faire référence non pas uniquement à « un acte instaurant le traitement » mais également à « l'accord » tel qu'il pourrait être conclu entre les responsables de traitements conformément à l'article 21.2 de la Directive.
    Sur les dispositions générales relatives aux droits des personnes concernées :
    Les projets d'articles 110-4 à 110-6 du décret du 20 octobre 2005 modifié concernent les droits des personnes à l'égard des traitements relevant de la Directive. L'article 22 du projet de décret, qui modifie le titre V du même décret relatif aux dispositions particulières applicables aux traitements relevant des articles 26 et 42 de la loi du 6 janvier 1978 modifiée, prévoit aussi des modifications réglementaires relatives au droit d'accès indirect exercé par l'intermédiaire de la commission.
    La commission rappelle que l'information des personnes concernées dans le cadre de la mise en œuvre de traitement relevant du chapitre XIII de la loi du 6 janvier 1978 modifiée constitue une avancée particulièrement importante.
    Elle relève à cet égard que, si l'article 70-18 de cette loi prévoit une obligation de mise à disposition de certaines informations à la personne concernée, le projet d'article 110-4 prévoit en son premier alinéa que le « responsable de traitement prend des mesures raisonnables pour fournir toute information visée à l'article 70-18 »de la loi du 6 janvier 1978 modifiée. Elle rappelle que, si le responsable de traitement dispose d'une liberté de choix quant à la manière dont les informations en question peuvent être fournies aux personnes concernées, les personnes concernées doivent être informées conformément et dans les conditions prévues à l'article 70-18 de la loi « Informatique et Libertés ». Or, la rédaction telle que prévue du projet de décret est susceptible de faire peser sur les responsables de traitement une obligation de moyens et non une obligation de résultat. La commission considère dès lors que ces dispositions ne devraient pas faire référence, sans autre précision, à la notion de « mesures raisonnables ».
    Elle estime en outre que la faculté de délivrer cette information par le biais « du site internet de l'autorité compétente » est susceptible de créer une ambiguïté. En effet, si cette possibilité est expressément mentionnée au considérant (42) de la Directive, il s'agit d'une simple faculté qui ne doit pas exonérer le responsable de traitement de délivrer, par d'autres moyens, les informations prévues à l'article 70-18 de la loi du 6 janvier 1978 modifiée. A cet égard, la commission rappelle qu'il incombe notamment au responsable de traitement de tenir compte tant de l'objet du traitement que de la nature des personnes concernées figurant dans ce traitement, afin de déterminer le canal qui doit être privilégié pour s'assurer du caractère effectif de l'information délivrée au titre de l'article 70-18 précité.
    Enfin, la commission relève qu'en se rapportant uniquement au I de l'article 70-18 de la loi« Informatique et Libertés », les dispositions du projet de décret sont susceptibles de créer un a contrario avec les « informations additionnelles » mentionnées au II de ce même article. Dans ce contexte, elle s'interroge sur les modalités concrètes de mise à disposition de ces informations, la rédaction actuelle pouvant laisser suggérer que les informations concernées ne pourraient pas être mises à disposition par voie électronique, à tout le moins pas le biais d'un site internet.
    La commission regrette enfin que les dispositions réglementaires dont elle est saisie n'aient pas vocation à préciser les cas particuliers dans lesquels ces informations additionnelles peuvent être délivrées, ni les « informations complémentaires » qui, « au besoin », peuvent être communiquées aux personnes concernées. Cette absence est susceptible de priver d'effet utile les dispositions protectrices de la loi concernant l'information des personnes concernées par les traitements relevant du champ d'application de la Directive. Elle considère que le décret pourrait, par exemple, expressément viser les cas dans lesquels une collecte directe des données est réalisée directement auprès de ces personnes.
    S'agissant de l'exercice des droits des personnes, le projet de décret vise à mettre en œuvre, concernant le Traitement des Antécédents Judiciaires (TAJ) et le traitement GENESIS mis en œuvre par l'administration pénitentiaire, la règle posée par la loi (articles 70-18 à 70-20), en conformité avec la Directive, de l'exercice en principe direct des droits auprès du responsable du traitement.
    A titre liminaire, avant d'examiner les dispositions spécifiques au TAJ et GENESIS, la commission entend formuler trois séries d'observations générales sur le nouveau cadre juridique applicable.
    Elle rappelle en premier lieu que la loi du 6 janvier 1978 modifiée prévoit dorénavant, conformément aux dispositions de la Directive, le principe d'un exercice direct, par les personnes concernées, des droits dont ils disposent. Ces droits peuvent faire l'objet, dans certaines conditions, de restrictions par les responsables de traitement, qui doivent être prévues dans l'acte réglementaire portant création du traitement en cause. Dans ce cas, la personne concernée a la possibilité d'exercer par voie indirecte, dans des conditions similaires à celles prévues par les dispositions en vigueur avant l'adoption de la loi n° 2018-493 du 20 juin 2018.
    Ainsi, il résulte de ces nouvelles dispositions législatives que les actes réglementaires portant création de traitements relevant du champ d'application de la Directive peuvent prévoir trois dispositifs différents en la matière : soit l'exercice direct des droits par les personnes, sans restriction possible ; soit l'exercice direct des droits avec, en cas de restriction opposée à un demandeur par le responsable du traitement, la possibilité de saisir la commission aux fins d'exercer ces droits au nom des personnes concernées ; soit, au titre de ces restrictions, l'exercice d'emblée indirect de ces droits lorsque la nature du traitement et des données le justifie.
    En deuxième lieu, la commission souligne que le principe d'exercice direct des droits marque une avancée majeure, qui a pour but de renforcer les droits des personnes à l'égard des traitements concernés.
    Elle relève néanmoins que, pour les actes réglementaires qui s'inscriront dans la nouvelle logique d'un exercice des droits par principe direct avec possibilité d'opposer au cas par cas des restrictions, cette avancée ne se concrétisera pleinement que dans la mesure où, dans la pratique, les responsables du traitement n'opposeront pas systématiquement une restriction aux demandes des personnes concernées. En effet, le nouveau dispositif ajoute une étape dans la chaîne d'exercice des droits avant la saisine, sur le mode du droit d'accès indirect, de la commission. Il en résulte un allongement des délais de traitement des demandes d'exercice des droits, qui pourrait s'avérer dans certains cas préjudiciable aux personnes concernées, compte tenu des enjeux concrets, tels que l'accès à un emploi.
    Au regard de ces enjeux, la commission relève que le projet de décret ne comporte aucune disposition générale sur ce point et ne comporte pas, en particulier, de grille de lecture transversale concernant ces nouvelles modalités d'exercice des droits des personnes à l'égard des traitements relevant du champ d'application de la Directive. Le soin de décliner ces modalités est renvoyé, conformément à la loi, aux actes réglementaires respectifs créant les différents traitements concernés.
    La commission estime qu'il conviendra donc, pour chaque acte réglementaire portant création d'un traitement soumis aux dispositions du nouveau chapitre XIII de la loi du 6 janvier 1978 modifiée, de s'inscrire dans la mesure du possible dans la nouvelle orientation (exercice des droits en principe direct), tout en tenant compte de l'équilibre le plus adapté à l'objet du traitement en cause, aux catégories de données qu'il comporte et aux droits des personnes concernées. Il conviendra par ailleurs d'évaluer les nouveaux dispositifs, par exemple à l'issue d'un délai d'un an.
    En troisième lieu, la commission estime en tout état de cause que le projet de décret devrait au moins prévoir une condition nouvelle de recevabilité des demandes adressées à la commission aux fins de l'exercice indirect des droits à l'égard des fichiers relevant du champ de la Directive. En effet, dans la mesure où le projet de décret implique que la commission ne constitue plus nécessairement l'interlocutrice première des personnes souhaitant exercer leurs droits à l'égard de certains traitements, sa compétence sera subordonnée à la preuve de l'engagement d'une démarche préalable auprès du responsable du traitement et d'un refus ou d'une limitation d'accès, que ces derniers soient ou non explicités.
    Sur les dispositions relatives aux traitements TAJ et GENESIS :
    L'article 28 du projet de décret vise à modifier les dispositions du code de procédure pénale (CPP) concernant le TAJ et le fichier GENESIS. En ce qui concerne le TAJ, il abroge les dispositions actuelles de l'article 87-1 du décret du 20 octobre 2005 modifié, relatif à la procédure et aux délais de traitement des demandes de droit d'accès indirect à ce traitement, et intègre l'ensemble des dispositions applicables au sein d'un nouvel article R. 40-33.III du CPP.
    Il est prévu, pour le TAJ, un principe de droit d'accès direct, assorti de restrictions pouvant être opposées aux personnes pour des motifs particulièrement larges (« éviter de gêner des enquêtes, des recherches, des procédures administratives ou judiciaires, de nuire aux enquêtes, aux poursuites ou à l'exécution de sanctions pénales »). Pour GENESIS, il est prévu un même dispositif mais uniquement pour certaines catégories de données (« dates de transfert ou d'extraction des détenus », par exemple), les autres données relevant d'un droit d'accès direct sans restriction possible par le responsable du traitement.
    Si, actuellement, l'acte réglementaire relatif à ces traitements prévoit l'exercice des droits auprès de la commission (droit d'accès indirect), les personnes pourront donc, sur la base des dispositions projetées, présenter dans un premier temps une demande directement auprès du responsable du traitement, la saisine éventuelle de la commission n'intervenant que dans un second temps, dans les hypothèses où le responsable leur aura opposé une restriction.
    Ainsi que la commission l'a souligné précédemment, cette évolution réglementaire constitue une avancée notable pour les droits des personnes. En particulier, la commission ne peut que se satisfaire que les personnes ne faisant l'objet d'aucun enregistrement dans le TAJ puissent désormais obtenir directement et sans restriction cette information de la part du responsable du traitement. Les personnes enregistrées uniquement en tant que victime bénéficieront également d'une telle avancée, sous réserve que les procédures concernées soient judiciairement closes.
    Toutefois, la commission s'interroge, compte tenu des pratiques observées dans le cadre du dispositif antérieur à l'entrée en vigueur de la loi précitée du 20 juin 2018, sur l'impact concret du nouveau dispositif dans certains cas de figure, en particulier s'agissant des personnes enregistrées en tant que mises en cause dans le TAJ et, d'autre part, s'agissant de certaines données enregistrées dans GENESIS (dates d'extraction).
    La commission ne peut dès lors que rappeler ses observations générales sur la nécessaire effectivité de la mise en œuvre des droits d'accès directs dans le cadre du dispositif projeté et, compte tenu du choix fait, sur la nécessité d'évaluer en tout état de cause finement, à terme rapproché (un an), le nouveau système.
    La commission relève par ailleurs que pour le TAJ, placé sous le contrôle des procureurs de la République, le décret ne prévoit aucune disposition précisant les modalités et délais de leur saisine par les responsables du traitement, à l'instar de ce qui est prévu dans le cadre des vérifications conduites par la commission.
    Elle estime en outre que la désignation, par le ministère de l'intérieur, d'un service dédié à ce type de demandes pourrait permettre d'éviter que les personnes ne soient contraintes de s'adresser simultanément à la police ou à la gendarmerie nationales. Elle rappelle également que ce nouveau dispositif suppose une mobilisation particulière de l'ensemble des acteurs pour informer et accompagner les personnes dans l'exercice de leurs nouveaux droits. Cette pédagogie apparaît nécessaire pour éviter tout allongement supplémentaire du processus d'exercice des droits.
    S'agissant de la transition entre le dispositif actuel, concernant TAJ et GENESIS, et le dispositif prévu par le projet de décret, la commission considère qu'il serait souhaitable, pour les mêmes raisons, qu'elle puisse poursuivre jusqu'à leur terme les vérifications engagées au titre du droit d'accès indirect pour toutes les demandes reçues avant la date de publication du présent décret. Une disposition transitoire expresse pourrait utilement être prévue en ce sens.
    La commission relève enfin que, faute de toute modification des actes réglementaires relatifs aux autres fichiers relevant du champ de la Directive, les dispositions réglementaires lui attribuant compétence au titre du droit d'accès indirect en application des articles 41 ou 42 de la loi du 6 janvier 1978 modifiée demeurent d'application.
    Sur les violations de données :
    L'article 27 du projet de décret vise à faire application des dispositions prévues au nouveau III de l'article 40 de la loi du 6 janvier 1978 modifiée, en fixant la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du Règlement, lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
    La commission relève à cet égard que le projet de décret vise « les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse ». Il est ainsi fait référence aux seuls traitements au sein desquels figurerait l'identité des fonctionnaires de la police nationale, de militaires, de personnels civils du ministère de la défense ou d'agents des douanes appartenant à des services ou unités désignés par arrêté du ministre intéressé et dont les missions exigent, pour des raisons de sécurité, le respect de l'anonymat.
    Elle estime qu'en faisant expressément à l'article 39 sexies de la loi du 29 juillet 1881, qui renvoie spécifiquement à certaines catégories de personnes appartenant à des unités spécialisés, la dérogation envisagée est précisément délimitée et apparaît nécessaire et proportionnée pour garantir la sécurité nationale, la défense nationale et la sécurité publique.
    En revanche, la commission s'interroge sur le périmètre exact de la dérogation projetée à l'article 27-2° du projet de décret, qui vise les traitements de données« de gestion administrative, financière et opérationnelle » ainsi que « les traitements de données de santé », sans autre précision. La commission rappelle que dès lors qu'il s'agit de déroger à l'obligation de principe d'information des personnes concernées, il convient d'assurer un strict équilibre entre la préservation des droits et libertés des personnes concernées et les éventuelles restrictions qui pourraient y être apportées. A cet égard, elle considère que les catégories de traitements mériteraient d'être précisées afin d'écarter toute ambiguïté, par exemple en faisant expressément référence aux traitements de gestion des ressources humaines s'agissant des « traitements de données de gestion administrative, financière et opérationnelle ».
    En tout état de cause, la commission rappelle que le critère prévu à l'article 40-III de la loi du 6 janvier 1978 modifiée, selon lequel « la notification d'une divulgation ou d'un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique », doit faire l'objet d'une interprétation stricte, afin de limiter aux seuls cas nécessaires l'absence d'information relative aux violations affectant les deux catégories de traitements concernées par les dispositions projetées.
    Le projet de décret vise à cet égard à préciser les critères permettant de caractériser « un risque pour la sécurité nationale, la défense nationale ou la sécurité publique », en mentionnant le « volume des données concernées par la violation et des informations relatives à la vie privée qu'elles comportent telles que l'adresse ou la composition de la famille ». La commission estime que ces critères, au demeurant non exhaustifs, sont insuffisamment précis pour délimiter strictement le champ de cette dérogation.
    En tout état de cause, la commission estime que les dispositions prévues à l'article 27 du projet de décret seraient utilement intégrées au décret du 20 octobre 2005 modifié, afin d'améliorer la lisibilité du cadre juridique en la matière.
    Au-delà des dispositions projetées, la commission formule deux séries de remarques concernant les violations de données.
    En premier lieu, elle s'interroge sur l'opportunité de préciser le cadre juridique applicable aux violations affectant les traitements relevant de la Directive, et non du Règlement. Si la lecture stricte des dispositions de l'article 70-16 de la loi du 6 janvier 1978 modifiée conduit à retenir une approche au cas par cas de la possibilité de déroger au principe d'information des personnes concernées par de tels traitements, elle s'interroge sur la possibilité de suivre une approche plus générale de telles restrictions, par voie réglementaire.
    En particulier, il pourrait être envisagé de prévoir la prise d'un décret en Conseil d'Etat, après avis de la commission, fixant la liste de traitements autorisés à déroger au droit à la communication des personnes concernées, à l'instar de ce que prévoit l'article 27 du projet de décret concernant les traitements relevant du champ d'application du Règlement. Il pourrait également être prévu, tout comme pour les restrictions apportées aux autres droits des personnes, que les actes réglementaires portant création des traitements concernés fassent mention d'une telle dérogation. La commission estime que, si de telles précisions réglementaires sont rendues possibles par les dispositions précitées de la loi, elles seraient utilement prévues afin de favoriser la lisibilité du droit en la matière, tant pour les personnes concernées que pour les responsables du traitement.
    En second lieu, la commission observe que le présent projet de décret ne modifie aucunement les dispositions prévues aux articles 91-1 et suivants du décret du 20 octobre 2005 modifié, relatives aux notifications, à la commission et aux personnes concernées, des violations affectant les traitements mis en œuvre par les fournisseurs de services de communications électroniques.
    Ces dispositions restent en effet nécessaires à la transposition en droit interne des obligations spécifiques prévues en la matière par la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « e-privacy »). Néanmoins, il est prévu que ladite directive soit prochainement abrogée par un règlement, dans lequel ne figurerait pas d'obligation spécifique en matière de violation de données et qui renverrait aux dispositions de droit commun prévu par le Règlement en ce domaine.
    La coexistence de ces deux régimes de notification des violations, dont les conditions et modalités diffèrent sur plusieurs points, produit ainsi un effet peu satisfaisant en termes de lisibilité de l'état du droit et en termes opérationnels pour les professionnels devant mettre en œuvre concurremment les deux dispositifs.
    En tout état de cause, ces dispositions doivent néanmoins être modifiées pour permettre la notification des violations de données au sens du Règlement par voie exclusivement électronique et la commission demande donc que l'article 91-1 du décret du 20 octobre 2005 modifié soit modifié en ce sens.
    Sur les traitements de données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes :
    L'article 26 du projet de décret vise à faire application des dispositions prévues au 1o de l'article 9 de la loi du 6 janvier 1978 modifiée, en fixant la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements portant sur de telles données.
    La commission estime à titre général que la liste projetée est adéquate et proportionnée, dans la mesure où elle couvre les catégories de personnes morales de droit privé collaborant au service public de la justice connues de la commission dont les missions nécessitent le traitement de données relatives à des infractions.
    Elle s'interroge néanmoins sur la catégorie prévue au 3° de l'article 26 du projet de décret, et plus précisément sur les établissements et services mentionnés au 2° de l'article L. 312-1 du code de l'action sociale et des familles, dont les missions n'apparaissent pas nécessairement, en l'état des éléments transmis à la commission et sous réserve de compléments, exiger le traitement de telles données. A l'inverse, la mention, au 4° du même article 26, des seuls établissements médicaux ou médico­ pédagogiques habilités mentionnés aux articles 15 et 16 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante, semble écarter la possibilité pour les autres organismes mentionnés aux mêmes articles, et notamment aux institutions et établissements privés d'éducation ou de formation professionnelle et aux internats appropriés aux mineurs délinquants d'âge scolaire, de traiter de telles données, qui apparaissent pourtant nécessaires à l'exercice de leurs missions. Le projet de décret serait don utilement modifié sur ces deux points.
    Enfin, la commission estime que les dispositions prévues à l'article 26 du projet de décret seraient utilement intégrées au décret du 20 octobre 2005 modifié, afin d'améliorer la lisibilité du cadre juridique en la matière.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 331,7 Ko
Retourner en haut de la page