Le Conseil constitutionnel, par sa décision n° 2018-765 DC du 12 juin 2018, a examiné la conformité de la loi relative à la protection des données personnelles. Ce texte visait à adapter la législation nationale au règlement général sur la protection des données ainsi qu’à la directive concernant les traitements pénaux. Le Conseil a été saisi par plus de soixante sénateurs qui critiquaient l’inintelligibilité globale de la réforme et contestaient la validité de nombreuses dispositions matérielles. Les requérants invoquaient notamment une méconnaissance de l’objectif de valeur constitutionnelle d’accessibilité de la loi et une atteinte au droit au respect de la vie privée. La question centrale consistait à déterminer si le législateur avait suffisamment encadré les nouveaux traitements de données tout en respectant les exigences de transposition du droit européen. Les juges constitutionnels ont validé l’essentiel de la loi, tout en censurant une disposition relative aux données pénales pour incompétence négative du législateur.
I. L’encadrement des compétences normatives et institutionnelles
A. La dualité du contrôle des dispositions issues du droit européen
Le Conseil constitutionnel rappelle que la transposition d’une directive ou l’adaptation à un règlement de l’Union européenne résulte d’une exigence constitutionnelle fondée sur l’article 88-1. Cette obligation se heurte toutefois à une limite précise puisque ces mesures « ne sauraient aller à l’encontre d’une règle ou d’un principe inhérent à l’identité constitutionnelle de la France ». En l’absence d’une telle atteinte, le juge décline sa compétence pour contrôler des dispositions législatives qui se bornent à tirer les conséquences nécessaires de normes européennes inconditionnelles. Cette réserve de compétence assure une articulation harmonieuse entre l’ordre juridique national et le droit de l’Union européenne sans renoncer à la suprématie de la Constitution.
Le grief tiré de l’inintelligibilité de la loi est également écarté malgré la complexité apparente du cumul des textes nationaux et européens sur une même matière. Les juges estiment que le choix formel du législateur de modifier la loi du 6 janvier 1978 ne crée pas, en soi, une obscurité contraire à la Constitution. Ils soulignent que l’habilitation du Gouvernement à procéder par ordonnance pour simplifier ultérieurement la rédaction globale du texte garantit la cohérence future du dispositif. Cette approche pragmatique permet de concilier l’urgence de la mise en conformité européenne avec l’exigence de clarté normative imposée aux sujets de droit.
B. La validation du pouvoir de sanction et de l’organisation administrative
La décision confirme la constitutionnalité de l’organisation interne de l’autorité administrative indépendante chargée de la protection des données, notamment sa formation restreinte exerçant le pouvoir de sanction. Les requérants dénonçaient une méconnaissance du principe d’impartialité au motif que les agents chargés de l’instruction et de la séance seraient placés sous une autorité unique. Le Conseil répond que la présence au délibéré des seuls agents nécessaires à la tenue de la séance ne méconnaît aucunement les exigences découlant de l’article 16 de la Déclaration de 1789. Il précise que la loi n’a pas modifié les règles de séparation entre les fonctions de poursuite et celles de jugement déjà établies par ailleurs.
L’augmentation substantielle du montant des amendes administratives n’entraîne pas, selon les juges, une obligation pour le législateur d’accroître encore les garanties procédurales déjà existantes. Les principes d’indépendance et d’impartialité restent identiques quelle que soit la sévérité de la punition encourue, tant que les droits de la défense sont préservés. Le mécanisme des mises en demeure publiques est également validé car il ne constitue pas, par sa nature, une sanction ayant le caractère d’une punition. La répartition des missions institutionnelles étant ainsi sécurisée, le Conseil peut alors se pencher sur la protection substantielle des droits des personnes physiques.
II. La garantie des droits fondamentaux face aux enjeux du numérique
A. La censure de l’insuffisance législative quant aux données délictuelles
Le Conseil constitutionnel censure les mots « sous le contrôle de l’autorité publique ou » concernant les traitements de données relatives aux condamnations pénales et aux infractions. Il juge que le législateur a méconnu l’étendue de sa propre compétence en omettant de définir les catégories de personnes privées susceptibles de mettre en œuvre de tels fichiers. L’ampleur potentielle de ces traitements et la sensibilité extrême des informations recueillies exigeaient que la loi fixe elle-même les finalités et les limites de ces interventions. Cette décision sanctionne l’incompétence négative de l’auteur de la loi qui a simplement reproduit les termes du règlement européen sans apporter les précisions nationales indispensables.
À l’inverse, les dispositions autorisant les personnes morales collaborant au service public de la justice ou les victimes cherchant à exercer une action en justice sont déclarées constitutionnelles. Le Conseil considère que ces traitements sont « justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée » aux objectifs de la procédure pénale. Les garanties prévues, telles que la durée de conservation strictement proportionnée et l’avis motivé de l’autorité de contrôle, protègent suffisamment le droit au respect de la vie privée. Cette différence de sort entre les dispositions illustre la volonté du juge d’exiger une précision législative maximale pour les données les plus intrusives.
B. L’encadrement rigoureux des algorithmes et de la protection des mineurs
La constitutionnalité des décisions administratives individuelles fondées exclusivement sur un algorithme est admise sous réserve du respect de garanties procédurales très strictes et cumulatives. L’administration ne peut renoncer à son pouvoir d’appréciation et doit rester capable d’expliquer de manière intelligible le fonctionnement du traitement automatisé à chaque personne concernée. Le juge exclut l’usage d’algorithmes « auto-apprenants » qui réviseraient seuls leurs règles d’application sans le contrôle constant et la validation humaine du responsable du traitement. Cette exigence de transparence et de maîtrise humaine prévient le risque d’arbitraire technologique et assure le respect du principe de légalité des décisions administratives.
Enfin, le régime du consentement des mineurs pour les services de la société de l’information est validé en fixant le seuil de la majorité numérique à quinze ans. Les juges estiment que l’exigence d’un consentement conjoint du mineur et des titulaires de l’autorité parentale sous cet âge n’est pas incompatible avec le droit européen. Le règlement européen permet en effet aux États membres de prévoir des modalités d’autorisation spécifiques pour protéger la vulnérabilité des enfants dans l’environnement numérique. Par cette décision globale, le Conseil constitutionnel définit un équilibre protecteur qui sécurise les innovations technologiques tout en réaffirmant la primauté des garanties fondamentales de la personne.
