TITRE V - DISPOSITIONS DIVERSES ET FINALES
Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31, 39, 42, 67, 70, 71 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et art. 226-16-1-A du code pénal) - Coordinations
L'article 21 du projet de loi procède à la suppression des dispositions de la loi Informatique et libertés incompatibles ou en contradiction directe avec celles du règlement général sur la protection des données et de la directive relative aux traitements en matière de « police et pénale », en raison notamment de la disparition de la plupart des formalités préalables. Il procède également à plusieurs coordinations légistiques.
Votre commission a adopté les amendements de coordination COM-88 et de cohérence COM-80 de son rapporteur et adopté l'article 21 ainsi modifié.
Article 22 - Publication du « fichier des fichiers » par la CNIL
L'article 22 du projet de loi maintient pendant dix ans l'obligation pour la CNIL de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements ayant fait l'objet de formalités préalables auprès d'elle antérieurement au 25 mai 2018.
Depuis 2004 137 ( * ) , la CNIL doit mettre à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités préalables obligatoires de déclaration ou d'autorisation (prévues par les articles 23 à 27 de la loi Informatique et libertés) à l'exception de traitements dits de « souveraineté » dont les actes réglementaires de création sont dispensés de publication (traitements mentionnés au III de l'article 26 de ladite loi).
Répondant à une recommandation du Conseil d'État qui, dans son rapport Le numérique et les droits fondamentaux , soulignait la pertinence d'offrir une vision complète de l'ensemble des traitements de données soumis à la connaissance de la CNIL, l'article 55 de la loi pour une République numérique avait prévu la publication de cette liste en open data dans un « format ouvert et aisément réutilisable ».
Le contenu du « fichier des
fichiers » de la CNIL
La CNIL tient à la disposition du public une liste (en pratique des fichiers de donnés au format .csv) qui précise pour chacun des traitements ayant fait l'objet d'une formalité préalable obligatoire auprès de l'autorité (déclaration ou autorisation, à l'exception de certains fichiers de souveraineté) : 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ; 2° La dénomination et la finalité du traitement ; 3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre État membre de la Communauté européenne, celles de son représentant ; 4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès ; 5° Les catégories de données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ; 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne. |
La suppression de l'essentiel des formalités préalables pourrait conduire logiquement à la disparition du « fichier des fichiers », le nouveau règlement européen ne prévoyant d'ailleurs pas une telle obligation pour les autorités nationales de contrôle.
Le projet de loi propose néanmoins de maintenir cette liste à la disposition du public en open data pour une durée de dix ans après l'entrée en vigueur du RGPD le 25 mai 2018. Son contenu serait ainsi « figé » à cette date.
En effet, dans la mesure où de nombreux traitements déclarés ou autorisés se poursuivront après cette date, il serait préjudiciable pour le droit à l'information des personnes concernées de ne plus avoir connaissance de l'ensemble des traitements mis en oeuvre. Il sera ainsi possible de conserver un registre des autorisations existantes.
Votre commission a adopté l'article 22 sans modification.
Article 23 (art. 230-8, 230-9 et 804 du code de procédure pénale) - Modification du cadre légal des traitements d'antécédents judiciaires
L'article 23 du projet de loi tend à modifier le régime des fichiers relatifs aux antécédents judiciaires afin de le mettre en conformité avec la décision du Conseil constitutionnel n° 2017-670 QPC du 27 octobre 2017.
1. Le cadre actuel des fichiers relatifs aux antécédents judiciaires
• Les principes généraux
Depuis la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure , dite « LOPPSI 2 », les articles 230-6 à 230-11 du code de procédure pénale encadrent les traitements relatifs aux antécédents judiciaires.
Personnes mettant en oeuvre le traitement |
Services de la police nationale et de la gendarmerie nationale |
Art. 230-6 du code de procédure pénale |
Finalités |
Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs |
|
Données concernées |
Données à caractère personnel recueillies : - au cours des enquêtes et des instructions concernant tout crime ou délit ainsi que les contraventions de la cinquième classe sanctionnant un trouble à la sécurité ou à la tranquillité publiques ou une atteinte aux personnes, aux biens ou à l'autorité de l'État ; - au cours des procédures de recherche des causes de la mort ou d'une disparition. |
|
- Informations concernant toute personne, mineure ou majeure, à l'encontre de laquelle il existe des indices graves ou concordants rendant vraisemblable qu'elle ait participé, comme auteure ou complice, à la commission de l'une de ces infractions ; - informations concernant les victimes ; - informations concernant les personnes faisant l'objet d'une enquête ou instruction pour recherche des causes de la mort ou d'une disparition. |
Art. 230-7 du code de procédure pénale |
|
Autorité de contrôle |
Contrôle du procureur de la République territorialement compétent et du magistrat spécialement désigné à cet effet par le ministre de la justice |
Art. 230-8 et 230-9 du code de procédure pénale |
Personnes ayant accès au traitement |
Personnels des services de la police et de la gendarmerie Personnels de l'État investis par la loi d'attributions de police judiciaire (agents des douanes par exemple) Magistrats du parquet et juges d'instruction |
Art. 230-10 du code de procédure pénale |
Le fichier « Traitement des antécédents judiciaires » (TAJ) Le fichier « Traitement des antécédents judiciaires », dit « TAJ », met en oeuvre le cadre légal défini par les articles 230-6 à 230-11 du code de procédure pénale. Fichier d'antécédents commun à la police et à la gendarmerie nationales, le TAJ a été créé pour remplacer les fichiers JUDEX et STIC. Au 31 décembre 2017, 14 396 267 personnes étaient enregistrées dans TAJ en tant que mises en causes et 45 028 933 en tant que victimes. Bénéficiant d'interconnexions, le fichier TAJ est alimenté par le logiciel de rédaction des procédures de la police nationale (LRPPN), le logiciel de rédaction des procédures de la gendarmerie nationale (LRPGN) et le fichier des objets et véhicules signalés (FOVeS). À terme, le TAJ devrait être totalement interconnecté avec CASSIOPEE 138 ( * ) afin de permettre une mise à jour, dans le TAJ, des données personnelles de l'auteur mais également de l'état des affaires (relaxes, acquittement, ordonnance de non-lieu, etc .). Le TAJ peut être consulté dans un cadre d'enquêtes judiciaires ou dans un cadre d'enquêtes administratives (menées en vue de l'acquisition de la nationalité française et de la délivrance de titres pour les étrangers, la promotion dans les ordres nationaux et l'accès à certains emplois, notamment ceux participant à l'exercice des missions de souveraineté de l'État ou relevant du domaine de la sécurité ou de la défense). |
• Les durées de conservation des données
Les durées de conservation des données sont fixées par voie réglementaire (voir tableau ci-dessous).
Durée de conservation |
Champ |
|
Durée de droit commun applicable aux auteurs |
20 ans |
Toute infraction sauf exceptions |
Durée réduite applicable aux auteurs |
5 ans |
Exemples : délits routiers, délit d'usage de stupéfiants, etc . |
Durée allongée applicable aux auteurs |
40 ans |
Exemples : infractions contre les personnes (violences, viols, etc .), contre les biens (extorsion), terrorisme, évasion, etc . |
Durée de droit commun applicable aux mineurs |
5 ans |
Toute infraction sauf exceptions |
Durée allongée applicable aux mineurs |
10 ans |
Exemples : vol avec violence, exhibition sexuelle, etc . |
20 ans |
Exemples : agression sexuelle,
|
|
Durée applicable aux victimes |
15 ans |
Toute infraction |
Durée applicable à certains types d'enquête |
Effacement dès lors
|
Personnes faisant l'objet d'une enquête ou d'une
instruction pour recherche des causes de la mort,
|
Source : article R. 40-27 du code de procédure pénale
• Les mécanismes d'effacement anticipé
Concernant les personnes mises en cause, l'article 230-8 du code de procédure pénale prévoit deux mécanismes d'effacement anticipé des données :
- un droit , en principe, à l'effacement en cas de décision de relaxe ou d'acquittement devenue définitive : par dérogation, le maintien de l'information est possible « pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de l'intéressé » - dans cette hypothèse, l'information est inaccessible lors d'une recherche dans le cadre d'enquêtes administratives ;
- une possibilité d'effacement en cas de décision de non-lieu ou de classement sans suite : par principe, ces informations sont maintenues et ces décisions font l'objet d'une mention, sauf si le procureur de la République en ordonne l'effacement.
Par ailleurs, la rectification des données pour requalification judiciaire est de droit.
Cadre actuel d'effacement anticipé des données
Type de décision |
Principe |
Dérogations |
Relaxe ou acquittement, devenu définitif |
Effacement |
Sauf si le procureur en prescrit le maintien (mention) => il en avise la personne concernée |
Non-lieu ou classement sans suite |
Mention |
Sauf si le procureur en prescrit l'effacement |
Les exigences constitutionnelles et conventionnelles ont conduit le législateur à modifier ce régime.
À propos du TAJ, dans un arrêt Brunet c/ France du 18 septembre 2014, la Cour européenne des droits de l'homme a conclu à la violation par la France de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : à l'époque, l'effacement des données du TAJ n'était possible, en cas de classement sans suite, que lorsque celui-ci était motivé par une insuffisance de charges et aucun recours n'était possible contre la décision du procureur de la République territorialement compétent ou du magistrat référent.
Depuis la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale :
- l'ensemble des décisions de classement sans suite, quel qu'en soit le motif, peuvent donner lieu à effacement ;
- les décisions du procureur de la République tendant au maintien ou à l'effacement des données sont prises en fonction des finalités du fichier et au regard de la nature et des circonstances de commission de l'infraction et de la personnalité de l'intéressé ;
- les décisions du procureur de la République et du magistrat « référent » sont susceptibles de recours devant une juridiction judiciaire.
L'exercice des recours contre les décisions en
matière d'effacement,
Jusqu'à la loi n° 2016-731 du 3 juin 2016, les décisions prises par le procureur de la République, ou un magistrat référent, en matière d'effacement ou de rectification de données contenues dans un fichier étaient considérées, depuis une décision du Conseil d'État du 17 juillet 2013, comme des actes de gestion administrative du fichier 139 ( * ) , et non comme des mesures d'administration judiciaire. Dès lors, ces mesures pouvaient faire l'objet d'un recours pour excès de pouvoir devant le juge administratif. La loi n° 2016-731 du 3 juin 2016 tend à unifier le contentieux des refus d'effacement des mentions (qu'ils concernent le TAJ, le FNAEG ou le FNAED) : désormais, le président de la chambre de l'instruction de la cour d'appel est compétent pour statuer contre les décisions de refus d'effacement. |
2. L'objet de l'article 23 du projet de loi : garantir la constitutionnalité des modalités d'effacement des données inscrites dans les traitements d'antécédents judiciaires
L'article 23 du projet de loi vise à assurer la conformité à la Constitution des modalités d'effacement des données inscrites dans les traitements d'antécédents judiciaires.
En effet, dans une décision n° 2017-670 QPC du 27 octobre 2017, le Conseil constitutionnel a censuré, avec effet différé au 1 er mai 2018, le premier alinéa de l'article 230-8 du code de procédure pénale : il a jugé qu'« en privant les personnes mises en cause dans une procédure pénale , autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée ».
L'analyse du caractère proportionné (ou non) de l'atteinte à la vie privée par ce traitement a pris en compte :
- la nature des données susceptibles d'être enregistrées,
- le nombre important de personnes susceptibles d'être mises en cause ;
- l'absence d'encadrement législatif des durées maximales de conservation des données ;
- les finalités des possibilités de consultation de ce fichier.
Sans reconnaître un droit à l'effacement, le Conseil constitutionnel a estimé nécessaire que soit prévue par la loi la possibilité pour les personnes mises en cause inscrites dans un fichier d'antécédents judiciaires de solliciter et d'obtenir l'effacement de leurs données avant la fin de la durée maximale de conservation.
En conséquence, l'article 23 du projet de loi tend, par la modification de l'article 230-8 du code de procédure pénale, à renforcer les garanties légales en matière d'effacement anticipé des données.
En premier lieu, il est précisé que le contrôle opéré par le procureur de la République territorialement compétent s'exerce « d'office ou à la demande de la personne concernée » .
En deuxième lieu, il est prévu que toute personne concernée par « une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire , de non-lieu ou de classement sans suite » peut former, sans délai , une demande d'effacement, de complément ou de rectification.
Pour les « autres cas » , la personne pourra former sa demande lorsque « ne figure plus aucune mention dans le bulletin n° 2 de son casier judiciaire » , c'est-à-dire lorsque la condamnation a été considérée comme non avenue (par exemple, les condamnations assorties du bénéfice du sursis) ou que la personne a bénéficié d'une réhabilitation de plein droit ou judiciaire.
Considérant que le nombre de demandes de rectification serait susceptible d'augmenter, l'article 23 du projet de loi vise à allonger le délai d'examen de ces demandes par le procureur de la République territorialement compétent. Sur proposition de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a allongé d'un à deux mois le délai laissé au magistrat référent, compétent en application de l'article 230-9 du code de procédure pénale, pour statuer sur les demandes d'effacement.
3. La position de votre commission
Votre commission approuve l'économie générale de l'article 23 du projet de loi, sous réserve de l'adoption d'un amendement COM-84 de clarification présenté par son rapporteur. Comme la CNIL l'a souligné dans sa délibération, le projet de loi semble exiger un casier judiciaire vierge pour qu'une personne puisse faire une demande d'effacement alors même qu'une personne peut solliciter l'effacement de données concernant une procédure pénale autre que celle à l'origine de sa condamnation. Il convient de préciser qu'à peine d'irrecevabilité, les personnes condamnées ne peuvent former de demande d'effacement que lorsque ne figure plus dans le bulletin n° 2 de leur casier judiciaire de mention de nature pénale en lien avec la demande d'effacement.
Votre commission relève néanmoins que l'allongement à deux mois du délai de réponse n'apparaît pas justifié par des considérations autres que l'insuffisance des moyens humains et techniques du ministère public. D'ores et déjà, les parquets ne respectent pas ce délai d'un mois. Il convient d'encourager le ministère de la justice à renforcer ces moyens plutôt que d'affaiblir la protection effective des droits des personnes concernées pour des considérations budgétaires.
Par ailleurs, concernant l'exercice du droit d'accès indirect par la CNIL, votre rapporteur relève qu'en février 2015, la CNIL avait mis en demeure les ministères de l'intérieur et de la justice de respecter les délais maximaux de traitement prévus par voie réglementaire, à savoir trois mois. Or en 2017, le taux de carence des parquets dans la transmission des suites judiciaires restait élevé, à 37 %.
En conséquence, par l'adoption de l' amendement COM-81 de votre rapporteur, votre commission a souhaité maintenir les délais actuellement prévus par le code de procédure pénale. Il conviendrait de tirer les conséquences de cette durée légale sur les effectifs des services judiciaires.
Par ailleurs, votre rapporteur considère paradoxal que les droits des personnes mises en cause mais n'ayant même pas fait l'objet de poursuites soient moindres que ceux des personnes mises en cause ayant fait l'objet de poursuites mais ayant été relaxées ou acquittées. Or, dans la plupart des cas, les classements sans suite résultent d'une absence totale d'infraction ou d'une insuffisance de charges. Par l'adoption de l' amendement COM-83 de son rapporteur, votre commission a souhaité prévoir qu'en cas de décision de non-lieu ou de classement sans suite, par principe, les données des personnes mises en cause sont, sauf décision contraire, effacées.
Enfin, dans son avis n° 395119 du 30 mars 2016, le Conseil d'État a rappelé que « saisis d'une demande d'effacement de données qui ne sont pas au nombre de celles que l'article 230-7 du CPP autorise à collecter dans le traitement des antécédents judiciaires, le procureur de la République ou le magistrat référent mentionné à l'article 230-9 du même code, désignés par la loi pour contrôler le fichier, sont tenus d'en ordonner l'effacement. » À l'initiative de votre rapporteur et par l'adoption du même amendement COM-82, votre commission a souhaité affirmer clairement le droit des personnes à l'effacement des données inexactes, consacré par la directive (UE) 2016/680 : les personnes à l'encontre desquelles il n'existe aucun indice grave ou concordant ont le droit d'obtenir l'effacement de leurs données personnelles.
Votre commission a adopté l'article 23 ainsi modifié.
Article 23 bis (supprimé) (Art. L. 1461-7 du code de la santé publique) - Coordination
La coordination supplémentaire introduite par l'Assemblée nationale au sein de cet article isolé (et auquel ne s'appliquerait d'ailleurs pas l'entrée en vigueur différée prévue par l'article 24) a été directement intégrée au sein de l'article 13 dont elle découle.
Votre commission a adopté en conséquence un amendement COM-85 et supprimé cet article.
Article 24 - Entrée en vigueur au 25 mai 2018
L'article 24 du texte transmis fixe au 25 mai 2018 la date d'entrée en vigueur des principales dispositions de la présente loi.
Les différents droits, garanties, obligations et procédures prévues par le nouveau règlement seront applicables directement dans les États membres à compter du 25 mai 2018 140 ( * )
L'absence de régime transitoire figurant clairement dans le corps des articles du RGPD est apparue problématique à plusieurs des organisations rencontrées par votre rapporteur. À cet égard, il insiste sur le fait qu'il reviendra en définitive à la CNIL de tenir dûment compte du considérant 171 du RGPD aux termes duquel :
- d'une part, concernant le consentement , « lorsque le traitement est fondé sur un consentement en vertu de [l'ancienne directive de 1995], il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement »,
- d'autre part, concernant les formalités préalables , « les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de [l'ancienne directive de 1995], demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées . »
La directive doit, elle être transposée au plus tard le 6 mai 2018 (en application de son article 63) En raison de multiples renvois et notions communes, elle ne saurait cependant être transposée de façon satisfaisante tant que le règlement n'est pas en vigueur.
Dès lors, dans une optique de sécurité juridique et de simplification approuvée par le Conseil d'État, le projet de loi prévoit une entrée en vigueur indifférenciée, le 25 mai 2018, pour les dispositions mettant en oeuvre tant le Règlement que la Directive (à savoir les titres I er à III de la présente loi ainsi que deux articles portant dispositions transitoires et de coordination).
Concernant spécifiquement l'obligation de journalisation 141 ( * ) prévue pour les traitements de données régis par la directive , le Gouvernement a choisi d'en reporter de l'entrée en vigueur, comme ce texte le permet 142 ( * ) :
- au 6 mai 2023 lorsqu'une telle obligation de journalisation exigerait des efforts disproportionnés ;
- ou au 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.
À l'initiative de son rapporteur, votre commission a souhaité différer de deux ans, jusqu'au 25 mai 2020, l'entrée en vigueur de l'article 16 A , qui étend l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis ( amendement COM-86 ).
Votre commission a adopté l'article 24 ainsi modifié.
*
* *
Votre commission a adopté le projet de loi ainsi modifié.
* 137 Art. 4 de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 138 Chaîne applicative supportant le système d'information opérationnel pour le pénal et les enfants.
* 139 Cette décision, qui concernant le STIC, a été confirmée par la décision du Conseil d'État du 11 avril 2014, n° 360759, à propos du TAJ.
* 140 En effet, l'article 99 du RGPD précise que le règlement entre en vigueur le vingtième jour suivant sa publication au Journal officiel de l'Union européenne et n'est applicable que deux ans après ; le règlement ayant été publié le 4 mai 2016, il est entré en vigueur, stricto sensu , le 25 mai 2016, et sera applicable le 25 mai 2018.
* 141 Obligation fixée à l'article 25 de la directive et transposé par l'article 70-15 de la loi Informatique et Libertés dans sa rédaction résultant de l'article 19 du présent projet de loi.
* 142 Aux termes de l'article 63 (Transposition) :
« 2. Par dérogation (...), un État membre peut prévoir que, à titre exceptionnel, lorsque cela exige des efforts disproportionnés, les systèmes de traitement automatisé installés avant le 6 mai 2016 sont mis en conformité avec [l'obligation de journalisation] au plus tard le 6 mai 2023.
« 3. Par dérogation (...), un État membre peut, dans des circonstances exceptionnelles, mettre un système donné de traitement automatisé visé au paragraphe 2 du présent article, en conformité avec [l'obligation de journalisation] dans un délai déterminé après le délai visé au paragraphe 2 du présent article, lorsque, à défaut de cela, de graves difficultés se poseraient pour le fonctionnement du système de traitement automatisé en question. (...) Le délai déterminé n'est en aucun cas fixé au-delà du 6 mai 2026. »