La décision n° 2018-765 DC du Conseil constitutionnel, rendue le 12 juin 2018, a validé l’essentiel des dispositions de la loi adaptant le droit français au Règlement général de protection des données (« RGPD »).
Saisi par des sénateurs LR, le Conseil constitutionnel a été amené à se prononcer sur le projet de loi visant à transposer la directive et à adapter le droit français au règlement.
En premier lieu, le Conseil est venu préciser les modalités de contrôle des actes de transposition des directives européennes, étendu aux projets de loi d’adaptation à un règlement européen. Son examen porte sur trois points. Tout d’abord, la loi d’adaptation doit être conforme à « l’identité constitutionnelle de la France ». De plus, la loi ne doit être « manifestement incompatible » avec le règlement européen. Enfin, l’exigence du respect du droit européen ne doit pas avoir pour effet de « porter atteinte à la répartition des matières entre le domaine de la loi et celui du règlement ».
Par la suite, le Conseil s’est prononcé sur le régime d’effacement des données du traitement des antécédents judiciaires (« TAJ »). Ce système permet aux personnes ayant bénéficié de non-lieu ou de classement sans suite de demander une rectification dès lorsque ne figure plus de mention dans le bulletin n° 2 de son casier judiciaire. Etant donné que les décisions de non-lieu ou de classement sans suite n’éteignent pas l’action publique, le juge constitutionnel a considéré que le maintien des mentions au « TAJ » était justifié.
Par ailleurs, le Conseil constitutionnel s’est prononcé en faveur du recours par l’administration à un algorithme pour édicter ses décisions individuelles, entouré de garanties. D’une part, s’agissant de l’algorithme lui-même, il est prévu que ces formules soient établies en fonction de règles et de critères définis au préalable par le responsable du traitement, de sorte que l’administration préserve sa compétence en la matière, et il doit pouvoir être expliqué par l’administration à la personne concernée par la décision. D’autre part, s’agissant des décisions individuelles adoptées sur le fondement d’un algorithme, trois conditions sont posées : elles font mention des principales caractéristiques de l’algorithme sur le fondement duquel elles ont été adoptées, elles sont susceptibles d’un recours administratif et elles ne sauraient être prises sur le fondement d’un algorithme prenant en considérations des données sensibles, telles que l’origine ethniques, des données génétiques, etc.
Enfin, il convient de remarquer que la seule censure prononcée par le juge constitutionnel porte sur les fichiers pénaux. Le « RGPD » dispose que fichiers sont autorisés à condition qu’ils soient placés « sous le contrôle de l’autorité publique ». Le projet de loi n’étant pas plus précis sur ce point, le Conseil y voit un problème d’incompétence négative.
