Le Conseil constitutionnel a rendu, le 12 juin 2018, la décision n° 2018-765 DC portant sur la loi relative à la protection des données personnelles. Cette réforme visait à adapter le droit interne au règlement européen du 27 avril 2016 et à transposer la directive du même jour. De nombreux sénateurs ont saisi la haute instance afin de contester la conformité de plusieurs dispositions au regard de principes constitutionnels variés. Ils invoquaient notamment l’inintelligibilité du texte, l’atteinte à la vie privée et la méconnaissance de l’étendue de la compétence législative. La question centrale consistait à déterminer si le législateur avait instauré des garanties suffisantes lors de l’adaptation du droit national aux exigences européennes. Le Conseil constitutionnel a censuré partiellement une disposition relative au traitement des données pénales tout en validant l’essentiel du texte déféré.
I. L’articulation rigoureuse entre le droit de l’Union européenne et les exigences de clarté législative
A. Un contrôle constitutionnel limité par les exigences de l’intégration européenne
Le juge constitutionnel réaffirme l’exigence découlant de l’article 88-1 de la Constitution concernant la transposition des directives et le respect des règlements européens. Toutefois, le contrôle exercé rencontre une limite quand la loi tire les conséquences nécessaires de dispositions inconditionnelles et précises d’une norme européenne. Le Conseil précise qu’il ne saurait contrôler la conformité de telles dispositions sauf en cas de mise en cause d’un principe inhérent à l’identité constitutionnelle. Il ajoute qu’il ne peut déclarer non conforme qu’une disposition « manifestement incompatible avec la directive qu’elle a pour objet de transposer ou le règlement ». Cette réserve d’interprétation maintient la supériorité de la Constitution tout en respectant la primauté du droit de l’Union européenne dans son domaine.
B. La validation d’une architecture législative complexe au regard de l’objectif d’intelligibilité
Les requérants dénonçaient l’absence de lisibilité du texte résultant de l’articulation complexe entre la loi de 1978 modifiée et le règlement européen. L’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité impose pourtant au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. Le Conseil constitutionnel écarte ce grief en soulignant que le choix de modifier formellement la législation nationale n’induit pas nécessairement une inintelligibilité. Il relève également que le Gouvernement a été habilité à procéder à une réécriture globale de la loi par voie d’ordonnance ultérieure. Cette solution préserve la validité de la réforme législative malgré la complexité inhérente à la matière technique des données numériques.
II. La protection vigilante des droits fondamentaux face aux délégations de pouvoirs
A. La sanction de l’incompétence négative en matière de traitement de données pénales
Le Conseil a prononcé la non-conformité partielle de l’article 13 relatif aux traitements de données concernant les condamnations pénales ou les infractions. Il a estimé que les mots « sous le contrôle de l’autorité publique ou » étaient entachés d’incompétence négative au regard de la Constitution. Le législateur n’avait pas déterminé les catégories de personnes susceptibles d’agir sous ce contrôle, ni les finalités précises de tels traitements. « En raison de l’ampleur que pourraient revêtir ces traitements », ces dispositions affectaient les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Cette censure rappelle l’obligation pour le Parlement d’exercer pleinement sa compétence en fixant des règles claires pour protéger la vie privée.
B. L’encadrement strict du recours aux algorithmes dans les décisions administratives individuelles
La décision valide l’usage d’algorithmes pour fonder des décisions administratives individuelles sous réserve du respect de garanties appropriées pour la sauvegarde des droits. L’administration doit informer l’administré de l’utilisation d’un tel procédé et lui communiquer les principales caractéristiques de la mise en œuvre de celui-ci. Le Conseil précise que le responsable doit s’assurer de la maîtrise du traitement pour expliquer de manière intelligible la façon dont il fut appliqué. Cette validation exclut les algorithmes « susceptibles de réviser eux-mêmes les règles qu’ils appliquent » sans le contrôle effectif et la validation du responsable humain. La haute juridiction concilie ainsi l’innovation technologique des services publics avec le respect du principe de légalité et de transparence administrative.
