RGPD: le régime d’autorisation

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement :

• Principe
  • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
    • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
    • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)

• Exception
  • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

• Principe : le régime de déclaration
  • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
  • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
  • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
    • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
    • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
    • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
    • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
    • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.

• Exception : le régime d’autorisation
  • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
    • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
    • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
    • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
    • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Conformément au RGPD, la loi de transposition du 20 juin 2018 a simplifié, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, pour certains types de traitements ou dans certaines matières, en raison de la sensibilité particulière des données traitées, des articles spécifiques du RGPD autorisent des régimes dérogatoires nationaux pouvant inclure des formalités, au titre de garanties ou de conditions supplémentaires.

Il en va ainsi notamment pour le traitement :

• Des données génétiques, des données biométriques ou des données concernant la santé (article 9, § 4, du RGPD) ;
• Des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (article 10 du RGPD) ;
• Effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique (article 36, § 5, du RGPD) ;
• D’un numéro d’identification national ou de tout autre identifiant d’application générale (article 87 du RGPD) ;
• Des données à caractère personnel mis en œuvre pour le compte de l’Etat et qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ;

L’article 29 de la loi informatique et libertés précise que les actes autorisant la création d’un traitement précisent :

• La dénomination et la finalité du traitement ;
• Le service auprès duquel s’exerce le droit d’accès défini au chapitre VII ;
• Les catégories de données à caractère personnel enregistrées ;
• Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
• Le cas échéant, les dérogations à l’obligation d’information prévues au V de l’article 32.

La CNIL se prononce alors dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

L’avis demandé à la commission sur un traitement, qui n’est pas rendu à l’expiration du délai de deux mois, est réputé favorable.