Extrait de Droit de la donnée, Droit & Professionnels, LexisNexis
LE RÉGIME DE LA PROTECTION
414. – La rédaction actuelle de l’article 9 de la LIL est, à notre sens, maladroite, car
elle pourrait laisser entendre que les organismes –quels qu’ils soient –ne pourraient
pas mettre en oeuvre des traitements de données à caractère personnel, pour gérer
leurs contentieux et défendre leurs droits261. Or, ce n’est évidemment pas le cas, car
une telle lecture reviendrait à priver toute personne du droit effectif à exercer un
recours juridictionnel. C’est très précisément ce qu’a relevé le Conseil constitutionnel,
dans sa décision n° 2004-499DC du 29 juillet 2004, en énonçant que l’article 9
de la LIL « ne saurait être interprété comme privant d’effectivité le droit d’exercer un
recours juridictionnel, dont dispose toute personne physique ou morale, s’agissant
des infractions dont elle a été victime » et déclarant que « sous cette réserve » cette
disposition « n’est pas contraire à la constitution ».
415. – Ainsi, il est possible, pour toute personne, de mettre en oeuvre un traitement
portant sur des données relatives à des infractions dont elle a été victime, sous
réserve d’obtenir l’autorisation préalable de la CNIL en vertu de l’article 25, I, 3 de la
LIL. Compte tenu de la fréquence de mise en oeuvre de tels traitements262, la CNIL a adopté, le 14 janvier 2016263,
une délibération portant autorisation unique « AU046 »
permettant à toute personne déclarant s’y conformer de mettre en oeuvre un
traitement de données à caractère personnel relatives à des infractions,
condamnations et mesures de sureté, pour préparer, exercer et suivre une action
disciplinaire ou un recours juridictionnel.
2° Les règles spéciales liées à la nature de certains traitements
416. – Les règles spéciales développées jusqu’ici concernaient certaines catégories
de données. Nous allons maintenant examiner d’autres règles spéciales s’appliquant
à certains traitements qui, en raison de leurs caractéristiques et des techniques qu’ils
emploient, sont susceptibles de créer des risques pour les personnes concernées.
Examinons ces traitements qui correspondent, d’une part, aux traitements soumis à
analyse d’impact et, d’autre part, aux traitements mis en oeuvre a des fins de profilage
décisionnel.
a) Les traitements soumis à analyse d’impact (nouveauté RGPD)
417. – Seuls certains types de traitements sont soumis à une analyse d’impact
obligatoire. Lorsque l’analyse d’impact révèle un « risque élevé » en l’absence de
mesures prises par le responsable de traitement, ce dernier est alors dans l’obligation
de consulter l’autorité de contrôle avant de mettre en oeuvre son traitement.
Examinons successivement ces points.
(261) En effet, une lecture littérale de l’article 9 de la LIL aboutit à considérer que, en dehors des trois cas limitativement énumérés par ce texte (juridiction/autorité publique/personne morale gérant un service public, auxiliaire de justice, organisme compétent pour lutter contre la contrefacon), il est tout simplement interdit de traiter des données a caractère personnel relatives à des infractions et/ou condamnations.
(262) A par exemple été autorisée sur le fondement de l’article 25, I, 3 de la LIL, la mise en œuvre, par la fondation « Les orphelins apprentis d’Auteuil » d’un traitement de données a caractère personnel, ayant pour finalité le suivi des incidents concernant les personnes accueillies dans ces établissements, afin d’assurer la prévention des incidents et la protection des jeunes (CNIL, délib. n° 2007-038, 20 fevr. 2007).
(263) CNIL, délib. n° 2016-005, 14 janv. 2016, portant autorisation unique de traitements de données à caractère personnel mis en oeuvre par les organismes publics et privés, pour la préparation, l’exercice et le suivi de leurs contentieux, ainsi que l’exécution des décisions rendues (AU-046).
Droit de la donnée
Principes théoriques et approche pratique
Auteur : Matthieu Bourgeois
