CC, 29 juillet 2004, n° 2004-499 DC
CONSEIL CONSTITUTIONNEL
Décision
Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
LE CONSEIL CONSTITUTIONNEL : - a été saisi, dans les conditions prévues à l'article 61, deuxième alinéa, de la Constitution, de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le 20 juillet 2004, par M. Jean Marc Ayrault, Mmes Patricia Adam, Sylvie Andrieux Bacquet, MM. Jean Marie Aubron, Jean-Paul Bacquet, Gérard Bapt, Claude Bartolone, Jacques Bascou, Christian Bataille, Jean-Claude Bateux, Éric Besson, Jean Louis Bianco, Jean-Pierre Blazy, Serge Blisko, Patrick Bloche, Jean Claude Bois, Maxime Bono, Augustin Bonrepaux, Jean Michel Boucheron, Pierre Bourguignon, Mme Danielle Bousquet, MM. François Brottes, Thierry Carcenac, Christophe Caresche, Mme Martine Carillon Couvreur, MM. Laurent Cathala, Jean Paul Chanteguet, Alain Claeys, Gilles Cocquempot, Pierre Cohen, Mme Claude Darciaux, M. Michel Dasseux, Mme Martine David, MM. Marcel Dehoux, Bernard Derosier, Marc Dolez, François Dosé, René Dosière, Julien Dray, Tony Dreyfus, Pierre Ducout, Jean Pierre Dufau, Jean-Paul Dupré, Yves Durand, Henri Emmanuelli, Claude Évin, Laurent Fabius, Jacques Floch, Pierre Forgues, Michel Françaix, Jean Gaubert, Mmes Nathalie Gautier, Catherine Génisson, MM. Jean Glavany, Gaétan Gorce, Alain Gouriou, Mmes Elisabeth Guigou, Paulette Guinchard-Kunstler, M. David Habib, Mme Danièle Hoffman Rispal, MM. François Hollande, Jean Louis Idiart, Mme Françoise Imbert, MM. Serge Janquin, Armand Jung, Jean-Pierre Kucheida, Mme Conchita Lacuey, MM. Jérôme Lambert, François Lamy, Jack Lang, Jean Launay, Jean-Yves Le Bouillonnec, Gilbert Le Bris, Jean-Yves Le Déaut, Jean Le Garrec, Jean-Marie Le Guen, Bruno Le Roux, Mme Marylise Lebranchu, MM. Michel Lefait, Patrick Lemasle, Guy Lengagne, Mme Annick Lepetit, MM. Jean Claude Leroy, Michel Liebgott, Mme Martine Lignières Cassou, MM. François Loncle, Bernard Madrelle, Christophe Masse, Didier Mathus, Kleber Mesquida, Jean Michel, Didier Migaud, Mme Helene Mignon, MM. Arnaud Montebourg, Henri Nayrou, Alain Néri, Mme Marie-Renee Oget, MM. Christian Paul, Germinal Peiro, Mmes Marie-Françoise Pérol Dumont, Genevieve Perrin Gaillard, MM. Jean-Jack Queyranne, Paul Quilès, Alain Rodet, Bernard Roman, Rene Rouquet, Mmes Segolene Royal, Odile Saugues, MM. Henri Sicre, Dominique Strauss Kahn, Pascal Terrasse, Daniel Vaillant, Andre Vallini, Manuel Valls, Michel Vergnier, Alain Vidalies, Jean Claude Viollet, Philippe Vuilque, Jean-Pierre Defontaine, Paul Giacobbi, Joël Giraud, Simon Renucci, Mme Chantal Robin Rodrigo, M. Roger-Gerard Schwartzenberg et Mme Christiane Taubira, Deputes ;
Et le même jour, Par M. Claude Estier, Mme Michele André, MM. Bernard Angels, Bertrand Auban, Robert Badinter, Jean Pierre Bel, Mme Maryse Bergé Lavigne, M. Jean Besson, Mme Marie-Christine Blandin, M. Didier Boulaud, Mmes Yolande Boyer, Claire-Lise Campion, MM. Jean-Louis Carrère, Bernard Cazeau, Mme Monique Cerisier-Ben Guiga, MM. Gilbert Chabroux, Gerard Collomb, Raymond Courrière, Yves Dauge, Marcel Debarge, Jean Pierre Demerliat, Claude Domeizel, Michel Dreyfus Schmidt, Bernard Dussaut, Bernard Frimat, Charles Gautier, Jean Pierre Godefroy, Jean-Noël Guérini, Mme Odette Herviaux, MM. Andre Labarrère, Serge Lagauche, Louis Le Pensec, Andre Lejeune, Jacques Mahéas, Jean-Yves Mano, François Marc, Jean Pierre Masseret, Pierre Mauroy, Louis Mermaz, Gerard Miquel, Michel Moreigne, Jean-Claude Peyronnet, Jean François Picheral, Bernard Piras, Jean Pierre Plancade, Mmes Daniele Pourtaud, Gisele Printz, MM. Daniel Raoul, Daniel Reiner, Roger Rinchet, Gerard Roujas, Claude Saunier, Michel Sergent, Rene Pierre Signé, Jean Pierre Sueur, Simon Sutour, Michel Teston, Jean Marc Todeschini, Pierre-Yvon Trémel, Andre Vantomme, Andre Vézinhet et Marcel Vidal, sénateurs ;
Vu la Constitution ; Vu l'ordonnance n° 58-1067 du 7 novembre 1958 modifiée portant loi organique sur le Conseil constitutionnel ; Vu le traité instituant la Communauté européenne ; Vu le traité sur l'Union européenne ; Vu la directive 95-46-CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ; Vu le Code pénal ; Vu le Code de la propriété intellectuelle ; Vu le Code des postes et des communications électroniques ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle, en son article 8 ; Vu les observations du Gouvernement, enregistrées le 23 juillet 2004 ; Vu les observations en réplique présentées par les députés auteurs de la première saisine, enregistrées le 28 juillet 2004 ; Vu les observations en réplique présentées par les sénateurs auteurs de la seconde saisine, enregistrées le 28 juillet 2004 ; Le rapporteur ayant été entendu ;
1. Considérant que les auteurs des deux saisines défèrent au Conseil constitutionnel la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; qu'ils dénoncent son inintelligibilité et mettent en cause les articles 8, 9, 21, 22 et 26 de la loi du 6 janvier 1978 tels qu'ils résultent des articles 2 à 4 de la loi déférée ;
- Sur les normes constitutionnelles applicables à la loi déférée :
2. Considérant, en premier lieu, qu'aux termes de l'article 2 de la Déclaration des Droits de l'Homme et du citoyen de 1789 : " Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression " ; que la liberté proclamée par cet article implique le respect de la vie privée ;
3. Considérant, en deuxième lieu, qu'il est à tout moment loisible au législateur, statuant dans le domaine de sa compétence, de modifier des textes antérieurs ou d'abroger ceux-ci en leur substituant, le cas échéant, d'autres dispositions, dès lors que, ce faisant, il ne prive pas de garanties légales des exigences constitutionnelles ;
4. Considérant, en troisième lieu, qu'il appartient au législateur, en vertu de l'article 34 de la Constitution, de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; qu'il lui appartient d'assurer la conciliation entre le respect de la vie privée et d'autres exigences constitutionnelles liées notamment à la sauvegarde de l'ordre public ;
- Sur le nouvel article 8 de la loi du 6 janvier 1978 :
5. Considérant que l'article 8 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, dispose en son I : " Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci " ; que le 5° du II du même article 8 prévoit que, dans la mesure où la finalité du traitement l'exige, cette interdiction ne s'applique pas aux " traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice " ;
6. Considérant que les auteurs des saisines soutiennent que cette dernière disposition porte atteinte au respect de la vie privée ;
7. Considérant qu'aux termes de l'article 88-1 de la Constitution : " La République participe aux Communautés européennes et à l'Union européenne, constituées d'États qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences " ; qu'ainsi, la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu'en raison d'une disposition expresse contraire de la Constitution ; qu'en l'absence d'une telle disposition, il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne ;
8. Considérant que les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l'article 8 de la directive 95-46-CE du 24 octobre 1995 susvisée sur lesquelles il n'appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l'atteinte au respect de la vie privée ne peut être utilement présenté devant lui ;
- Sur le nouvel article 9 de la loi du 6 janvier 1978 :
9. Considérant que l'article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, dispose : " Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en place que par : ... - 3° Les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ; - 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du Code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même Code aux fins d'assurer la défense de ces droits " ;
10. Considérant que, selon les auteurs des saisines, ces dispositions portent atteinte au respect de la vie privée et sont entachées d'incompétence négative ;
. En ce qui concerne le 3° :
11. Considérant que le 3° de l'article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, permettrait à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d'être victimes d'agissements passibles de sanctions pénales, de rassembler un grand nombre d'informations nominatives portant sur des infractions, condamnations et mesures de sûreté ; qu'en raison de l'ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en œuvre et de la nature des informations traitées, le 3° du nouvel article 9 de la loi du 6 janvier 1978 pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; que la disposition critiquée doit dès lors comporter les garanties appropriées et spécifiques répondant aux exigences de l'article 34 de la Constitution ;
12. Considérant que, s'agissant de l'objet et des conditions du mandat en cause, la disposition critiquée n'apporte pas ces précisions ; qu'elle est ambiguë quant aux infractions auxquelles s'applique le terme de " fraude " ; qu'elle laisse indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu'elles soient capables de commettre une infraction ; qu'elle ne dit rien sur les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ; qu'au regard de l'article 34 de la Constitution, toutes ces précisions ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés ; qu'en l'espèce et eu égard à la matière concernée, le législateur ne pouvait pas non plus se contenter, ainsi que le prévoit la disposition critiquée éclairée par les débats parlementaires, de poser une règle de principe et d'en renvoyer intégralement les modalités d'application à des lois futures ; que, par suite, le 3° du nouvel article 9 de la loi du 6 janvier 1978 est entaché d'incompétence négative ;
. En ce qui concerne le 4° :
13. Considérant que la possibilité ouverte par la disposition contestée donne la possibilité aux sociétés de perception et de gestion des droits d'auteur et de droits voisins, mentionnées à l'article L. 321 1 du Code de la propriété intellectuelle, ainsi qu'aux organismes de défense professionnelle, mentionnés à l'article L. 331 1 du même Code, de mettre en œuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté ; qu'elle tend à lutter contre les nouvelles pratiques de contrefaçon qui se développent sur le réseau Internet ; qu'elle répond ainsi à l'objectif d'intérêt général qui s'attache à la sauvegarde de la propriété intellectuelle et de la création culturelle ; que les données ainsi recueillies ne pourront, en vertu de l'article L. 34-1 du Code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an ; que la création des traitements en cause est subordonnée à l'autorisation de la Commission nationale de l'informatique et des libertés en application du 3° du I de l'article 25 nouveau de la loi du 6 janvier 1978 ; que, compte tenu de l'ensemble de ces garanties et eu égard à l'objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n'est pas manifestement déséquilibrée ;
. En ce qui concerne l'ensemble de l'article 9 :
14. Considérant que le nouvel article 9 de la loi du 6 janvier 1978, tel qu'il résulte de la déclaration d'inconstitutionnalité prononcée en vertu de ce qui précède, ne saurait être interprété comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime ; que, sous cette réserve, il n'est pas contraire à la Constitution ;
- Sur le nouvel article 21 de la loi du 6 janvier 1978 :
15. Considérant qu'en vertu du dernier alinéa de l'article 21 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 3 de la loi déférée, les personnes interrogées dans le cadre des vérifications faites par la Commission nationale de l'informatique et des libertés sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions " sauf dans les cas où elles sont astreintes au secret professionnel " ;
16. Considérant que, selon les requérants, cette référence au secret professionnel constitue " un recul quant aux garanties apportées aux exigences constitutionnelles applicables en la matière " ; qu'ils font valoir que " dans la loi de 1978, il n'était pas possible d'opposer un tel secret aux agents de la CNIL " et qu'" une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l'objet d'un traitement " ;
17. Considérant que, dans le silence des dispositions de la loi du 6 janvier 1978 antérieures à la loi déférée, les personnes interrogées par la Commission nationale de l'informatique et des libertés étaient déjà soumises au secret professionnel ; que, dès lors, le grief manque en fait ;
18. Considérant, au demeurant, que l'invocation injustifiée du secret professionnel pourrait constituer une entrave passible des peines prévues par l'article 51 nouveau de la loi du 6 janvier 1978 ;
- Sur le nouvel article 22 de la loi du 6 janvier 1978 :
19. Considérant qu'aux termes du premier alinéa du III de l'article 22 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 4 de la loi déférée : " Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de la Communauté européenne est envisagé " ;
20. Considérant que, selon les requérants, " ce correspondant ne bénéficie pas, à la lettre, des garanties d'indépendance indispensables " ; qu'ils considèrent, dès lors, qu'" en prévoyant, au titre d'une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle " ;
21. Considérant, en premier lieu, que le fait de désigner un correspondant à la protection des données à caractère personnel n'a d'autre effet que d'exonérer les traitements des formalités de déclaration auprès de la Commission nationale de l'informatique et des libertés ; que cette circonstance ne les soustrait pas aux autres obligations résultant de la loi déférée, dont le non respect demeure passible des sanctions qu'elle prévoit ; que cet allègement de la procédure n'est pas possible lorsque des transferts de données à destination d'un État non membre de la Communauté européenne sont envisagés ; qu'en outre, il ne concerne pas les traitements soumis à autorisation ;
22. Considérant, en second lieu, que le correspondant, dont l'identité est notifiée à la Commission nationale de l'informatique et des libertés et portée à la connaissance des instances représentatives du personnel, doit bénéficier, en vertu de la loi, " des qualifications requises pour exercer ses missions " ; qu'il tient la liste des traitements à la disposition de toute personne en faisant la demande ; qu'il ne peut faire l'objet d'aucune sanction de la part de son employeur du fait des responsabilités qui lui sont confiées dans l'exercice de sa mission ; qu'il peut saisir la Commission nationale de l'informatique et des libertés, le cas échéant, des difficultés qu'il rencontre ;
23. Considérant que, compte tenu de l'ensemble des précautions ainsi prises, s'agissant en particulier de la qualification, du rôle et de l'indépendance du correspondant, la dispense de déclaration résultant de sa désignation ne prive de garanties légales aucune exigence constitutionnelle ;
- Sur le nouvel article 26 de la loi du 6 janvier 1978 :
24. Considérant qu'aux termes du I de l'article 26 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 4 de la loi déférée : " Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et : - 1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ; - 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté. - L'avis de la commission est publié avec l'arrêté autorisant le traitement " ;
25. Considérant que, selon les requérants, ces dispositions marquent " un des reculs les plus manifestes opérés par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL " ; qu'ils considèrent que cette évolution crée, " au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle ", une " situation constitutionnellement préjudiciable " ;
26. Considérant que le I de l'article 26 de la loi du 6 janvier 1978 est relatif à la création des seuls traitements intéressant la sauvegarde de l'ordre public et ne comportant pas de données sensibles au sens du I de son article 8 ; qu'il se borne à substituer à un avis conforme du Conseil d'État en cas d'avis défavorable de la Commission nationale de l'informatique et des libertés un arrêté ministériel pris après avis motivé et publié de la Commission ; que le législateur a prévu que l'avis de la Commission serait publié concomitamment à l'arrêté autorisant le traitement ;
27. Considérant, dans ces conditions, que les dispositions critiquées, qui ne privent pas de garanties légales le droit au respect de la vie privée, ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle ;
- Sur l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi :
28. Considérant que, selon les requérants, " l'ensemble du texte souffre d'une opacité qui... ne peut que paraître contradictoire avec l'objectif d'intelligibilité et de clarté de la loi " ;
29. Considérant qu'il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34 ; qu'à cet égard, l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration de 1789, lui impose d'adopter des dispositions suffisamment précises et des formules non équivoques ;
30. Considérant que, si la loi déférée refond la législation relative à la protection des données personnelles, c'est en vue d'adapter cette législation à l'évolution des données techniques et des pratiques, ainsi que pour tirer les conséquences d'une directive communautaire ; qu'elle définit de façon précise les nouvelles règles de procédure et de fond applicables ;
31. Considérant qu'il n'y a lieu, pour le Conseil constitutionnel, de soulever d'office aucune question de conformité à la Constitution,
Décide :
Article premier.- Est déclaré contraire à la Constitution le 3° de l'article 9 de la loi susvisée du 6 janvier 1978, dans sa rédaction issue de l'article 2 de la loi déférée.
Article 2.- Ne sont pas contraires à la Constitution les articles 8, 21, 22 et 26 nouveaux de la loi du 6 janvier 1978, ainsi que, sous la réserve énoncée au considérant 14, le surplus de son article 9.
Article 3.- La présente décision sera publiée au Journal officiel de la République française.