La protection des données personnelles face aux nouvelles exigences de sécurité

Chapitre 2 : Une pluralité d'agents dans le rôle de contrôle des traitements de données personnelles.

Il est vrai que le régime juridique français en matière de données personnelles se caractérise par un large contrôle préalable du traitement des données selon une répartition entre deux modalités d'intervention, à savoir la déclaration et l'autorisation. Un autre paramètre caractérise le corpus juridique français, ce qui implique que l'on relativise l'impact des exigences nouvelles ayant entraîné certains ajustements. Il s'agit de l'idée selon laquelle le droit français considère que la sauvegarde des droits fondamentaux de la personne exige que le contrôle qui s'exerce face au traitement des données soit suffisament réparti entre plusieurs agents. Dans ce cadre, on peut observer que le contrôle exercé à l'égard du traitement est réparti entre deux agants principaux qui sont la CNIL et la personne concernée elle-même.

Tout d'abord, s'agissant de la CNIL, on observe qu'il lui est dévolu un véritable pouvoir de contrôle à titre préalable face au traitement de données personnelles. Son intervention s'affirme ainsi largement dans le cadre de la déclaration ou de l'autorisation auxquelles sont soumis les traitement de données personnelles. Mais son contrôle ne se réduit pas à un tel rôle d'examen a priori, la CNIL effectue également un contrôle qui consiste notamment à émettre des délibérations. La Commission est une autorité administrative indépendante investie de plusieurs missions pour lesquelles elle peut mettre en oeuvre un pouvoir réglementaire. Elle est ainsi habilitée à procéder par voie de recommandation et à prendre des décisions individuelles ou réglementaires. L'article 11 de la présente loi pose le cadre dans lequel peut s'exercer ce pouvoir, et à cet égard l'éventail de mesures dont elle dispose à ce titre peut faire office d'un certain contrôle à l'encontre du traitement des données personnelles, certes de moindre impact que celui ayant trait à son contrôle des formalités préalables mais néanmoins important si l'on admet que le contrôle doit aussi être entendu comme la faculté de fournir des avis et des recommandations. A ce titre, le contrôle qui s'exerce ici opére en quelque sorte comme certaines juridictions dont la fonction consultative permet de disposer d'un avis précisant certains points complexes ou d'interpréter la signification d'une norme particulière pour un cas de figure laissant en suspens des questions juridiques. Le rôle qu'elle a joué à l'égard des fichiers de police, et notamment du STIC, témoigne particulièrement de l'impact de ce type de contrôle informel que constituent les délibérations. Baffard William a pu dégager un "corps de règles" opposables à ce type de traitement47(*), on voit ainsi que si des délibérations n'ont pu aboutir à l'effet escompté aux termes de celles-ci, il en est d'autres qui ont été suivies par le législateur français au sujet de la création du STIC et des textes d'application. Ainsi par exemple, en ce qui concerne la durée de conservation des données, conformément aux prescriptions de la CNIL, la durée ne peut excéder un délai de cinq ans dès lors que ces données portent sur des mineurs.48(*) L'intervention de la CNIL par cette délibération a permis ainsi d'obtenir du législateur qu'il prenne en compte l'exigence de proportionnalité des conditions d'exercice de ce traitement à l'égard des mineurs, et sur cette base les données portant sur des mineurs collectées dans le cadre du STIC doivent être effacées à l'expiration du délai de cinq ans.

Ensuite, on doit mettre en évidence le rôle de contrôle accompli par un autre agent, à savoir l'intéressé lui-même. En effet, la personne concernée par le traitement en cause dispose de droits à l'encontre de celui-ci lui permettant d'opérer un certain contrôle. Il s'agit du droit d'opposition qui consiste à refuser que des données la concernant fassent l'objet d'un traitement, cette faculté d'opposition ne peut s'exercer que dans la mesure où la loi ne l'exclut pas expréssement.49(*) Il s'agit également du droit d'accès aux données faisant l'objet ou ayant fait l'objet d'un traitement.50(*) Autrement dit, sous réserve de certaines conditions, la personne concernée est fondée à demander au responsable du traitement de mettre à sa connaissance les données traitées qui la concernent. Aussi, doit-on relever que ce droit d'accès peut se décliner en deux types de contrôle, l'un étant limité puisqu'il ne vise qu'à l'information de la personne concernée, l'autre étant plus étendu car il consiste à permettre une éventuelle rectification des données par celle-ci. S'agissant du droit d'accès visant à l'information tel que prévu à l'article 39, notre étude a pu faire ressortir précédemment ce que cela recouvre quant aux types d'informations ouvertes à la disposition de l'individu concerné. Toutefois, on peut apporter des précisions sur une question significative, car s'agissant des données traitées dans ce que l'on appelle communément les "fichiers de sécurité", on peut observer que l'individu dispose d'un certain contrôle, et la jurisprudence administrative confirme cette tendance par deux arrêts relativement récents du Conseil d'État.51(*) En effet, cette jurisprudence montre bien la portée que le droit français reconnaît à cette exigence d'information puisque l'individu concerné peut accéder aux données traitées dans un fichier intéressant la sûreté de l'État, la défense et la sécurité publique. Ainsi, lorsque la communication des données à la personne concernée est susceptible de mettre en cause les fins assignées au traitement, l'intéressé peut agir auprès de la CNIL au titre de son droit d'accès, et par ce biais la CNIL est tenue de l'informer qu'il a été procédé aux vérifications nécessaires. Aussi, l'individu concerné est tout à fait fondé à procéder au contrôle des données traitées par le biais de son droit de rectification, de mise à jour et d'effacement de celles-ci. C'est ici l'article 40 qui régit l'exercice de cette prérogative accordée directement à la personne concernée. L'individu étant ainsi encore considéré comme un agent principal dans le processus de contrôle des traitements de données à caractère personnel, son rôle consistant à opérer un contrôle autour du traitement le concernant.

Au vu de ces différents éléments, on peut avancer que la France n'a pas altéré la "pierre angulaire" de son édifice juridique en matière de données personnelles puisque le principe de protection des droits fondamentaux de la personne en demeure la base essentielle et ce, quand bien même des évolutions se soient produites et des ajustements effectués par rapport à ces différentes exigences tels la libre circulation des données ou le paradigme sécuritaire de l'identification face au risque. Le contrôle de la CNIL constitue l'un des contrepoids visant à consolider la permanence du fondement du système français tenant à la protection des libertés et des droits de la personne se rapportant aux informations à caractère personnel. Et l'individu concerné demeure également l'un des agents de ce contrôle puisqu'il bénéficie d'une série de contrepoids face aux traitements le concernant directement. Cela traduit ici le caractère protéiforme du contrôle qui peut exister en France à l'encontre du traitement des données personnelles.

* 47 Dans ses travaux de recherche, il a développé une analyse de l'impact réel de la CNIL dans l'élaboration du STIC.

* 48 CNIL, délibération 98-097 du 24 novembre 1998.

* 49 Loi n° 2004-801, art. 38.

* 50 Ibid., art. 39 et s.

* 51 Moon, CE, 2002 et Skandrani, CE, 2006