12 juin 2018 : le conseil constitutionnel valide la loi relative à la protection des données personnelles

Alors que la Loi relative à la Protection des Données Personnelles, devant transposer en partie le RGPD (Règlement Général sur la Protection des Données), venait d'être acceptée, 60 sénateurs ont, le 16 mai 2018, saisi le Conseil Constitutionnel la considérant comme inintelligible et contestant la constitutionnalité de certaines de ses dispositions. | Publié le 18 juin 2018 par Hermann K
Quelques exemples de ce que la loi apporte

>> L'âge

L'un des premiers points que le législateur se devait de régler était l'âge à partir duquel un mineur est capable de donner son consentement à un traitement de données.

Il est ainsi prévu par le RGPD que pour le traitement de données de mineurs de moins de 16 ans, il convient d'obtenir le consentement du titulaire de l'autorité parentale. Le RGPD laissait cependant la possibilité à chaque pays de déterminer un autre seuil d'âge, tant que celui-ci restait compris entre 13 et 16 ans.

Dans cette loi, la France opte pour le seuil de 15 ans mais elle dispose en plus que le consentement peut être double : il peut être donné par le titulaire de l'autorité parentale ou par le mineur autorisé par ledit titulaire.

Chargé de vérifier la constitutionnalité de cette disposition, le Conseil Constitutionnel a déduit que le fait d'ajouter une manière de donner le consentement n'était pas contraire au texte du RGPD et n'enfreignait pas la Constitution.

>> Les décisions automatisées

Sous l'empire de la précédente loi, l'adoption de décisions automatisées produisant des effets juridiques prises par un algorithme suite à un traitement de données personnelles étaient interdites pour l'administration (à de rares exceptions près).

Maintenant, les cas dans lesquels l'administration peut fonder une décision sur un algorithme sont étendus (sauf les cas, toujours, où l'algorithme devrait, pour se prononcer, se baser sur des données personnelles sensibles).

Le Conseil Constitutionnel valide aussi cette disposition, au motif que les personnes concernées doivent être averties que leur décision a été fondée sur un algorithme, comment fonctionne l'algorithme, et pouvoir exercer un recours contre cette décision.

Une seule inconstitutionnalité

Dans tout le texte de loi, une seule inconstitutionnalité sera relevée par le Conseil : un article disposant que les traitements sur les données sensibles relatives aux infractions, condamnations pénales et mesures de sécurité peuvent être effectués "sous le contrôle de l'autorité publique".

En effet, cet article ne saurait être constitutionnel, le droit pénal français imposant une précision suffisante pour ne pas (ou très peu) laisser de place à l'interprétation, alors que les mots "sous le contrôle de l'autorité publique" ne permettant pas de savoir qui est visé par l'article ni les raisons pour lesquelles le traitement est autorisé.

Source :

Site officiel du Conseil Constitutionnel
Le géant du web se voit condamné à une amende sans précèdent de 746 millions d'euros pour non respect du RGPD. | 04 août 2021
L'Union européenne prévoit un règlement applicable sur l'Intelligence Artificielle semblable au RGPD. | 30 avril 2021
Publié le jeudi 15 avril, le nouveau rapport d'activité édité par Cybermalveillance.gouv.fr comporte de grandes parties sur les nouveaux services publiques, les chiffres de l'assistance … | 20 avril 2021