La protection des données personnelles face aux nouvelles exigences de sécurité

B. Le respect des libertés fondamentales garanti par l'étendue du contrôle du traitement.

Si le modèle juridique français n'est pas affecté structurellement par les évolutions qui se sont mises en oeuvre dans le domaine des données personnelles, c'est en raison de contrepoids d'ordre substantiel visant à sauvegarder le principe de protection des libertés et des droits fondamentaux, mais c'est également en raison de contrepoids d'ordre procédural que la France consolide la préeminence de ce principe. A cet égard, deux éléments peuvent être soulignés, d'une part le large seuil de contrôle préalable existant autour des traitements de données à caractère personnel, et d'autre part la multitude des acteurs de ce contrôle.

Chapitre 1 : L'étendue élargie du contrôle préalable des traitements de données.

Tout d'abord, la question du contrôle des traitements de données personnelles peut être analysée sous l'angle de sa portée, et de ce point de vue on peut considérer dans une certaine mesure que le système juridique français vise essentiellement à consolider la prédominance du respect des droits fondamentaux tant la portée du contrôle préalable est élargie. En effet, on observe que le corpus juridique français s'articule autour d'un large contrôle préalable du traitement des données personnelles dont les modes d'intervention sont principalement de deux ordres. Ce contrôle préalable repose sur la répartition entre le système de la déclaration, et celui de l'autorisation. Ainsi les données personnelles traitées en France sont soumises à une protection multiforme que la CNIL assure a priori. En ce sens, on peut affirmer que l'évolution qui consiste à alléger les formalités préalables en vue de permettre la libre circulation des données n'a pas bouleversé la structure essentielle propre au modèle français selon lequel la protection des droits fondamentaux doit prévaloir en ce qui concerne le champ des données personnelles. On observe ainsi que si la loi de 2004 a pour effet d'abondonner la distinction entre fichiers publics soumis à autorisation et fichiers privés soumis à déclaration, il n'en demeure pas moins que ces deux types de contrôle subsistent au sein du système français, seule la distinction selon le critère du caractère public ou privé du traitement n'a plus lieu d'être. L'existence de ces deux modes d'intervention à titre de contrôle préalable n'est aucunement remise en cause, car l'objet de cet ajustement est uniquement d'opérer à l'établissement d'autres critères de classification.

Dès lors, dans cette perspective, on peut souligner que l'aménagement ainsi présenté consiste à préserver la dualité de ce système de contrôle préalable tout en favorisant le régime de la déclaration, formalité allégée de contrôle plus simple que le régime d'autorisation. C'est en cela que les articles 22 à 31 de la loi nouvellement rédigée organisent une répartition "résistante" aux différentes évolutions.

Tout d'abord, l'article 22 consacre en quelque sorte un régime de contrôle préalable de droit commun en ce sens qu'il énonce qu'à l'exception de certains cas de figure prévues aux articles 25 et suivants qui soumis à autorisation, le traitement des données personnelles doit faire l'objet en principe d'une déclaration. Ainsi, on retrouve ici l'idée selon laquelle la déclaration est la règle, et l'autorisation l'exception. Ce principe est assez révelateur de l'assise du principe directeur de sauvegarde des droits fondamentaux dans le système juridique français puisqu'il s'inscrit dans le prolongement logique de la tendance visant à assouplir les formalités préalables, tel qu'on l'a étudié précédemment, sans pour autant altérer l'existence de ces deux modalités de contrôle préalable garantissant un système "complet" de garanties à même d'assurer la préservation dudit principe directeur. Si le mécanisme de la déclaration constitue le mode principal de contrôle préalable, on observe en effet que le mécanisme d'autorisation demeure également un contrôle important. Elle recouvre non seulement un large "panel" de traitement de données personnelles, mais elle peut revêtir en plus différentes modalités d'intervention. L'article 25 énumère une liste de plusieurs catégories de traitement qui doivent faire l'objet d'une autorisation accordée par la CNIL, à ce titre on peut notamment relever les traitements de données sensibles justifiés par l'intérêt public, les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, ou encore ceux portant sur des données biométriques nécessaires au contrôle de l'identité des personnes ou même ceux comportant des appréciations sur les difficultés sociales des personnes. Tous ces types de traitement soumis à une obligation d'autorisation auprès de la CNIL montrent bien qu'il n'est aucunement question pour la France de réduire ce contrôle préalable renforcé aux seuls traitements opérés sous la responsabilité de personnes publiques à des fins de service public à caractère administratif, même si l'autorisation concerne dans une large mesure ce type de traitement.

L'autorisation doit préciser des éléments standards qui importent en premier lieu, c'est à dire la dénomination et la finalité du traitement, le service auprès duquel s'exerce le droit d'accès, les catégories de données à caractère personnel enregistrées et les destinataires auxquels ces données sont communiquées. On peut se reporter à l'article 29 de la présente loi qui pose ces différents éléments relevant du régime d'autorisation.43(*)

Une jurisprudence récente du Conseil d'État44(*) relative au fichier ELOI géré par le ministère de l'intérieur visant à traiter des données à caractère personnel dans le cadre de l'informatisation de la procédure d'éloignement des étrangers, peut être soulignée pour illustrer l'ampleur et la portée de ce contrôle préalable au regard de la sauvegarde des libertés et des droits fondamentaux de la personne. Le juge administratif a considéré que les requérants sont tout à fait fondés dans leur réclamation tendant à l'annulation de l'arrêté créant le fichier ELOI sur le fondement que l'obligation d'autorisation a été contournée. En effet, compte tenu de l'objet du fichier et de la nature des données traitées dans ce cadre, la création d'un tel fichier impose qu'elle soit préalablement autorisée par décret en Conseil d'État aprés avis de la CNIL, et en aucun cas à l'initiative exclusive d'un arrêté ministériel. Les libertés individuelles qui sont susceptibles d'être affectées par un tel traitement, notamment la liberté d'aller et de venir et le droit à la sûreté, sont ainsi garanties par l'exigence d'un contrôle préalable, en l'espèce d'un contrôle renforcé avec l'autorisation, lequel permet de préciser des éléments importants sur les conditions de mises en oeuvre de ce traitement. Et cette jurisprudence est d'autant plus significative lorsque l'on remarque que le juge administratif estime que le principe même de l'existence de ce fichier n'est pas en cause à cet égard. Cela témoigne de l'importance accordée à ce type de contrôle a priori. Et pour appuyer encore notre propos, on peut souligner le véritable impact de ce principe puisque ce fichier a été effectivement mis en oeuvre dès lors que les pouvoirs publics ont suivi cette exigence d'autorisation.45(*)

Dès lors, il convient de bien préciser que l'existence d'un contrôle préalable est un paramètre important dans l'optique de la protection des droits fondamentaux tels que l'intimité de la vie privée ou les libertés individuelles. En effet, le système juridique français en matière de données personnelles reconnaît un rôle très important à l'autorité administrative indépendante de la CNIL. La logique principale qui a guidé la création de la CNIL en 1978 était en effet d'assurer, par un organe indépendant, la licéité des traitements de données à caractère personnel. C'est d'ailleurs sans doute en raison de l'indépendance qui caractérise cet organe, que le droit français a développé une étendue aussi large de contrôle préalable assuré par l'intervention conjointe de la CNIL soit par déclaration ou par autorisation. Ainsi que le montre Sylvia Preuss-Laussinotte, le système juridique français privilégie le contrôlre a priori des traitements de données personnelles, alors même que les exigences européennes vont dans le sens d'un contrôle a posteriori au détriment du contrôle préalable dans l'optique de la libéralisation au sein de l'espace communautaire.46(*) On comprend ainsi que la France s'attache à maintenir la "pierre angulaire" de son système, à savoir la préeminence des droits fondamentaux en établissant des contrepoids aux évolutions. Et la préservation de la dualité des modes de contrôle préalable s'inscrit tout à fait dans une telle perspective puisque cela permet de disposer d'un large éventail de moyens permettant d'intervenir antérieurement à l'exercice du traitement envisagé.

Aussi dans le même ordre d'idées, on peut observer que ce contrôle, qu'il soit préalable ou postérieur, à l'exercice du traitement de données personnelles se caractérise également par la pluralité des acteurs de ce contrôle, ce qui implique que l'on étudie le rôle joué par la CNIL mais aussi et surtout par la personne concernée elle-même. Le rôle conféré à ces différents acteurs du contrôle s'inscrit également dans l'optique d'assurer autant que possible la préservation des droits de la personne, fondement de l'édifice juridique français.

* 43 Loi 2004-801, art.29.

* 44 Fichier Eloi, Conseil d'État, 12 mars 2007, (N°s 297888, 297896, 298085).

* 45 Cf décret 2007-1890 du 26 décembre 2007.

* 46 Sylvia Preuss-Laussinotte, op. Cit, p. 244.