Facebook Twitter Appstore
Page d'accueil > Résultats de la recherche

§ France, Conseil constitutionnel, 29 juillet 2004, 2004-499

Imprimer

Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Sens de l'arrêt : Non conformité partielle
Type d'affaire : Contrôle de constitutionnalité des lois ordinaires, lois organiques, des traités, des règlements des Assemblées

Numérotation :

Numéro de décision : 2004-499
Numéro NOR : CONSTEXT000017664802 ?
Numéro NOR : CSCL0407548S ?
Identifiant URN:LEX : urn:lex;fr;conseil.constitutionnel;dc;2004-07-29;2004.499 ?

Saisine :

Monsieur le Président, Mesdames et Messieurs les membres du Conseil Constitutionnel, les observations du gouvernement sur la saisine critiquant la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, appellent la brève réplique suivante.

* * *

Les observations en défense du gouvernement marquent sa gêne à l'égard des griefs avancés à l'encontre de plusieurs dispositions de la loi déférée. Sentiment qui culmine à propos de l'article 9 de la loi n° 78-17 du 6 janvier 1978 modifiée par l'article 2 de la loi attaquée concernant les fichiers privés portant traitement d'infractions, de condamnations et de mesures de sûretés.

1. Le gouvernement tente d'abord d'expliquer que cette disposition est prévue par l'article 8 de la Directive du 24 octobre 1995, manière habile de vous appeler à faire usage de votre jurisprudence du 10 juin 2004.

Or, précisément, l'article 8 de la directive ne prévoit, à cet égard, qu'une option. La France n'est donc pas tenue de transposer cette simple faculté ouverte aux Etats membres. En sorte que les dispositions législatives critiquées ne peuvent s'abriter derrière aucune exigence communautaire ou constitutionnelle de transposition en droit interne. L'article 9 de la loi critiquée ne résultant d'aucune disposition claire, précise, et surtout pas inconditionnelle de la directive dont s'agit, ne pouvait s'affranchir des normes et principes constitutionnels, exprès ou non, applicables à la protection de la vie privée et de la liberté individuelle.

2. Or, la violation des articles 2 et 9 de la Déclaration de 1789, et 66 de la Constitution est patente. D'ailleurs, le gouvernement ne répond à aucun moment sur les griefs constitutionnels précis articulés contre l'article 9 de la loi. Il se contente d'indiquer des motifs de fait qui justifieraient une telle privatisation de l'ordre public et des garanties accordées aux libertés individuelles et publiques.

3. Le fait que l'entrée en vigueur du 3° de l'article 9 soit subordonnée à l'adoption d'une loi ultérieure n'enlève rien au fait qu'il méconnaît plusieurs normes constitutionnelles. Il doit donc être censuré en tant que tel, sauf à laisser subsister un risque si la loi annoncée pour le futur n'était pas soumise à votre appréciation.

Il demeure que cet argumentation d'évitement démontre la pertinence des griefs développés.

4. S'agissant du 4° de cet article 9, le gouvernement commence par se contredire. Il tente de nier, implicitement, le caractère de traitement de données personnelles de ces fichiers (page 11, 1er

des observations du gouvernement). Pourtant, ces fichiers doivent faire l'objet d'une autorisation de la CNIL. C'est dire qu'il s'agit bien de données directement ou indirectement nominatives, ainsi que la CNIL l'avait considéré en 2001 (cf. saisine), mais aussi le Groupe de l'article 29 institué au titre de la directive (novembre 2000) et le Groupe international sur la protection des données dans les télécommunications (31ème réunion, 26 et 27 mars 2002, Auckland).

5. Quant à l'avis donné par le Conseil Supérieur de la Propriété Littéraire et Artistique, en date du 2 mars 2004, son évocation par le gouvernement est pour le moins cocasse. En effet, celui-ci semble oublier que le CSPLA, organe consultatif, est composé quasi-exclusivement de représentants des ayant droits - musique, cinéma, logiciels, bases de données, artistes-interprètes, « majors du disque »,... - et que les SPRD en forment la majorité ! Ainsi donc cet avis émanant des bénéficiaires de la mesure critiquée validerait constitutionnellement une atteinte à la vie privée et aux libertés individuelles... Ce n'est pas sérieux.

6. Le parallèle avec les agents assermentés prévus par les articles L. 331-2 et suivants du code de la propriété intellectuelle n'est pas davantage fondé. D'abord, ceux-ci ne procèdent qu'à des constatations dans des lieux publics (discothèques, bar d'ambiance, magasins,...) et non au domicile privé des personnes. Ensuite, ils ne constituent aucun fichier d'infractions, de constatation ou mesures de sûretés. Enfin, et surtout, ces agents ont fait l'objet de critiques quant au manque d'encadrement des conditions de nomination et d'exercice de leurs pouvoirs, critiques aussi constitutionnelles, par le Conseil d'Etat (Internet et les Réseaux numériques, 1998) et dans un Rapport de l'Inspection générale de l'administration des affaires culturelles (La lutte contre la contrefaçon des droits de propriété littéraire et artistique dans l'environnement numérique, M. P. Chantepie, 1er octobre 2002, p. 95 et s.).

7. Il convient, en outre, de s'interroger sur les modalités d'exercice du droit d'accès à ces fichiers, ces « casiers judiciaires privés », par les personnes concernées. Eu égard à leur définition et à leur destination, on éprouve quelques difficultés à comprendre comment les citoyens pourront bénéficier des garanties prévues par les articles 38 et suivants de la loi de 1978 modifiée par la loi ici critiquée.

8. Les auteurs de la saisine sont évidemment sensibles au besoin de protection de la propriété intellectuelle et des droits d'auteurs, critères d'une société de culture, et ils ont largement agit en sens comme ils continueront de le faire avec force dans le futur. Il reste que la mesure critiquée n'est pas strictement nécessaire au but poursuivi et que l'atteinte aux droits et libertés constitutionnels est disproportionnée. De nombreuses dispositions existent, certaines récentes et d'autres à venir comme celles figurant dans le projet de loi sur les droits d'auteurs, pour protéger ces droits contre le piratage. Les services de police, de gendarmerie, et l'autorité judiciaire sont armés pour lutter en ce sens.

Dans ces conditions, de tels fichiers ne sont pas strictement nécessaires. Et s'il s'agit seulement de constituer des preuves pour ester en justice, il n'est nul besoin de constituer des fichiers de cette nature.

A tout bien considérer, et c'est un paradoxe supplémentaire, on ne voit pas très bien pourquoi seules les SPRD auraient le droit de protéger ainsi leurs prérogatives. Il s'ensuit qu'en admettant que soient constitués de tels fichiers, c'est une brèche pour des revendications futures de même nature qu'émettraient d'autres personnes morales victimes d'infractions. D'ailleurs, telle que rédigée, cette disposition permettra à des éditeurs de logiciels, de bases de données de constituer de tels fichiers. On est alors bien loin de la culture et de la protection des créations musicales et cinématographiques.

Autrement dit, une telle mesure, alors qu'existent des procédures adaptées pour protéger les droits d'auteurs et que la constitution d'un tel fichier privé ne permet pas de prévenir les infractions de cette nature, est manifestement disproportionnée au regard des droits et libertés constitutionnels que le législateur doit garantir.

* * *

Par ces motifs, et tous autres à déduire ou suppléer même d'office, les auteurs de la saisine persistent de plus fort dans leurs conclusions.

Nous vous prions de croire, Monsieur le Président, mesdames et messieurs les membres du Conseil Constitutionnel, à l'expression de notre haute considération.

Monsieur le Président, Mesdames et Messieurs les membres du Conseil Constitutionnel, les observations du gouvernement sur la saisine critiquant la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, appellent la brève réplique suivante.

* * *

Les observations en défense du gouvernement marquent sa gêne à l'égard des griefs avancés à l'encontre de plusieurs dispositions de la loi déférée. Sentiment qui culmine à propos de l'article 9 modifié par l'article 2 de la loi attaquée concernant les fichiers privés portant traitement d'infractions, de condamnations et de mesures de sûretés.

1. Le gouvernement tente d'abord d'expliquer que cette disposition est prévue par l'article 8 de la Directive du 24 octobre 1995, manière habile de vous appeler à faire usage de votre jurisprudence du 10 juin 2004.

Or, précisément, l'article 8 de la directive ne prévoit, à cet égard, qu'une option. La France n'est donc pas tenue de transposer cette simple faculté ouverte aux Etats membres. En sorte que les dispositions législatives critiquées ne peuvent s'abriter derrière aucune exigence communautaire ou constitutionnelle de transposition en droit interne. L'article 9 modifié de la loi critiquée ne résultant d'aucune disposition claire, précise, et surtout inconditionnelle de la directive dont s'agit, ne pouvait s'affranchir des normes et principes constitutionnels, exprès ou non, applicables à la protection de la vie privée et de la liberté individuelle.

2. Or, la violation des articles 2 et 9 de la Déclaration de 1789, et 66 de la Constitution est patente. D'ailleurs, le gouvernement ne répond à aucun moment sur les griefs constitutionnels précis articulés contre l'article 9 modifié de la loi attaquée. Il se contente d'indiquer des motifs de fait qui justifieraient une telle privatisation de l'ordre public et des garanties accordées aux libertés individuelles et publiques.

3. L'entrée en vigueur du 3° de l'article 9 modifié, subordonnée à l'adoption d'une loi ultérieure, n'enlève rien au fait que cet article méconnaît plusieurs normes constitutionnelles. Il doit donc être censuré en tant que tel, sauf à laisser subsister un risque si la loi annoncée pour le futur n'était pas soumise à votre appréciation.

Il demeure que cette argumentation d'évitement démontre la pertinence des griefs développés.

4. S'agissant du 4° de l'article 9 modifié, le gouvernement commence par se contredire. Il tente de nier, implicitement, le caractère de traitement de données personnelles de ces fichiers (page 11, 1er

des observations du gouvernement). Pourtant, ces fichiers doivent faire l'objet d'une autorisation de la CNIL. C'est dire qu'il s'agit bien de données directement ou indirectement nominatives, ainsi que la CNIL l'avait considérée en 2001 (cf. saisine), mais aussi le Groupe de l'article 29 institué au titre de la directive (novembre 2000) et le Groupe international sur la protection des données dans les télécommunications (31ème réunion, 26 et 27 mars 2002, Auckland).

5. Quant à l'avis donné par le Conseil Supérieur de la Propriété Littéraire et Artistique, en date du 2 mars 2004, son évocation par le gouvernement est pour le moins cocasse. En effet, celui-ci semble oublier que le CSPLA, organe consultatif, est composé quasi-exclusivement de représentants des ayant droits - musique, cinéma, logiciels, bases de données, artistes-interprètes, « majors du disque »,... - et que les SPRD en forment la majorité ! Ainsi, cet avis émanant des bénéficiaires de la mesure critiquée validerait constitutionnellement une atteinte à la vie privée et aux libertés individuelles... Ce n'est pas sérieux.

6. Le parallèle avec les agents assermentés prévus par les articles L. 331-2 et suivants du code de la propriété intellectuelle n'est pas davantage fondé. D'abord, ceux-ci ne procèdent qu'à des constatations dans des lieux publics (discothèques, bar d'ambiance, magasins...) et non au domicile privé des personnes. Ensuite, ils ne constituent aucun fichier d'infractions, de constatation ou mesures de sûretés. Enfin, et surtout, ces agents ont fait l'objet de critiques quant au manque d'encadrement des conditions de nomination et d'exercice de leurs pouvoirs, par le Conseil d'Etat (Internet et les Réseaux numériques, 1998) et par l'Inspection générale de l'administration des affaires culturelles (La lutte contre la contrefaçon des droits de propriété littéraire et artistique dans l'environnement numérique, M. P. Chantepie, 1er octobre 2002, p. 95 et s.).

7. Il convient, en outre, de s'interroger sur les modalités d'exercice du droit d'accès à ces fichiers, ces « casiers judiciaires privés », par les personnes concernées. Eu égard à leur définition et à leur destination, on éprouve quelques difficultés à comprendre comment les citoyens pourront bénéficier des garanties prévues par les articles 38 et suivants de la loi de 1978 modifiée par la loi ici critiquée.

8. Les auteurs de la saisine sont évidemment sensibles au besoin de protection de la propriété intellectuelle et des droits d'auteurs. Ils ont largement agit en ce sens comme ils continueront de le faire avec force dans le futur. Il reste que la mesure critiquée n'est pas strictement nécessaire au but poursuivi et que l'atteinte aux droits et libertés constitutionnels est disproportionnée. De nombreuses dispositions existent, certaines récentes et d'autres à venir comme celles figurant dans le projet de loi sur les droits d'auteurs, pour protéger ces droits contre le piratage. Les services de police, de gendarmerie, et l'autorité judiciaire sont armés pour lutter en ce sens.

Dans ces conditions, de tels fichiers ne sont pas strictement nécessaires. Et s'il s'agit seulement de constituer des preuves pour ester en justice, il n'est nul besoin de constituer des fichiers de cette nature.

A tout bien considérer, et c'est un paradoxe supplémentaire, on ne voit pas très bien pourquoi seules les SPRD auraient le droit de protéger ainsi leurs prérogatives. Il s'ensuit qu'en admettant que soient constitués de tels fichiers, c'est une brèche pour des revendications futures de même nature qu'émettraient d'autres personnes morales victimes d'infractions. D'ailleurs, telle que rédigée, cette disposition permettra à des éditeurs de logiciels, de bases de données de constituer de tels fichiers. On est alors bien loin de la culture et de la protection des créations musicales et cinématographiques.

Autrement dit, une telle mesure, alors qu'existent des procédures adaptées pour protéger les droits d'auteurs et que la constitution d'un tel fichier privé ne permet pas de prévenir les infractions de cette nature, est manifestement disproportionnée au regard des droits et libertés constitutionnels que le législateur doit garantir.

* * *

Par ces motifs, et tous autres à déduire ou suppléer même d'office, les auteurs de la saisine persistent de plus fort dans leurs conclusions.

Nous vous prions de croire, Monsieur le Président, mesdames et messieurs les membres du Conseil Constitutionnel, à l'expression de notre haute considération.

Le Conseil constitutionnel a été saisi, par plus de soixante députés et plus de soixante sénateurs, de deux recours dirigés contre la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978, adoptée le 15 juillet 2004.

Les auteurs des recours articulent à l'encontre de la loi, en particulier ses articles 2, 3 et 4, différents griefs qui appellent, de la part du Gouvernement, les observations suivantes.

*

* *

I/ Sur le grief tiré du défaut d'intelligibilité et de clarté de la loi

A/ Les députés et sénateurs requérants font d'abord valoir que la loi déférée manquerait aux exigences constitutionnelles d'intelligibilité et de clarté de la loi, notamment en ce qu'elle substituerait à deux régimes juridiques principaux, applicables respectivement aux fichiers publics et aux fichiers privés, sept nouveaux régimes juridiques distincts.

B/ Un tel grief ne pourra être retenu.

Le principe de clarté de la loi, qui découle de l'article 34 de la Constitution et l'objectif de valeur constitutionnelle d'intelligibilité de la loi, qui découle pour sa part des articles 4, 5, 6 et 16 de la Déclaration des droits de l'homme et du citoyen, imposent au législateur d'adopter des dispositions suffisamment précises et d'user de formules non équivoques (décision n°99-421 DC du 16 décembre 1999 ; décision n°2002-455 DC du 12 janvier 2002 ; décision n°2003-475 DC du 24 juillet 2003 ; décision n°2004-494 DC du 29 avril 2004). Mais on ne saurait soutenir que ce principe et cet objectif font obstacle, en soi, à ce que le législateur adopte des mesures rendant plus complexes les dispositifs en vigueur : la simple circonstance que des dispositions législatives accroissent la complexité d'un mécanisme existant ne les rendent pas contraires à la Constitution, dès lors qu'elles déterminent de façon précise et sans contradiction les nouvelles règles applicables (décision n°2000-437 DC du 19 décembre 2000 ; décision n°2001-447 DC du 18 juillet 2001 ; décision n°2001-453 DC du 18 décembre 2001 ; décision n°2004-494 DC du 29 avril 2004).

Au cas présent, il est vrai que la loi déférée modifie de façon substantielle la loi du 6 janvier 1978, aux fins de procéder à la transposition de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Les dispositions adoptées par le législateur trouvent directement leur origine dans les termes mêmes de la directive, ou traduisent la mise en oeuvre d'une option ouverte par cet instrument, ou encore régissent, pour conserver le cadre unitaire de la loi de 1978, des traitements qui ne relèvent pas du champ d'application de la directive.

La loi retient ainsi les principales orientations suivantes. Elle limite le champ des contrôles préalables aux seuls traitements présentant des risques effectifs d'atteintes aux droits et libertés, que ces traitements relèvent de personnes publiques ou de personnes privées. Elle investit la Commission nationale de l'informatique et des libertés (CNIL) du pouvoir de prendre des décisions directes en matière de contrôle préalable. Elle accroît substantiellement les pouvoirs de contrôle de la CNIL. Elle simplifie les formalités déclaratives pour les traitements exempts de risques. Elle renforce les droits des personnes concernées par les données, en particulier le droit d'information et le droit d'opposition.

Ces dispositions déterminent de façon suffisamment précise les nouvelles règles applicables. Elles ne manquent pas au principe de clarté de la loi ou à l'objectif d'intelligibilité de la loi. Au demeurant, on doit noter que, contrairement à ce qui est soutenu, elles n'ont pas pour effet de rendre sensiblement plus complexe le dispositif de la loi du 6 janvier 1978 dans sa rédaction en vigueur.

De ce point de vue, on doit relever que l'économie de la loi déférée conserve la dualité de régimes juridiques - déclaration et autorisation préalable - mis en place initialement en 1978. Il est vrai que la loi du 6 janvier 1978 dans sa version antérieure à la loi déférée distribuait ces deux régimes selon la nature publique ou privée du fichier - les traitements à finalité publique étant justiciables d'un contrôle préalable par la voie de l'autorisation et les traitements à finalité privée étant soumis à simple régime de déclaration -, alors que la loi déférée met en place une autre logique distribuant les régimes de l'autorisation et de la déclaration selon la nature des données et les risques particuliers qui s'attachent à certaines catégories spécifiques de traitements. Mais il faut relever que ce nouvel agencement résulte directement de l'obligation de transposer la directive 95/46/CE du 24 octobre 1995 qui retient une telle architecture. Ce faisant, la loi modifie certes le périmètre respectif des deux régimes juridiques applicables, mais elle conserve cette dualité de régimes et n'a pas pour effet, contrairement à ce qui est soutenu, de les multiplier.

Si l'on envisage l'ensemble du dispositif, avec ses différentes dérogations ou régimes particuliers, il faut indiquer que la loi du 6 janvier 1978, dans sa version en vigueur, comporte déjà 7 variantes de régimes de contrôle préalable. Il est exact que la loi déférée augmente légèrement le nombre total de variantes qui seront une dizaine. Mais on doit, à cet égard, souligner que le législateur a été soucieux ; à la fois, de maintenir le cadre symbolique, général et unitaire de la loi de 1978 et de prendre en compte la diversité des finalités des traitements, conformément à l'objectif imparti par la directive de proportionner les contrôles et les formalités aux risques effectifs d'atteinte aux droits et libertés.

Dans ces conditions, on ne peut sérieusement soutenir que la loi déférée aurait pour effet d'accroître de façon importante la complexité du dispositif de protection des personnes à l'égard des traitements des données à caractère personnel, ni qu'elle manquerait au principe de clarté de la loi ou à l'objectif d'intelligibilité de la loi.

II/ Sur l'article 2

A/ L'article 2 de la loi déférée, qui procède à la refonte du chapitre II de la loi n°78-17 du 6 janvier 1978, modifie notamment les articles 8 et 9 de la loi du 6 janvier 1978.

L'article 8 modifié interdit en principe de collecter ou de traiter des données à caractère personnel qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci. Il prévoit toutefois des dérogations à cette interdiction, dans la mesure où la finalité du traitement l'exige, dans certaines hypothèses limitativement énumérées, dont les «traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ».

S'agissant de cette dernière dérogation, les auteurs des recours font valoir qu'elle affaiblirait les garanties légales protégeant le droit au respect de la vie privée et la liberté individuelle et que le législateur n'aurait pas épuisé la compétence qu'il tient de l'article 34 de la Constitution.

L'article 9 modifié de la loi du 6 janvier 1978, pour sa part, énumère limitativement les personnes susceptibles de mettre en oeuvre des traitements de données relatives aux infractions, condamnations et mesures de sûreté. Au nombre des personnes visées figurent « 3° les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes » et « 4° les personnes morales mentionnées aux articles L 321-1 et L 331-1 du code de la propriété intellectuelle agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ».

A l'encontre de ces dernières dispositions, les députés et sénateurs requérants soutiennent qu'elles marqueraient un recul des garanties légales apportées au droit au respect de la vie privée et à la liberté individuelle, qu'elles seraient contraires à l'article 66 de la Constitution, à l'article 9 de la Déclaration des droits de l'homme et du citoyen et à l'article 34 de la Constitution.

B/ Ces différentes critiques ne pourront être retenues.

1/ Il convient, à titre liminaire et de façon générale, d'opposer à l'argumentation des recours les deux observations suivantes quant aux normes constitutionnelles applicables et au contrôle exercé par le Conseil constitutionnel.

En premier lieu, s'agissant des normes constitutionnelles applicables, on doit souligner que la jurisprudence du Conseil constitutionnel distingue aujourd'hui nettement le droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen, de la notion de « liberté individuelle » au sens de l'article 66 de la Constitution (décision n°99-416 DC du 23 juillet 1999 ; décision n°99-411 DC du 16 juin 1999 ; décision n°2003-467 DC du 13 mars 2003). Il en résulte qu'en matière de fichiers et de traitements de données, est certainement applicable le principe constitutionnel s'attachant au respect de la vie privée ; en revanche, l'article 66 de la Constitution, et la mission particulière qu'il assigne à l'autorité judiciaire, ne peut, pour sa part, être utilement invoqué (décision n°2003-467 DC du 13 mars 2003). Les critiques formulées par les recours au titre de l'article 66 de la Constitution ne pourront, par suite, qu'être écartées.

En second lieu, à propos de « l'effet cliquet » invoqué par les saisines, il faut marquer que cette notion ne correspond plus à l'état de la jurisprudence constitutionnelle (décision n°86-210 DC du 29 juillet 1986 ; décision n°97-389 DC du 22 avril 1997 ; décision n°98-396 DC du 19 février 1998 ; décision n°2001-446 DC du 27 juin 2001 ; décision n°2002-461 DC du 29 août 2002 ; décision n°2003-484 DC du 20 novembre 2003 ; décision n°2003-485 DC du 4 décembre 2003). Ainsi qu'il est exposé aux Cahiers du Conseil constitutionnel (n°16), en commentaire de la décision n°2003-485 DC du 4 décembre 2003, « en matière de libertés publiques, le Conseil a depuis longtemps renoncé à la tentation d'instaurer une règle générale de « non retour en arrière » ... Selon la jurisprudence relative à la modification des dispositions antérieures lorsque celles-ci garantissent une exigence constitutionnelle ..., il est à tout moment loisible au législateur, statuant dans le domaine qui lui est réservé par l'article 34 de la Constitution, de modifier les textes antérieurs ou d'abroger ceux-ci en leur substituant, le cas échéant, d'autres dispositions ; il ne lui est pas moins loisible d'adopter, pour la réalisation ou la conciliation d'objectifs de nature constitutionnelle, des modalités nouvelles dont il lui appartient d'apprécier l'opportunité et qui peuvent comporter la modification ou la suppression de dispositions qu'il estime excessives ou inutiles ; cependant, l'exercice de ce pouvoir ne saurait aboutir à priver de garanties légales des exigences de caractère constitutionnel ».

Au cas présent, la loi déférée procède à une refonte importante de la loi du 6 janvier 1978. Ce faisant, elle abroge parfois, sans les reprendre, certaines des dispositions en vigueur de cette loi ; mais elle met en place un nouvel équilibre qui, pris globalement, ne traduit pas un affaiblissement des garanties légales protégeant les exigences constitutionnelles, mais au contraire leur renforcement, alors que les procédés informatiques ont connu, depuis 1978, des évolutions considérables et que notre société se caractérise aujourd'hui par la multiplicité des modes d'enregistrement et d'échanges électroniques, par une diversification corrélative des risques liés à ces traitements et aussi par une très grande diffusion de traitements utiles et inoffensifs.

Dans ce contexte de mutation, la directive 95/46/CE du 24 octobre 1995 a tracé le cadre de ce nouvel équilibre et fixé un haut niveau de garanties, mettant au premier plan les contrôles a posteriori sans supprimer pour autant toute forme de contrôle a priori. La loi déférée, procédant à la transposition de cette directive, traduit cet équilibre qui apparaît, en termes d'effectivité, accroître sensiblement les garanties offertes aux personnes s'agissant des traitements de données à caractère personnel.

On peut, en particulier, souligner qu'elle met en place, s'agissant des contrôles a posteriori qui sont mieux ciblés et plus effectifs, des mesures coercitives d'investigation, qu'elle permet d'adresser aux responsables de traitements non seulement des avertissements mais encore des injonctions, qu'elle prévoit le verrouillage de l'accès à certaines données ou des mesures d'interruption du traitement ou de signalement au Premier ministre, qu'elle envisage le retrait des autorisations précédemment délivrées et qu'elle permet le prononcé de sanctions pécuniaires d'un montant élevé.

Il faut aussi relever que la réorientation du contrôle préalable vers un régime de déclaration des traitements ne conduit pas à un abaissement du niveau global de protection. En effet, on doit noter que si le champ de l'autorisation se réduit pour le secteur public, de nombreuses catégories de traitements privés entrent en revanche désormais dans le champ de l'autorisation. On doit aussi relever que la loi déférée renforce l'effectivité des droits d'opposition, d'accès et de rectification, en ce qu'elle étend le champ des données sensibles aux données de santé, prévoit une information obligatoire des intéressés en cas de collecte indirecte des données traitées, supprime l'exigence d'une raison légitime pour exercer le droit d'opposition s'agissant des traitements à finalité de prospection et améliore l'exercice du droit d'accès indirect. Il faut, enfin, insister sur l'extension des pouvoirs d'investigation et de sanction, y compris pécuniaire, qui sont confiés à la Commission nationale de l'informatique et des libertés (CNIL).

A cet égard, on peut indiquer que les membres de la CNIL et ses agents pourront accéder, entre 6 heures et 21 heures, à tout local servant à la mise en oeuvre d'un traitement de données à caractère personnel et se faire communiquer toute pièce utile à leur mission. Le délit d'entrave est puni d'un an d'emprisonnement et de 15.000 euros d'amende. On peut aussi relever que la CNIL est investie du pouvoir d'infliger des sanctions administratives graduées - avertissements, injonctions de cesser le traitement, sanctions pécuniaires pouvant aller jusqu'à 150.000 euros pour un premier manquement et 300.000 euros en cas de récidive, dans la limite de 5% du chiffre d'affaires. En cas d'urgence et de violation des droits et libertés, la CNIL pourra procéder dans certains cas, sauf pour les fichiers dits de souveraineté ou relatifs à des missions essentielles de l'Etat, à l'interruption de la mise en oeuvre du traitement ou au verrouillage de certaines des données à caractère personnel. Elle peut rendre publiques ces sanctions. Elle peut également informer le Premier Ministre des violations constatées, celui-ci faisant connaître à la CNIL les suites qu'il donne à cette information. Elle peut encore saisir l'autorité judiciaire.

Dans ces conditions, on ne saurait considérer, comme le font les auteurs des recours, que les garanties présentées par la loi de 2004 relative à la protection des données à caractère personnel constituent un recul manifeste par rapport au niveau des garanties légales apportées jusqu'alors aux droits et libertés par la loi du 6 janvier 1978. La loi déférée n'a donc pas privé les exigences constitutionnelles liées au respect de la vie privée de garanties légales ; elle les a, au contraire, globalement renforcées en mettant en place un dispositif plus adapté aux caractéristiques actuelles des traitements de données à caractère personnel.

2/ S'agissant des critiques adressées à l'article 8 de la loi du 6 janvier 1978 modifié par l'article 2 de la loi déférée, il sera d'abord observé que les dispositions contestées, figurant au 5° du II de l'article 8 modifié, procèdent à la transposition littérale de la seconde partie du e du paragraphe 2 de l'article 8 de la directive 95/46/CE du 254 octobre 1995. Les termes de l'article 8 de la directive, tant en ce qui concerne le principe d'interdiction de collecte et de traitement de données sensibles qu'en ce qui concerne ses dérogations, sont inconditionnels et précis et présentent un caractère impératif. Les recours ne peuvent, dans ces conditions, pas utilement critiquer leur conformité à la Constitution (décision n°2004-496 DC du 10 juin 2004).

Au demeurant, et en tout état de cause, les dispositions critiquées du 5° du II de l'article 8 de la loi du 6 janvier 1978 modifiée ne peuvent être regardées comme privant de garanties légales les exigences constitutionnelles du respect de la vie privée ; elles ne sont pas davantage entachées d'incompétence négative.

Le législateur communautaire - et après lui le législateur national - a, en effet, entendu opérer une conciliation entre le respect de la vie privée et le droit d'ester en justice nécessaire à la protection des victimes. La loi déférée permettra ainsi, par exemple, à un auxiliaire de justice de traiter des données sensibles en vue d'effectuer une constatation, de réaliser une expertise, ou d'assurer la défense du responsable du traitement ; de même le juge pénal pourra entreprendre des investigations portant sur des facteurs de discrimination.

Le législateur a, de plus, déterminé sans méconnaître l'article 34 de la Constitution le champ de la dérogation et son encadrement. Comme toute dérogation, elle est d'interprétation stricte ; la loi rappelle en outre, conformément à la directive, que les traitements la mettant en oeuvre doivent être « nécessaires à la constatation, l'exercice ou la défense d'un droit en justice » ; elle précise aussi que les dérogations ne sont autorisée que « dans la mesure où la finalité du traitement l'exige ». Ainsi, au regard de ces exigences, ne pourrait être considérée comme licite la création préventive par des entreprises de fichiers non rendus indispensables par l'exercice actuel d'un droit et seulement susceptibles d'être utilisés ultérieurement pour étayer une action à l'encontre d'un salarié ou de quelque autre personne.

On doit aussi relever qu'ainsi qu'il a été dit précédemment la loi déférée met en place des procédures rigoureuses de contrôle a posteriori applicables notamment à ces traitements dérogatoires. La CNIL sera en effet en mesure d'exercer l'intégralité de ses pouvoirs d'investigation, d'injonction et de sanction à l'égard de ces traitements. Par ailleurs, il relèvera de l'office du juge d'écarter des débats des données qui auraient été obtenues en violation des principes protecteurs de la vie privée.

Dans ces conditions, les griefs adressés par les recours aux dispositions nouvelles du 5° du II de l'article 8 de la loi du 6 janvier 1978, modifié par la loi déférée, ne pourront être retenus par le Conseil constitutionnel.

3/ L'article 9 de la loi du 6 janvier 1978 modifié par l'article 2 de la loi déférée énumère, pour sa part, les personnes qui seront susceptibles de mettre en oeuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté. Il s'agit des juridictions et plus généralement les autorités chargées d'un service public agissant dans le cadre de leurs attributions légales, des auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi, des personnes morales victimes d'infractions ou agissant pour le compte de ces victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que la réparation du préjudice subi et des personnes morales mentionnées aux articles L 321-1 et L 331-1 du code de la propriété intellectuelle aux fins d'assurer la défense des droits dont elles assurent la gestion.

En l'état de la législation en vigueur, l'article 30 de la loi du 6 janvier 1978 limitaient aux juridictions et autorités publiques et, sur avis conforme de la CNIL, aux personnes morales chargées de la gestion d'un service public la possibilité de mettre en oeuvre des traitements enregistrant des faits et comportements constitutifs en eux-mêmes d'une infraction pénale précisément prévue et réprimée. L'article 30 avait pour effet d'interdire aux autres personnes d'instituer de tels traitements. N'entraient en revanche pas dans le champ de cette interdiction les fichiers incluant des données qui, recoupées avec des éléments extérieurs auxdits fichiers, étaient de nature à permettre la constatation d'une infraction.

Les saisines contestent que la loi ait prévu la possibilité de constituer de tels fichiers pour les deux catégories de personnes énoncées respectivement au 3° et 4° de l'article 9 modifié.

Il faut toutefois, au plan juridique, distinguer ces deux hypothèses, eu égard aux termes qui ont été utilisés par le législateur.

a) S'agissant, en premier lieu, des personnes morales victimes d'infractions ou agissant pour le compte de telles victimes mentionnées au 3° de l'article 9, il importe de relever que le législateur a renvoyé à une loi ultérieure le soin de déterminer les conditions dans lesquelles les traitements en cause pourront être mis en oeuvre. Tant que cette loi ne sera pas intervenue, la disposition du 3° de l'article 9 modifié n'est pas susceptible d'être appliquée.

Un tel renvoi à une loi ultérieure a pour effet de priver de portée cette disposition, dont la conformité à la Constitution ne peut, par suite, pas être utilement contestée (décision n°82-142 DC du 27 juillet 1982 ; décision n°85-196 DC du 8 août 1985).

On peut toutefois faire valoir que la mise en oeuvre de ces traitements par les personnes mentionnées au 3° de l'article 9, lorsque la loi ultérieure sera intervenue, pourra se recommander des termes du paragraphe 5 de l'article 8 de la directive 95/46/CE du 24 octobre 1995 et de ceux du d du paragraphe 1 de l'article 13 de cette même directive. On peut indiquer qu'au cours de la négociation communautaire, plusieurs délégations ont mis en avant l'intérêt qu'il y aurait à permettre à des organismes privés ou publics de constituer des fichiers comportant certaines dérogations aux principes figurant à l'article 6 de la directive, dans un objectif de prévention, de recherche, de détection et de poursuites d'infractions pénales. Depuis lors, la Commission européenne a déposé une proposition de directive sur les services de paiement dans le marché intérieur qui tend notamment à faire obligation aux Etats membres d'appliquer les dérogations prévues à l'article 13 paragraphe 1 d) de la directive 95/46/CE du 24 octobre 1995 en matière de fraude au paiement. Le dispositif du 3° de l'article 9 modifié pourrait ainsi être mis en oeuvre à l'avenir, par des lois ultérieures, pour lutter contre le développement de certaines fraudes sectorielles importantes, comme la fraude à la carte bancaire ou la fraude à l'assurance. En cas d'intervention de ces lois ultérieures, on doit préciser, en tout état de cause, que ces traitements entreraient dans le champ de l'article 25 de la loi du 6 janvier 1978 modifiée et ne pourraient être mis en oeuvre qu'après autorisation délivrée par la CNIL.

b) S'agissant, en second lieu, des personnes morales visées au 4° de l'article 9 modifié, la loi déférée permet, par elle-même, la mise en oeuvre des traitements considérés, dans le cadre général de la loi de 1978 modifiée.

Le législateur a, en effet, fait le choix d'utiliser, pour le cas particulier de la protection des droits d'auteurs et des droits voisins, la faculté laissée par les articles 8 et 13 de la directive 95/46/CE du 24 octobre 1995. Les pouvoirs publics sont, en effet, particulièrement soucieux de renforcer la lutte contre les atteintes aux droits d'auteurs que le développement récent des techniques a permises sur une grande échelle.

Le téléchargement de fichiers (musique, vidéo) constitutifs d'oeuvres protégées distribués sur l'internet, sans consentement de leurs auteurs et ayants droit, ainsi que la mise à disposition de tels fichiers sur un service de communication au public en ligne ou à travers un système d'échange de fichiers entre internautes (réseaux peer to peer) sont constitutifs de contrefaçon au sens de l'article L 335-4 du code de la propriété intellectuelle. Le développement des réseaux à haut débit a permis l'explosion des échanges illicites de fichiers protégés. Ainsi, on estime aujourd'hui ces échanges à 16 millions de titres de musique et à 1 million de films par jour, en France, soit environ trois fois les ventes sur support CD et DVD. Cette forme nouvelle de contrefaçon cause un préjudice important aux créateurs. Elle pourrait remettre en cause la viabilité économique des créations les plus fragiles et ainsi nuire à la diversité culturelle. La défense de la création et de la diversité culturelle fait donc de la lutte contre la contrefaçon une action d'intérêt public.

Face à la multiplication des atteintes ainsi portées aux droits de propriété littéraire et artistique, qui individuellement représentent un préjudice unitaire modéré mais, prises ensemble, représentent un préjudice très important, il apparaît nécessaire de faciliter la constatation de ces infractions de manière automatisée. C'est pourquoi le Conseil supérieur de la propriété littéraire et artistique, dans un avis rendu le 2 mars 2004, a souhaité que la réforme en cours de la loi du 6 janvier 1978 soit l'occasion de trouver, dans le respect des droits fondamentaux et des objectifs de la directive du 24 octobre 1995, une solution permettant aux titulaires de droits d'auteur ou de droits voisins et aux organismes agissant pour leur compte, de procéder à la constitution de fichiers permettant d'assurer une protection de ces droits.

Le dispositif introduit au 4° de l'article 9 de la loi du 6 janvier 1978 modifiée permettra aux personnes morales représentatives des ayants droit de mettre en place des outils collectant les adresses des ordinateurs (dites adresses internet protocol IP) d'utilisateurs de réseaux d'échange peer to peer permettant le téléchargement illicite d'oeuvres protégées. Ces fichiers de données de connexion (adresses IP, date et heures de connexion), données indirectement nominatives, devraient permettre d'identifier les infractions les plus caractérisées, compte tenu de l'importance de la mise à disposition, sans autorisation des ayants droit, de fichiers protégés ou de la participation active à la mise en place d'un réseau d'échange d'oeuvres. La constitution de cette preuve est indispensable à la mise en oeuvre d'actions judiciaires à l'encontre des contrefacteurs.

Il importe cependant de souligner que cette disposition ne permet pas, à elle seule, de constituer des fichiers de personnes se livrant, au moyen de logiciels de peer to peer, à des contrefaçons. En effet, si les sociétés d'auteurs peuvent, à l'aide de cette disposition, constituer des fichiers contenant les paramètres de connexion de personnes mettant à disposition des internautes des oeuvres sans autorisation de leur auteur, elles ne peuvent constituer des fichiers avec l'identité de ces personnes. L'identification de l'auteur ne peut se faire qu'à partir d'un rapprochement entre l'adresse IP et l'identité de l'abonné à qui le fournisseur d'accès à l'internet a attribué cette adresse. L'obtention des données d'identification des personnes connectées au réseau ne pourra s'opérer que sur réquisition du juge. En effet, ces données de connexion détenues par les fournisseurs d'accès en application de l'article L. 32-3-1 du code des postes et télécommunications ne peuvent être obtenues que par l'autorité judiciaire « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Par ailleurs, la conservation de ces données de connexion par les opérateurs de télécommunication est limitée par le même article à une durée d'un an, au-delà de laquelle le rapprochement ne sera plus possible.

La disposition du 4° de l'article 9 de la loi de 1978 modifiée s'inscrit ainsi dans une perspective de renforcement des moyens de lutte contre la contrefaçon. Il complète notamment l'article 8 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique qui, au sein de l'article L 332-1 du code de la propriété intellectuelle, étend à la communication publique en ligne les pouvoirs du président du tribunal de grande instance, statuant par ordonnance sur requête, selon la procédure spécifique de la saisie-contrefaçon. En outre, la faculté offerte aux organismes de défense des ayants droit de constituer des fichiers de données indirectement nominatives renforcerait la mise en oeuvre du plan d'action du Gouvernement contre le piratage sur l'internet. Un projet de charte entre les fournisseurs d'accès à l'internet et les ayants droit prévoit un certain nombre de mesures visant à prévenir, dissuader et réprimer le piratage, mais aussi à développer les offres légales, payantes et attractives.

Il faut souligner que la possibilité de mise en oeuvre de tels traitements de données a été précisément circonscrite par le législateur. L'autorisation de constituer des fichiers est conférée aux sociétés de perception et de répartition des droits (SPRD) d'auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes constituées sous forme de sociétés civiles (article L 321-1 du code de la propriété intellectuelle) ainsi qu'aux organismes de défense professionnelle régulièrement constitués (article L 331-1 du code de la propriété intellectuelle) qui ont qualité pour ester en justice pour la défense des droits ou des intérêts dont ils ont statutairement la charge. Il s'agit notamment de la société des auteurs, compositeurs et éditeurs de musique (SACEM), de la société civile pour l'exercice des droits des producteurs phonographiques (SCPP), de la société civile des auteurs, réalisateurs et producteurs de cinéma (ARP) ou d'associations représentant les titulaires de droits (par exemple, l'Association de lutte contre la piraterie audiovisuelle).

La faculté offerte à ces personnes morales s'inscrit dans le cadre des moyens de constatation des infractions spécifiques au code de la propriété intellectuelle. Il convient de rappeler qu'aux termes de l'article L 331-2 du code de la propriété intellectuelle, la preuve de la matérialité de toute infraction aux dispositions des livres Ier, II et III du code de la propriété intellectuelle peut résulter des constatations d'agents assermentés désignés par les organismes professionnels d'auteurs et par les sociétés de gestion et de répartition des droits et agréés par le ministre chargé de la culture. De strictes conditions entourent la détermination des personnes chargées de ces constats: elles doivent être salariées de la SPRD ou l'organisme de défense des intérêts professionnels et ne peuvent exercer cette mission qu'après avoir satisfait à la double condition de l'agrément du ministre de la culture et de la prestation de serment. L'agrément est délivré à titre individuel pour une durée de 5 ans par le ministre de la culture sur la base d'une dossier comprenant un extrait de casier judiciaire B3, une présentation de la personne par la société de perception et de répartition ou le syndicat professionnel, justifiant de ses qualifications pour exercer cette fonction. La prestation de serment n'intervient qu'après agrément. Le ministre de la culture est informé des cessations de fonction des agents assermentés.

On doit relever, aussi, que les traitements en cause seront soumis au régime le plus strict de la loi du 6 janvier 1978 modifiée par la loi déférée. Ces traitements devront faire l'objet d'une autorisation préalable délivrée directement par la CNIL, à laquelle il appartiendra de circonscrire le contenu et la portée des données de nature pénale susceptibles de figurer dans ces fichiers ainsi que leur durée de conservation et de s'assurer de la justification de la poursuite de l'intérêt général que constitue la protection des droits prévus aux livres Ier, II et III du code de la propriété intellectuelle. La CNIL exercera également un contrôle sur la finalité spécifique du fichier, en particulier eu égard à sa vocation préventive ou répressive. Elle pourra naturellement faire usage de ses pouvoirs d'investigation et de contrôle a posteriori, qui comportent celui de retirer l'autorisation initialement accordée au responsable de traitement.

Il convient enfin de rappeler, comme il a été dit, que s'agissant de la collecte de données telles que les adresses IP (Internet protocol) des internautes se livrant à des activités de contrefaçon le caractère seulement indirectement nominatif de ces adresses ne permet d'accéder à l'identité réelle des intéressés qu'après rapprochement avec les données de connexion uniquement détenues par les opérateurs de télécommunications. Un tel rapprochement ne pourra intervenir que dans le cadre d'une procédure judiciaire, seule l'autorité judiciaire et les officiers de police judiciaire étant habilités à accéder à ces données.

Dans ces conditions, il apparaît au Gouvernement que les griefs adressés par les recours au 4° de l'article 9 de la loi de 1978 modifiée pourront être écartés.

III/ Sur l'article 3

A/ L'article 3 de la loi déférée modifie notamment l'article 21 de la loi du 6 janvier 1978 et dispose que les détenteurs et utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la Commission nationale de l'informatique et des libertés (CNIL) et doivent prendre toutes mesures utiles afin de faciliter sa tâche. Cet article précise, en outre, que « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions.

Les auteurs des recours estiment que ces dispositions priveraient de garanties légales les exigences constitutionnelles de protection de la vie privée et de la liberté individuelle.

B/ Une telle critique manque en fait.

La loi déférée n'a, en effet, nullement pour portée de rendre opposable aux membres de la CNIL et à ses agents un secret qui, en l'état de la législation en vigueur, ne serait pas susceptible de leur être opposé. Sans doute aucune disposition en vigueur de la loi du 6 janvier 1978 ne précise-t-elle, explicitement, que le secret professionnel est opposable aux investigations de la CNIL. Mais l'absence de toute disposition expresse conduit précisément à considérer que le secret professionnel leur est opposable, dès lors qu'une disposition législative expresse est nécessaire pour déroger aux articles 226-13 et 226-14 du code pénal qui répriment la violation du secret professionnel.

Il faut noter, à cet égard, que ni les dispositions en vigueur de l'article 21 de la loi du 6 janvier 1978 ni celles de son article 13, selon lesquelles « les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion » ne valent levée du secret professionnel. En particulier, l'obligation de confidentialité des informaticiens ne peut être assimilée au secret professionnel protégé par le code pénal. A titre de comparaison, on peut rappeler que le secret professionnel demeure opposable au juge civil (V. par exemple Cass. Civ. I, 21 juin 1988, Bull. Civ. n°201, à propos du secret médical) et qu'il justifie un encadrement des pouvoirs d'investigation du juge pénal (V. Cass. Crim. 14 janvier 2003). Il est, en effet, essentiel que certaines professions, tels les médecins et les avocats, puissent bénéficier de la protection d'un tel secret qui a été instauré pour garantir des droits fondamentaux de la personne. On doit d'ailleurs noter que ce secret ne saurait être invoqué de mauvaise foi par des responsables de traitements, sous peine de les exposer aux sanctions réprimant le délit d'entrave aux investigations de la CNIL réprimé par l'article 51 de la loi de 1978 modifié.

Ainsi, la loi déférée n'a pas pour objet ou pour effet de rendre opposable à la CNIL un secret dont elle aurait pu, en l'état de la législation antérieure, exiger que l'on s'affranchisse. La disposition critiquée ne peut, par suite, être regardée comme privant de garanties légales des exigences constitutionnelles.

IV/ Sur l'article 4

A/ L'article 4, procédant à la refonte du chapitre IV de la loi du 6 janvier 1978, modifie notamment les articles 22 et 26 de cette loi.

L'article 22 modifié prévoit que les traitements automatisés de données à caractère personnel qui ne relèvent pas des articles 25, 26, 27 et 36 font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. Le III de l'article 22 dispense toutefois de cette formalité les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel.

Les recours critiquent cette dernière disposition en soutenant qu'elle prive les exigences constitutionnelles des garanties mises en place par la loi du 6 janvier 1978. Ils font aussi valoir qu'elle serait entachée d'incompétence négative.

Pour sa part, l'article 26 modifié énumère les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui sont autorisés par arrêté ministériel après avis motivé et publié de la Commission nationale de l'informatique et des libertés.

Les parlementaires requérants relèvent que le législateur a, ce faisant, supprimé l'obligation antérieurement requise d'un avis conforme de la Commission nationale de l'informatique et des libertés et font valoir que cette modification serait contraire aux exigences constitutionnelles résultant de l'article 2 de la Déclaration des droits de l'homme et du citoyen et de la liberté individuelle.

B/ De telles critiques ne sont pas fondées.

1/ S'agissant du III de l'article 22 de la loi du 6 janvier 1978 modifié par l'article 4 de la loi déférée concernant le correspondant pour la protection des données, on doit relever que ce mécanisme correspond à la mise en oeuvre d'une option ouverte par le paragraphe 2 de l'article 18 de la directive 95/46/CE du 24 octobre 1995. Sur la proposition du Gouvernement et en plein accord avec la CNIL, le législateur a décidé de retenir cette option en raison du caractère très positif que l'on peut attendre de l'intervention de ces correspondants.

Une telle intervention est, en effet, de nature à permettre à la CNIL de s'appuyer sur de nouveaux interlocuteurs pour l'exercice de ses missions. Elle présente une vertu pédagogique et permettra de faire progressivement partager une culture de protection des données à caractère personnel. Elle favorisera une adéquate autorégulation. Dans ce cadre, le salarié investi des fonctions de correspondant jouera un rôle d'interface entre le responsable des traitements et la CNIL, assistant le responsable des traitements pour les gérer au mieux et collaborant avec la CNIL, notamment en tenant une liste des traitements.

On doit relever que la loi a précisément limité la portée de ce mécanisme, en prévoyant que la désignation d'un correspondant ne pouvait avoir pour conséquence que de dispenser des formalités de déclaration des traitements. La loi ne prévoit en effet de dispense que pour les formalités prévues aux articles 23 et 24, c'est à dire des seules obligations déclaratives. Demeurent en revanche pleinement applicables les dispositions relatives à l'autorisation préalable résultant des articles 25 à 27 de la loi modifiée quand les traitements d'un organisme ayant désigné un correspondant entrent dans le champ des contrôles approfondis prévus par ces articles. Par ailleurs, le législateur a également écarté la dispense de formalités pour les traitements qui comportent des transferts de données à destination d'un Etat extérieur à l'Union européenne.

On doit noter, en outre, que le correspondant pour la protection des données a notamment pour mission de tenir une liste des traitements mis en oeuvre et de la rendre accessible à toute personne qui en ferait la demande. La CNIL pourra naturellement en disposer et mettre en oeuvre l'intégralité de ses pouvoirs de contrôle a posteriori. En cas de violation des dispositions de la loi, la CNIL pourra enjoindre le responsable du traitement de procéder aux formalités dont la désignation du correspondant l'avait dispensé. La CNIL exercera un contrôle direct sur les conditions d'accomplissement de leurs missions par les correspondants : en cas de manquement constaté d'un correspondant à ses devoirs, elle pourra prendre l'initiative d'une procédure conduisant à décharger l'intéressé de ses fonctions.

Il faut enfin relever que la loi déférée, conformément aux termes de la directive qui précisent que le correspondant doit accomplir sa mission « d'une manière indépendante », a mis en place des garanties adaptées en instituant un régime protecteur du salarié exerçant les fonctions de correspondant. La loi énonce ainsi que l'exercice de la fonction ne pourra faire l'objet d'aucune sanction de la part de l'employeur et que le correspondant pourra saisir la CNIL des difficultés qu'il rencontre dans l'exercice de ses missions. Contrairement à ce qui est soutenu par les saisines, le législateur n'était pas contraint par des exigences constitutionnelles d'instituer des garanties supérieures. En particulier, la situation des correspondants pour la protection des données n'est pas identique à celle des salariés investis d'un mandat de représentation dans l'entreprise susceptibles de se réclamer des termes du huitième alinéa du Préambule de la Constitution du 27 octobre 1946 : le législateur n'était ainsi nullement tenu de faire bénéficier les correspondants pour la protection des données du régime spécial prévu par le code du travail pour les salariés protégés.

2/ S'agissant des critiques adressées au I de l'article 26 de la loi du 6 janvier 1978 modifié par l'article 4 de la loi déférée à propos de l'avis conforme de la CNIL, il faut d'abord relever que ce I ne porte que sur des traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui ne contiennent pas de données sensibles au sens de l'article 8 modifié de la loi de 1978. Pour ceux des traitements visés à l'article 26 qui contiennent des données sensibles, la procédure applicable est celle du II de cet article, qui prévoit l'intervention systématique d'un décret en Conseil d'Etat après avis motivé et publié de la CNIL. La procédure critiquée par les saisines faisant intervenir un arrêté ministériel pris après avis motivé et publié de la CNIL ne concerne que des fichiers ou traitements qui ne portent pas sur des données sensibles et qui présentent, en conséquence, un risque moindre pour les droits et libertés des personnes concernées.

Sans doute le législateur a-t-il substitué, dans ces cas, une obligation d'avis préalable, motivé et publié de la CNIL au mécanisme d'avis conforme auquel, sur le fondement de l'article 15 de la loi en vigueur, on peut passer outre par décret en Conseil d'Etat. Mais cette seule modification ne peut être regardée comme privant de garanties légales les exigences constitutionnelles résultant du droit au respect de la vie privée, dès lors que, comme il a été dit, le niveau global de protection assuré par le nouvel équilibre législatif permet de garantir ces exigences constitutionnelles.

On peut relever les difficultés techniques qui ont été rencontrées, depuis 1978, dans la mise en oeuvre de la procédure l'avis conforme, laquelle est apparue, à l'usage, source de complications inutiles. C'est pourquoi, la procédure unique de l'avis conforme sauf passer-outre a été remplacée par une articulation plus adaptée de plusieurs procédures : autorisation par décision directe de la CNIL pour les catégories de traitements énumérées à l'article 25 modifié de la loi de 1978, décret en Conseil d'Etat après avis motivé et publié de la CNIL pour les traitements visés au II de l'article 26 modifié de la loi de 1978, arrêté ministériel après avis motivé et publié de la CNIL pour les traitements de l'Etat, ne comprenant pas de données sensibles, visés au I de l'article 26 modifié.

On doit aussi souligner que l'exigence de publicité immédiate de l'avis de la CNIL, facteur de transparence de la procédure, une garantie nouvelle constitue une garantie nouvelle. Elle n'est pas de même nature que celle résultant d'un avis conforme, mais elle est apparue au législateur plus adaptée aux nécessités actuelles et à l'architecture générale du dispositif refondu de la loi de 1978.

Le grief tiré de ce qu'en supprimant la formalité de l'avis conforme au I de l'article 26 de la loi de 1978 modifié par la loi déférée, le législateur aurait privé de garanties légales des exigences constitutionnelles ne pourra, dans ces conditions, qu'être écarté.

*

* *

Pour ces raisons, le Gouvernement est d'avis qu'aucun des griefs articulés par les parlementaires requérants n'est de nature à conduire à la censure des dispositions de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978. Aussi estime-t-il que le Conseil constitutionnel devra rejeter les recours dont il est saisi.

Monsieur le Président, mesdames et messieurs les membres du Conseil Constitutionnel, nous avons l'honneur de déférer à votre examen, en application de l'article 61 de la Constitution, l'ensemble de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Sont plus particulièrement visés les articles 2, 3 et 4 de cette loi.

* * *

La présente loi constitue une refonte de la loi dite informatique et libertés du 6 janvier 1978 votée dans une période où les potentialités fantastiques de la technique s'affirmaient et faisaient monter les menaces sur la vie privée et la liberté individuelle de chacun. Mémoire du refus citoyen de voir mettre en place une vaste interconnexion sauvage, nommée SAFARI, de tous les fichiers administratifs autour d'un numéro d'identification unique, ce texte avait le mérite de la simplicité et de la clarté. Son importance dans l'ordonnancement juridique est unanimement admise. Aussi, si vous n'avez jamais constitutionnalisé ce texte, précurseur à maints égards des évolutions connues par de nombreux autres pays et par l'Union européenne, vous avez cependant pris soin, toutes les fois où la question vous a été posée, d'affirmer que ses dispositions formaient un corpus de garanties légales essentielles pour la protection de plusieurs exigences constitutionnelles.

Les développements de la technologie et les possibilités d'interconnexions de fichiers s'accentuent de jour en jour, à travers le monde entier. L'ivresse du fichage généralisé s'étant parfois emparée de personnes publiques et privées, au point que cela devienne pour certain un commerce lucratif, il importe, plus que jamais, de maintenir un haut niveau pour la protection de la vie privée et de la liberté individuelle.

I. Sont ici en cause, notamment, la liberté que proclame l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 impliquant le respect de la vie privée, la liberté individuelle en tant que telle mais aussi en tant que protégée par l'autorité judiciaire au titre de l'article 66 de la Constitution, et plus largement, la compétence exclusive que le législateur tient de l'article 34 de la Constitution de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.

Vous avez donc jugé, par exemple en 1993, qu'il appartient au législateur d'assurer l'application des dispositions protectrices de la liberté individuelle prévues par la législation relative à l'informatique, aux fichiers et aux libertés (Décision n° 93-225 DC des 12 et 13 août 1993, considérant 133).

Dans le droit fil de ce raisonnement, vous avez admis la constitutionnalité des dispositions autorisant l'administration des impôts à collecter, conserver et échanger avec d'autres administrations de même nature le numéro d'identification au répertoire national dès lors, encore une fois, que le législateur n'avait pas entendu déroger aux dispositions protectrices de la liberté individuelle et de la vie privée établies par la législation relative à l'informatique, aux fichiers et aux libertés (Décision n° 98-405 DC du 29 décembre 1998).

C'est encore dans cette même logique que vous avez validé les traitements relatifs au PACS dès lors que s'y appliquent les garanties résultant de la législation relative à l'informatique et aux libertés et considéré qu'alors le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789 n'était pas méconnu (Décision n° 99-419 DC du 9 novembre 1999). Solution reprise dans votre décision du 21 décembre 1999 concernant la Couverture médicale universelle (Décision n° 99-422 DC).

Encore récemment, dans votre décision relative à la loi sur la sécurité intérieure, vous avez encadré la constitution et l'utilisation de divers fichiers de gendarmerie et de police en rappelant l'importance de la loi du 6 janvier 1978 comme garantie légale de droits et libertés constitutionnellement protégés (Décision n° 2003-467 DC du 13 mars 2003, considérants 19 à 46).

II. On mesure ici combien cette grande loi de 1978, témoin d'une revendication pour plus de liberté face aux pouvoirs de l'administration et aux rêves de toute puissance de certaines entités privées ou publiques, figure comme une des garanties légales de nombreuses exigences constitutionnelles.

Elle n'est certes pas intangible dans toutes ses prescriptions et doit être adaptée aux nouveaux défis. Elle ne saurait cependant être dépouillée de toute sa force sans mettre à nu les droits et libertés qu'elle était destinée à protéger. Autrement dit, il revenait au législateur de 2004 de ne pas affaiblir les garanties initialement édictées au regard du niveau de protection exigé pour certains droits et libertés. Une telle contrainte pesant sur le Parlement n'est que l'illustration de votre jurisprudence classique appelée « effet cliquet ».

Selon celle-ci, le législateur ne saurait modifier des textes antérieurs ou abroger ceux-ci en leur substituant des dispositions ou des modalités nouvelles, dont il lui revient certes d'apprécier l'opportunité au titre de son pouvoir souverain, dès lors que cet exercice aboutirait à priver de garanties légales des exigences de caractère constitutionnel (voir notamment : Décisions n° 86-210 DC du 29 juillet 1986, cons. 2 ; n° 98-396 DC du 19 février 1998, cons. 16 ; n° 2000-446 DC du 27 juin 2001, cons.4).

S'agissant de la loi sur l'informatique et les libertés, ce raisonnement affleure dans la décision du 13 mars 2003 (précitée) lorsque vous avez jugé « qu'il ressort des débats parlementaires, que la loi du 6 janvier 1978 susvisée, que le législateur n'a pas entendu écarter, s'appliquera aux traitements en cause ». L'écarter aurait eu pour conséquence de priver de garanties légales les droits et libertés constitutionnelles alors concernés.

Les dispositions protectrices de la loi de 1978 ne peuvent être « écartées » que si les dispositions s'y substituant ou la modifiant apportent des garanties au moins équivalentes pour les droits et libertés en cause.

En l'espèce, il n'a pas échappé aux auteurs de la saisine que la loi en cause porte, pour partie, transposition de la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles et que certains articles du texte déféré sont une reprise nécessaire et fidèle de stipulations claires, précises et inconditionnelles de cet acte de droit communautaire dérivé.

Il demeure que plusieurs dispositions sont : soit non imposées par la directive de 1995 ou ne concernent que des options ouvertes par celles-ci, soit vont à son encontre. Dans ces conditions et dès lors que ces dispositions législatives sont évidemment contraires à des normes constitutionnelles expresses, et constituent un recul manifeste par rapport au niveau des garanties légales apportées jusqu'alors aux droits et libertés constitutionnellement protégés, votre contrôle peut heureusement s'exercer pleinement.

III. Sur l'objectif d'intelligibilité et de clarté de la loi

Vous avez consacré l'objectif de valeur constitutionnelle d'intelligibilité et de clarté de la loi (Décision n° 99-421 DC du 16 décembre 1999 ; Décision n° 2003-468 DC du 3 avril 2003). Le respect de cet objectif s'impose d'autant plus lorsque le texte de loi en cause porte sur les libertés et engage le respect de droits constitutionnellement garantis.

Or, en l'occurrence, et de l'avis général, la loi votée rend particulièrement complexe le régime applicable aux traitements de données personnelles. Non seulement, il faut redouter des difficultés pour les personnes morales de droit public ou de droit privé qui sont destinataires des obligations ainsi édictées, sachant que des sanctions pénales s'attachent au respect de ces règles, mais, plus encore, il importe de craindre pour le respect des droits de chacun. Qu'il s'agisse des modalités d'exercice du droit d'accès, de la connaissance des traitements en oeuvres, y compris comprenant des données sensibles, ou des pouvoirs des interlocuteurs compétents, CNIL ou correspondants ad hoc, l'ensemble du texte souffre d'une opacité qui nuit à son accessibilité par le citoyen.

Jusqu'alors, il existait principalement deux régimes. L'un pour les fichiers publics, plus exigeant (article 15 de la loi de 1978), l'autre pour les fichiers privés, plus libéral car seulement déclaratif (article 16 de la loi de 1978). L'évolution nécessaire et guidée, en partie, par la directive de 1995 ne devait cependant pas conduire le législateur à créer, en réalité, sept régimes distincts.

On trouve donc désormais :

-- l'autorisation par le Conseil d'Etat après avis de la CNIL pour les traitements de l'Etat comprenant les données les plus sensibles ou concernant la totalité ou presque de la population française ;

-- l'autorisation par soi-même quand le gouvernement s'autorise par arrêté ministériel ;

-- la déclaration ordinaire ;

-- la déclaration simplifiée ;

-- l'exonération légale de déclaration en cas d'instauration d'un correspondant de la CNIL ;

-- l'exonération par la CNIL de déclaration pour certains traitements.

A cette floraison de régimes s'ajoute de multiples exceptions et, de surcroît, l'autorisation de création de fichiers jusqu'à présent non admis, tels les traitements privés d'infractions, ou les plus nombreuses possibilités de gérer par traitement automatisé des données dites sensibles.

Là où le législateur devait simplifier et clarifier le droit applicable, comme y invite la directive de 1995, il s'avère que la complexité va s'imposer. S'agissant d'une matière intéressant les libertés, une telle opacité ne peut que paraître contradictoire avec l'objectif d'intelligibilité et de clarté de la loi dont vous assurez le respect.

C'est bien l'ensemble de la loi qui mérite un examen attentif à cet égard, et notamment les articles 2, 3 et 4.

* *

En tout état de cause, plusieurs dispositions sont, en elles-mêmes, contraires aux normes constitutionnelles et sont constitutives d'un recul manifeste au regard des garanties apportées par la loi du 6 janvier 1978 et ne sont justifiées en rien par la nécessité de conciliation avec d'autres normes constitutionnelles. L'objectif de la loi est, comme son intitulé l'indique, la protection des personnes à l'égard des traitements de données, pas la soumission à ceux-ci.

IV. Sur l'article 2 de la loi déférée

IV.1. L'article 2 de la loi en cause mérite d'être critiqué pour la rédaction nouvelle de l'article 8 de la loi de 1978. En effet, s'il maintient le principe d'interdiction de collecte et de traitement de données dites sensibles, il multiplie, dans le même mouvement, la liste des exceptions à cette règle protectrice.

Il s'ensuit une méconnaissance, par un affaiblissement des garanties légales, du droit à la vie privée consacré par l'article 2 de la Déclaration de 1789, de la liberté individuelle et de l'article 34 C.

(i) Le paragraphe II de ce nouvel article 8 de la loi de 1978 comprend donc huit catégories d'exceptions. Si la plupart peuvent paraître légitimes et semblent soumises à des garanties appropriées, il n'en va pas de même pour le 5° autorisant le traitement de telles données sensibles « nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ».

La loi de 1978 disposait en son article 31 une interdiction générale assortie d'une seule dérogation expresse et une possibilité ouverte pour raison d'intérêt public par décret en Conseil d'Etat sur proposition ou avis conforme de la CNIL.

On le voit, le nouveau dispositif est très large et constitue, au moins s'agissant du 5° de l'article 8 II, une moindre protection pour les données sensibles telles que définies au paragraphe I de l'article 8.

On ne peut donc y voir qu'une atteinte directe à la vie privée et à la liberté individuelle.

(ii) En outre, s'agissant de l'article 34 de la Constitution, force est de constater que la définition même de l'exception est insuffisamment précise s'agissant d'une dérogation à un principe d'interdiction destiné à protéger la vie privée et la liberté individuelle de chacun. Les notions de constatation, exercice ou défense d'un droit en justice pouvant couvrir toutes les activités de la vie des entreprises, il faut redouter un champ d'application très vaste. Or, une exception ne peut avoir qu'une interprétation stricte que son libellé rigoureux doit encadrer sans risque d'arbitraire. On doit même s'interroger sur le lien susceptible d'unir une telle exception avec la finalité de la loi, à savoir la protection des personnes.

Dès lors, et en tout état de cause, le législateur est resté en deçà de sa propre compétence telle qu'elle procède de l'article 34 de la Constitution.

IV.2. Le même article 2 de la loi déférée prévoit aux points 3° et 4° de l'article 9 de la loi de 1978 la possibilité ouverte à des personnes morales de droit privé victimes d'infractions ou agissant pour le compte desdites victimes, y compris les sociétés de gestion et de perception des droits d'auteurs et droits voisins, de constituer des fichiers relatifs aux infractions, condamnations et mesures de sûretés, pour les besoins de la prévention, de la lutte contre la fraude et de la défense de leurs droits.

Cette disposition totalement nouvelle par rapport aux garanties de la loi du 6 janvier 1978 viole gravement le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789, la liberté individuelle y compris la protection prévue par l'article 66 de la Constitution, la présomption d'innocence garantie par l'article 9 de la Déclaration de 1789, et, en tout état de cause, l'article 34 de la Constitution.

A titre liminaire, on observera que rien dans la directive de 1995 n'impose une telle dérogation aux principes de protection des personnes.

(i) Il est à peine besoin de rappeler que le premier alinéa de l'article 30 de la loi de 1978 réservait, logiquement, la constitution de tels traitements aux juridictions et autorités publiques agissant dans le cadre de leurs attributions légales, et, sur avis conforme de la CNIL, à des personnes gérant un service public.

En autorisant, d'une part, des personnes privées sans qualification de leur nature, et, implicitement mais nécessairement, des officines de recouvrement, et, d'autre part, des sociétés de gestion des droits d'auteur et droit voisins, à constituer de tels « casiers judiciaires privés », le législateur a rompu tout l'équilibre du mécanisme protecteur de la loi de 1978 et affaiblit radicalement les dispositions valant garanties du droit à la vie privée et de la liberté individuelle. La loi de 1978 proscrivait ce type de listes noires, « ces procédés de stigmatisation à vie par des officines non contrôlées » pour reprendre l'expression de personnalités engagées dans la défense des libertés face à l'informatique (Voir « Le Monde » du 14 juillet 2004).

Ce recul spectaculaire des garanties légales apportées aux exigences constitutionnelles, tels le droit à la vie privée et la liberté individuelle, ne peut qu'être censuré.

C'est vainement que l'on tenterait d'évoquer la conciliation entre la préservation de l'ordre public et les droits et libertés constitutionnellement protégées. Jusqu'à présent vous n'avez jamais admis que l'ordre public puisse être ainsi privatisé. Au point que s'agissant des fichiers touchant à l'ordre public et placés sous le contrôle de la police et de la gendarmerie, vous prenez soin de les encadrer en détaillant les « gardes fous » contre leur utilisation inconsidérée ; étant entendu, au surplus, qu'ils sont également placés sous la surveillance de l'autorité judiciaire (Décision du 13 mars 2003, précitée).

Au regard des règles générales de protection de la vie privée et de la liberté individuelle, rien ne permet de justifier que des personnes privées constituent de tels fichiers. A cet égard, les sociétés de gestion et de perception des droits d'auteurs et des droits voisins ne sont pas plus fondées à mettre en oeuvre de tels traitements. Leur volonté de lutter contre la contrefaçon, fort légitime au regard de la protection qu'exige la propriété intellectuelle, ne saurait les transformer en force de l'ordre sui generis. Leur préoccupation, y compris au regard de l'inadmissible « piratage » sur l'Internet, doit se satisfaire des procédures judiciaires existantes que les nouveaux pouvoirs accordés aux juges par la loi sur l'économie numérique sont censés rendre plus efficaces.

Il faut tout redouter de l'expression portée par le 3° de l'article 9 visant les personnes morales agissant pour le compte des victimes d'infraction. Nul n'ignore que les théoriciens de l'ultra libéralisme imaginent que certaines fonctions régaliennes peuvent être assurées par le secteur privé selon l'offre et la demande. Des expériences tragiques récentes nous éclairent sur les dérives de ces dogmes contraires à notre conception de l'Etat de droit. Il importe d'éviter que notre législation s'engage sur cette voie, même à petits pas, au travers l'admission de ce type de fichiers.

Le danger d'un usage inconsidéré de tels traitements existe et ne peut être ignoré. Ainsi, l'une de ces sociétés de gestion des droits d'auteur avait-elle fait la demande à la CNIL de pouvoir constituer, via un logiciel spécifique appelé « Webcontrol », un fichier des adresses IP afin de lutter contre les téléchargements illicites d'oeuvres protégées. La CNIL avait donné un avis négatif considérant que l'adresse IP, soit donc l'adresse de connexion au réseau, est une donnée personnelle et qu'en vertu de l'article 30 de la loi de 1978 un tel logiciel permettait de constituer des fichiers nominatifs concernant des infractions (Courrier de la CNIL en date du 15 mars 2001).

Cet exemple a le mérite de montrer que l'argument paradoxal, avancé par certains, selon lequel il est préférable d'autoriser ces fichiers pour mieux les contrôler et d'éviter qu'ils restent clandestins, n'est pas sérieux. Quant aux personnes morales qui constitueraient de tels traitements, s'ils restent interdits, on ne doute pas que la CNIL fera usage de ces nouveaux pouvoirs de contrôle a posteriori. Gageons, à cet égard, que les sociétés de perception et de répartition des droits (SPRD) seront prudentes, maintenant qu'elles ont montré leur intérêt public pour de telles options...

On ajoutera qu'aucune contrainte communautaire n'impose au législateur national la création d'un tel système de « casiers judiciaires privés », et la directive de 1995 pose, à cet égard, le principe de la collecte de tels traitements sous le seul contrôle de l'autorité publique ou sous le couvert de garanties appropriées et spécifiques (article 8 de la directive), mais sans contraindre les Etats membres d'y recourir.

La circonstance qu'ils devront être autorisés par la CNIL, ce qui est bien le moins, ne saurait satisfaire les exigences constitutionnelles dans la mesure où la question posée est bien celle de la nature du traitement et non de la procédure administrative propre à leur création.

(ii) En outre, la violation de l'article 66 de la Constitution est flagrante.

L'autorité judiciaire est garante de la liberté individuelle. On comprendrait difficilement qu'elle figure une des garanties à l'égard des fichiers de police et de gendarmerie (Décision du 13 mars 2003, précitée) et qu'elle soit évincée quand des puissances privées mettent en oeuvre de tels traitements d'infractions, de condamnations et de mesures de sûreté. Et si, par souci d'alibi, on voulait lui confier un tel rôle de contrôle de ces traitements, il est évident qu'elle serait dans l'impossibilité d'exercer un contrôle réel et effectif de ces fichiers.

Dès lors, force est d'admettre que ces « casiers judiciaires privés » qui échapperont à la surveillance de l'autorité judiciaire seront moins bien contrôlés que ceux mis en oeuvre par l'autorité publique y compris par les juridictions.

(iii) En tout état de cause, la violation de l'article 9 de la Déclaration de 1789 et de l'article 34 de la Constitution est certaine.

La définition telle que donnée par l'article critiqué marque l'incompétence négative du législateur et heurte le principe de la présomption d'innocence. S'agissant de la mise en oeuvre de règles concernant les libertés publiques, des précisions indispensables auraient dû être apportées dans le corps du texte. En effet, si l'on comprend ce qu'est un fichier d'infractions, de condamnations et mesures de sûretés mis en oeuvre par une autorité publique, on doit s'interroger sur ce qu'il en est pour une personne privée. Qu'il s'agisse, notamment, du moment et des moyens de la collecte, de la notion d'infraction, du sort fait à ces données si intervient un non-lieu ou une relaxe, du sort des données relatives aux mineurs, l'imprécision la plus absolue règne sur ces traitements.

Et s'il s'agit d'une infraction jugée, donc définitive, il n'appartient pas à une personne privée d'en assurer la collecte pour son intérêt propre. Si elle n'est pas jugée, il ne lui appartient pas de heurter la présomption d'innocence en classant ainsi une personne dans la catégorie des délinquants au risque de la placer sur une liste noire pouvant gêner sa vie quotidienne dans ses rapports privés ou contractuels.

A supposer, pour les seuls besoins du raisonnement, que la loi puisse prévoir des fichiers de cette nature, l'article critiqué ne pourrait être constitutionnellement validé tant il manque des précisions propres à empêcher les dérives pour les droits et libertés constitutionnellement protégés.

Par quelque bout que l'on prenne cette disposition, il est certain que celle-ci aboutit à un déséquilibre manifeste du régime protecteur des personnes que la loi doit garantir au regard de la Constitution.

La censure est inévitable.

V. Sur l'article 3 de la loi déférée

L'article 3 modifie l'article 21 de la loi de 1978 en prévoyant en son troisième alinéa que les personnes interrogées par la CNIL dans le cadre d'une procédure de contrôle pourront opposer leur secret professionnel.

Une telle limite posée aux pouvoirs de contrôle de la CNIL exercés a posteriori constitue, là encore, un recul quant aux garanties apportées aux exigences constitutionnelles applicables à la matière.

Dans la loi de 1978, il n'était pas possible d'opposer un tel secret aux agents de la CNIL. Les personnes concernées par un tel contrôle ne pouvaient « s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche » (ancien article 21, dernier alinéa). Bien sûr, les membres et agents de la CNIL étaient astreints pour leur part à un secret pour couvrir l'exercice de leur mission et garantir les personnes contrôlées.

Désormais, les agents de la CNIL dont on a vu que l'essentiel des pouvoirs se concentre sur le contrôle a posteriori seront toujours soumis, et c'est heureux, à un tel secret professionnel pénalement sanctionné (article 20 de la loi de 1978 et 226-13 du code pénal). En revanche, les personnes contrôlées pourront lui opposer leur propre secret.

Au regard de la finalité de la loi, une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l'objet d'un traitement, automatisé ou non. Aucune autre norme de valeur constitutionnelle ne vient justifier ce qui apparaît comme un autre recul par rapport au droit antérieur et, plus, une incohérence au regard de la logique annoncée du nouveau dispositif.

Les possibilités de fichiers s'étendent, les risques d'interconnexions nationales et mondiales s'élargissent, les formalités préalables sont allégées. Ainsi, quand les risques pour la vie privée et la liberté individuelle grandissent, les pouvoirs de la CNIL sont diminués !

Ce paradoxe est constitutionnellement impossible.

VI. Sur l'article 4 de la loi déférée

VI.1. L'article 4 de la loi prévoit un paragraphe III nouveau pour l'article 22 de la loi de 1978 instituant le régime du correspondant à la protection des données à caractère personnel chargé d'assurer le respect des obligations posées par la loi. En un tel cas, l'entreprise ayant notifié à la CNIL la nomination d'un tel correspondant sera dispensée des formalités déclaratives prévues par les articles 23 et 24 de la loi.

(i) Ce mécanisme existant à titre d'option dans la directive de 1995 constitue, là encore, un recul par rapport aux garanties légales qu'offrait la loi de 1978 aux droits et libertés constitutionnellement protégées.

En effet, en exonérant des obligations liées au régime déclaratif les personnes morales instituant un tel correspondant, la loi réduit le contrôle minimal qui pouvait s'exercer sur la connaissance des traitements, sur leur finalité et sur les modalités de conservation, y compris, le niveau de sécurité nécessaire.

Or, ce correspondant ne bénéficie pas, à la lettre, des garanties d'indépendance indispensables à l'exercice d'une telle mission. Certes, le législateur a affirmé, expressis verbis, le principe de son indépendance et l'interdiction de son licenciement pour motif de l'exercice de cette fonction, et, enfin, la faculté pour lui de saisir la CNIL de difficultés liés à ce travail.

De telles précisions ne sont pas de nature à garantir concrètement, réellement et efficacement son indépendance. En sorte qu'en prévoyant, au titre d'une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et la liberté individuelle.

(ii) En tout état de cause, cette imprécision constitue une incompétence négative et donc une violation de l'article 34 de la Constitution.

Saisi d'un mécanisme différent mais qui présente quelques similitudes, vous avez émis une stricte réserve d'interprétation pour que soit garantie l'indépendance du salarié mandaté pour négocier dans l'entreprise. Pour ce faire, vous aviez pris soin de considérer que ce salarié bénéficierait de garanties au moins équivalentes à celles prévues par l'article L. 412-8 du code du travail (Décision n° 96-383 DC du 6 novembre 1996).

Mais aucune référence textuelle de cette nature n'existe ici. Dès lors, l'indépendance qu'il convient d'assurer réellement demeurera seulement théorique. Il est d'ailleurs assez éclairant qu'un amendement destiné à donner de telles garanties, sur le modèle du régime du salarié protégé, ait été rejeté suite à l'avis défavorable du gouvernement. Et ce n'est pas la formulation relative à l'interdiction de licenciement pour motif de l'exercice de cette mission de correspondant de la CNIL qui peut valoir protection. Car la garantie en la matière suppose une procédure protectrice et non un contrôle a posteriori par le juge compétent qui en tout état de cause censure le licenciement dénué de motif réel et sérieux. Or, un licenciement pour le motif ici exprimé serait nécessairement considéré comme tel. Autrement dit, la loi retient une tautologie comme garantie d'indépendance.

Ce n'est pas constitutionnellement suffisant.

VI.2. Sur la rédaction de l'article 26 paragraphe I de la loi de 1978 prévu par l'article 4 de la loi déférée, pèsent les mêmes critiques d'un recul des garanties légales exigées par plusieurs droits et libertés constitutionnellement protégés.

La loi prévoit que pour les traitements les plus sensibles, l'autorisation est prise par arrêté des ministres intéressés après, certes, l'avis motivé et publié de la CNIL.

Il s'agit d'un des reculs les plus manifestes opéré par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL.

Alors que sont concernées les données personnelles parmi les plus sensibles, la loi organise une procédure abaissant les pouvoirs de la CNIL. Il s'agit au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle, d'une situation constitutionnellement préjudiciable que rien ne vient justifier ni aucune autre norme de même rang n'oblige à concilier.

Quant au droit communautaire, il plaide, pareillement, à l'encontre d'un tel amoindrissement des pouvoirs de la CNIL. En effet, l'article 28 de la directive de 1995 pose le principe de l'indépendance de l'autorité chargée de veiller au respect de la protection des données personnelles. La Charte des droits fondamentaux de l'Union européenne précise, en son article 8, le principe du contrôle du respect des règles de protection des données par une autorité indépendante. Le ministre qui autorise la création d'un traitement par son administration étant juge et partie, ne peut s'autoriser de cette qualité d'indépendance.

Il serait vain d'oser prétendre que la publication de l'avis de la CNIL, serait-il motivé, offrira le même niveau de garantie qu'un avis conforme liant la décision.

Ce recul ne peut, là aussi, être admis à l'aune du but de la loi et des garanties légales exigées par les normes constitutionnelles applicables pour la protection des personnes.

* * *

Nous vous prions de croire, Monsieur le Président, Mesdames et Messieurs les membres du Conseil Constitutionnel, à l'expression de notre considération la plus haute.Monsieur le Président, mesdames et messieurs les membres du Conseil Constitutionnel, nous avons l'honneur de déférer à votre examen, en application de l'article 61 de la Constitution, l'ensemble de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Sont plus particulièrement visés les articles 2, 3 et 4 de cette loi.

* * *

La présente loi constitue une refonte de la loi dite informatique et libertés du 6 janvier 1978 votée dans une période où les potentialités fantastiques de la technique s'affirmaient et faisaient monter les menaces sur la vie privée et la liberté individuelle de chacun. Mémoire du refus citoyen de voir mettre en place une vaste interconnexion sauvage, nommée SAFARI, de tous les fichiers administratifs autour d'un numéro d'identification unique, ce texte avait le mérite de la simplicité et de la clarté. Son importance dans l'ordonnancement juridique est unanimement admise. Aussi, si vous n'avez jamais constitutionnalisé ce texte, précurseur à maints égards des évolutions connues par de nombreux autres pays et par l'Union européenne, vous avez cependant pris soin, toutes les fois où la question vous a été posée, d'affirmer que ses dispositions formaient un corpus de garanties légales essentielles pour la protection de plusieurs exigences constitutionnelles.

Les développements de la technologie et les possibilités d'interconnexions de fichiers s'accentuent de jour en jour, à travers le monde entier. L'ivresse du fichage généralisé s'étant parfois emparée de personnes publiques et privées, au point que cela devienne pour certain un commerce lucratif, il importe, plus que jamais, de maintenir un haut niveau pour la protection de la vie privée et de la liberté individuelle.

I. Sont ici en cause, notamment, la liberté que proclame l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 impliquant le respect de la vie privée, la liberté individuelle en tant que telle mais aussi en tant que protégée par l'autorité judiciaire au titre de l'article 66 de la Constitution, et plus largement, la compétence exclusive que le législateur tient de l'article 34 de la Constitution de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.

Vous avez donc jugé, par exemple en 1993, qu'il appartient au législateur d'assurer l'application des dispositions protectrices de la liberté individuelle prévues par la législation relative à l'informatique, aux fichiers et aux libertés (Décision n° 93-225 DC des 12 et 13 août 1993, considérant 133).

Dans le droit fil de ce raisonnement, vous avez admis la constitutionnalité des dispositions autorisant l'administration des impôts à collecter, conserver et échanger avec d'autres administrations de même nature le numéro d'identification au répertoire national dès lors, encore une fois, que le législateur n'avait pas entendu déroger aux dispositions protectrices de la liberté individuelle et de la vie privée établies par la législation relative à l'informatique, aux fichiers et aux libertés (Décision n° 98-405 DC du 29 décembre 1998).

C'est encore dans cette même logique que vous avez validé les traitements relatifs au PACS dès lors que s'y appliquent les garanties résultant de la législation relative à l'informatique et aux libertés et considéré qu'alors le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789 n'était pas méconnu (Décision n° 99-419 DC du 9 novembre 1999). Solution reprise dans votre décision du 21 décembre 1999 concernant la Couverture médicale universelle (Décision n° 99-422 DC).

Encore récemment, dans votre décision relative à la loi sur la sécurité intérieure, vous avez encadré la constitution et l'utilisation de divers fichiers de gendarmerie et de police en rappelant l'importance de la loi du 6 janvier 1978 comme garantie légale de droits et libertés constitutionnellement protégés (Décision n° 2003-467 DC du 13 mars 2003, considérants 19 à 46).

II. On mesure ici combien cette grande loi de 1978, témoin d'une revendication pour plus de liberté face aux pouvoirs de l'administration et aux rêves de toute puissance de certaines entités privées ou publiques, figure comme une des garanties légales de nombreuses exigences constitutionnelles.

Elle n'est certes pas intangible dans toutes ses prescriptions et doit être adaptée aux nouveaux défis. Elle ne saurait cependant être dépouillée de toute sa force sans mettre à nu les droits et libertés qu'elle était destinée à protéger. Autrement dit, il revenait au législateur de 2004 de ne pas affaiblir les garanties initialement édictées au regard du niveau de protection exigé pour certains droits et libertés. Une telle contrainte pesant sur le Parlement n'est que l'illustration de votre jurisprudence classique appelée « effet cliquet ».

Selon celle-ci, le législateur ne saurait modifier des textes antérieurs ou abroger ceux-ci en leur substituant des dispositions ou des modalités nouvelles, dont il lui revient certes d'apprécier l'opportunité au titre de son pouvoir souverain, dès lors que cet exercice aboutirait à priver de garanties légales des exigences de caractère constitutionnel (voir notamment : Décisions n° 86-210 DC du 29 juillet 1986, cons. 2 ; n° 98-396 DC du 19 février 1998, cons. 16 ; n° 2000-446 DC du 27 juin 2001, cons.4).

S'agissant de la loi sur l'informatique et les libertés, ce raisonnement affleure dans la décision du 13 mars 2003 (précitée) lorsque vous avez jugé « qu'il ressort des débats parlementaires, que la loi du 6 janvier 1978 susvisée, que le législateur n'a pas entendu écarter, s'appliquera aux traitements en cause ». L'écarter aurait eu pour conséquence de priver de garanties légales les droits et libertés constitutionnelles alors concernés.

Les dispositions protectrices de la loi de 1978 ne peuvent être « écartées » que si les dispositions s'y substituant ou la modifiant apportent des garanties au moins équivalentes pour les droits et libertés en cause.

En l'espèce, il n'a pas échappé aux auteurs de la saisine que la loi en cause porte, pour partie, transposition de la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles et que certains articles du texte déféré sont une reprise nécessaire et fidèle de stipulations claires, précises et inconditionnelles de cet acte de droit communautaire dérivé.

Il demeure que plusieurs dispositions sont : soit non imposées par la directive de 1995 ou ne concernent que des options ouvertes par celles-ci, soit vont à son encontre. Dans ces conditions et dès lors que ces dispositions législatives sont évidemment contraires à des normes constitutionnelles expresses, et constituent un recul manifeste par rapport au niveau des garanties légales apportées jusqu'alors aux droits et libertés constitutionnellement protégés, votre contrôle peut heureusement s'exercer pleinement.

III. Sur l'objectif d'intelligibilité et de clarté de la loi

Vous avez consacré l'objectif de valeur constitutionnelle d'intelligibilité et de clarté de la loi (Décision n° 99-421 DC du 16 décembre 1999 ; Décision n° 2003-468 DC du 3 avril 2003). Le respect de cet objectif s'impose d'autant plus lorsque le texte de loi en cause porte sur les libertés et engage le respect de droits constitutionnellement garantis.

Or, en l'occurrence, et de l'avis général, la loi votée rend particulièrement complexe le régime applicable aux traitements de données personnelles. Non seulement, il faut redouter des difficultés pour les personnes morales de droit public ou de droit privé qui sont destinataires des obligations ainsi édictées, sachant que des sanctions pénales s'attachent au respect de ces règles, mais, plus encore, il importe de craindre pour le respect des droits de chacun. Qu'il s'agisse des modalités d'exercice du droit d'accès, de la connaissance des traitements en oeuvres, y compris comprenant des données sensibles, ou des pouvoirs des interlocuteurs compétents, CNIL ou correspondants ad hoc, l'ensemble du texte souffre d'une opacité qui nuit à son accessibilité par le citoyen.

Jusqu'alors, il existait principalement deux régimes. L'un pour les fichiers publics, plus exigeant (article 15 de la loi de 1978), l'autre pour les fichiers privés, plus libéral car seulement déclaratif (article 16 de la loi de 1978). L'évolution nécessaire et guidée, en partie, par la directive de 1995 ne devait cependant pas conduire le législateur à créer, en réalité, sept régimes distincts.

On trouve donc désormais :

-- l'autorisation par le Conseil d'Etat après avis de la CNIL pour les traitements de l'Etat comprenant les données les plus sensibles ou concernant la totalité ou presque de la population française ;

-- l'autorisation par soi-même quand le gouvernement s'autorise par arrêté ministériel ;

-- la déclaration ordinaire ;

-- la déclaration simplifiée ;

-- l'exonération légale de déclaration en cas d'instauration d'un correspondant de la CNIL ;

-- l'exonération par la CNIL de déclaration pour certains traitements.

A cette floraison de régimes s'ajoute de multiples exceptions et, de surcroît, l'autorisation de création de fichiers jusqu'à présent non admis, tels les traitements privés d'infractions, ou les plus nombreuses possibilités de gérer par traitement automatisé des données dites sensibles.

Là où le législateur devait simplifier et clarifier le droit applicable, comme y invite la directive de 1995, il s'avère que la complexité va s'imposer. S'agissant d'une matière intéressant les libertés, une telle opacité ne peut que paraître contradictoire avec l'objectif d'intelligibilité et de clarté de la loi dont vous assurez le respect.

C'est bien l'ensemble de la loi qui mérite un examen attentif à cet égard, et notamment les articles 2, 3 et 4.

* *

En tout état de cause, plusieurs dispositions sont, en elles-mêmes, contraires aux normes constitutionnelles et sont constitutives d'un recul manifeste au regard des garanties apportées par la loi du 6 janvier 1978 et ne sont justifiées en rien par la nécessité de conciliation avec d'autres normes constitutionnelles. L'objectif de la loi est, comme son intitulé l'indique, la protection des personnes à l'égard des traitements de données, pas la soumission à ceux-ci.

IV. Sur l'article 2 de la loi déférée

IV.1. L'article 2 de la loi en cause mérite d'être critiqué pour la rédaction nouvelle de l'article 8 de la loi de 1978. En effet, s'il maintient le principe d'interdiction de collecte et de traitement de données dites sensibles, il multiplie, dans le même mouvement, la liste des exceptions à cette règle protectrice.

Il s'ensuit une méconnaissance, par un affaiblissement des garanties légales, du droit à la vie privée consacré par l'article 2 de la Déclaration de 1789, de la liberté individuelle et de l'article 34 C.

(i) Le paragraphe II de ce nouvel article 8 de la loi de 1978 comprend donc huit catégories d'exceptions. Si la plupart peuvent paraître légitimes et semblent soumises à des garanties appropriées, il n'en va pas de même pour le 5° autorisant le traitement de telles données sensibles « nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ».

La loi de 1978 disposait en son article 31 une interdiction générale assortie d'une seule dérogation expresse et une possibilité ouverte pour raison d'intérêt public par décret en Conseil d'Etat sur proposition ou avis conforme de la CNIL.

On le voit, le nouveau dispositif est très large et constitue, au moins s'agissant du 5° de l'article 8 II, une moindre protection pour les données sensibles telles que définies au paragraphe I de l'article 8.

On ne peut donc y voir qu'une atteinte directe à la vie privée et à la liberté individuelle.

(ii) En outre, s'agissant de l'article 34 de la Constitution, force est de constater que la définition même de l'exception est insuffisamment précise s'agissant d'une dérogation à un principe d'interdiction destiné à protéger la vie privée et la liberté individuelle de chacun. Les notions de constatation, exercice ou défense d'un droit en justice pouvant couvrir toutes les activités de la vie des entreprises, il faut redouter un champ d'application très vaste. Or, une exception ne peut avoir qu'une interprétation stricte que son libellé rigoureux doit encadrer sans risque d'arbitraire. On doit même s'interroger sur le lien susceptible d'unir une telle exception avec la finalité de la loi, à savoir la protection des personnes.

Dès lors, et en tout état de cause, le législateur est resté en deçà de sa propre compétence telle qu'elle procède de l'article 34 de la Constitution.

IV.2. Le même article 2 de la loi déférée prévoit aux points 3° et 4° de l'article 9 de la loi de 1978 la possibilité ouverte à des personnes morales de droit privé victimes d'infractions ou agissant pour le compte desdites victimes, y compris les sociétés de gestion et de perception des droits d'auteurs et droits voisins, de constituer des fichiers relatifs aux infractions, condamnations et mesures de sûretés, pour les besoins de la prévention, de la lutte contre la fraude et de la défense de leurs droits.

Cette disposition totalement nouvelle par rapport aux garanties de la loi du 6 janvier 1978 viole gravement le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789, la liberté individuelle y compris la protection prévue par l'article 66 de la Constitution, la présomption d'innocence garantie par l'article 9 de la Déclaration de 1789, et, en tout état de cause, l'article 34 de la Constitution.

A titre liminaire, on observera que rien dans la directive de 1995 n'impose une telle dérogation aux principes de protection des personnes.

(i) Il est à peine besoin de rappeler que le premier alinéa de l'article 30 de la loi de 1978 réservait, logiquement, la constitution de tels traitements aux juridictions et autorités publiques agissant dans le cadre de leurs attributions légales, et, sur avis conforme de la CNIL, à des personnes gérant un service public.

En autorisant, d'une part, des personnes privées sans qualification de leur nature, et, implicitement mais nécessairement, des officines de recouvrement, et, d'autre part, des sociétés de gestion des droits d'auteur et droit voisins, à constituer de tels « casiers judiciaires privés », le législateur a rompu tout l'équilibre du mécanisme protecteur de la loi de 1978 et affaiblit radicalement les dispositions valant garanties du droit à la vie privée et de la liberté individuelle. La loi de 1978 proscrivait ce type de listes noires, « ces procédés de stigmatisation à vie par des officines non contrôlées » pour reprendre l'expression de personnalités engagées dans la défense des libertés face à l'informatique (Voir « Le Monde » du 14 juillet 2004).

Ce recul spectaculaire des garanties légales apportées aux exigences constitutionnelles, tels le droit à la vie privée et la liberté individuelle, ne peut qu'être censuré.

C'est vainement que l'on tenterait d'évoquer la conciliation entre la préservation de l'ordre public et les droits et libertés constitutionnellement protégées. Jusqu'à présent vous n'avez jamais admis que l'ordre public puisse être ainsi privatisé. Au point que s'agissant des fichiers touchant à l'ordre public et placés sous le contrôle de la police et de la gendarmerie, vous prenez soin de les encadrer en détaillant les « gardes fous » contre leur utilisation inconsidérée ; étant entendu, au surplus, qu'ils sont également placés sous la surveillance de l'autorité judiciaire (Décision du 13 mars 2003, précitée).

Au regard des règles générales de protection de la vie privée et de la liberté individuelle, rien ne permet de justifier que des personnes privées constituent de tels fichiers. A cet égard, les sociétés de gestion et de perception des droits d'auteurs et des droits voisins ne sont pas plus fondées à mettre en oeuvre de tels traitements. Leur volonté de lutter contre la contrefaçon, fort légitime au regard de la protection qu'exige la propriété intellectuelle, ne saurait les transformer en force de l'ordre sui generis. Leur préoccupation, y compris au regard de l'inadmissible « piratage » sur l'Internet, doit se satisfaire des procédures judiciaires existantes que les nouveaux pouvoirs accordés aux juges par la loi sur l'économie numérique sont censés rendre plus efficaces.

Il faut tout redouter de l'expression portée par le 3° de l'article 9 visant les personnes morales agissant pour le compte des victimes d'infraction. Nul n'ignore que les théoriciens de l'ultra libéralisme imaginent que certaines fonctions régaliennes peuvent être assurées par le secteur privé selon l'offre et la demande. Des expériences tragiques récentes nous éclairent sur les dérives de ces dogmes contraires à notre conception de l'Etat de droit. Il importe d'éviter que notre législation s'engage sur cette voie, même à petits pas, au travers l'admission de ce type de fichiers.

Le danger d'un usage inconsidéré de tels traitements existe et ne peut être ignoré. Ainsi, l'une de ces sociétés de gestion des droits d'auteur avait-elle fait la demande à la CNIL de pouvoir constituer, via un logiciel spécifique appelé « Webcontrol », un fichier des adresses IP afin de lutter contre les téléchargements illicites d'oeuvres protégées. La CNIL avait donné un avis négatif considérant que l'adresse IP, soit donc l'adresse de connexion au réseau, est une donnée personnelle et qu'en vertu de l'article 30 de la loi de 1978 un tel logiciel permettait de constituer des fichiers nominatifs concernant des infractions (Courrier de la CNIL en date du 15 mars 2001).

Cet exemple a le mérite de montrer que l'argument paradoxal, avancé par certains, selon lequel il est préférable d'autoriser ces fichiers pour mieux les contrôler et d'éviter qu'ils restent clandestins, n'est pas sérieux. Quant aux personnes morales qui constitueraient de tels traitements, s'ils restent interdits, on ne doute pas que la CNIL fera usage de ces nouveaux pouvoirs de contrôle a posteriori. Gageons, à cet égard, que les sociétés de perception et de répartition des droits (SPRD) seront prudentes, maintenant qu'elles ont montré leur intérêt public pour de telles options...

On ajoutera qu'aucune contrainte communautaire n'impose au législateur national la création d'un tel système de « casiers judiciaires privés », et la directive de 1995 pose, à cet égard, le principe de la collecte de tels traitements sous le seul contrôle de l'autorité publique ou sous le couvert de garanties appropriées et spécifiques (article 8 de la directive), mais sans contraindre les Etats membres d'y recourir.

La circonstance qu'ils devront être autorisés par la CNIL, ce qui est bien le moins, ne saurait satisfaire les exigences constitutionnelles dans la mesure où la question posée est bien celle de la nature du traitement et non de la procédure administrative propre à leur création.

(ii) En outre, la violation de l'article 66 de la Constitution est flagrante.

L'autorité judiciaire est garante de la liberté individuelle. On comprendrait difficilement qu'elle figure une des garanties à l'égard des fichiers de police et de gendarmerie (Décision du 13 mars 2003, précitée) et qu'elle soit évincée quand des puissances privées mettent en oeuvre de tels traitements d'infractions, de condamnations et de mesures de sûreté. Et si, par souci d'alibi, on voulait lui confier un tel rôle de contrôle de ces traitements, il est évident qu'elle serait dans l'impossibilité d'exercer un contrôle réel et effectif de ces fichiers.

Dès lors, force est d'admettre que ces « casiers judiciaires privés » qui échapperont à la surveillance de l'autorité judiciaire seront moins bien contrôlés que ceux mis en oeuvre par l'autorité publique y compris par les juridictions.

(iii) En tout état de cause, la violation de l'article 9 de la Déclaration de 1789 et de l'article 34 de la Constitution est certaine.

La définition telle que donnée par l'article critiqué marque l'incompétence négative du législateur et heurte le principe de la présomption d'innocence. S'agissant de la mise en oeuvre de règles concernant les libertés publiques, des précisions indispensables auraient dû être apportées dans le corps du texte. En effet, si l'on comprend ce qu'est un fichier d'infractions, de condamnations et mesures de sûretés mis en oeuvre par une autorité publique, on doit s'interroger sur ce qu'il en est pour une personne privée. Qu'il s'agisse, notamment, du moment et des moyens de la collecte, de la notion d'infraction, du sort fait à ces données si intervient un non-lieu ou une relaxe, du sort des données relatives aux mineurs, l'imprécision la plus absolue règne sur ces traitements.

Et s'il s'agit d'une infraction jugée, donc définitive, il n'appartient pas à une personne privée d'en assurer la collecte pour son intérêt propre. Si elle n'est pas jugée, il ne lui appartient pas de heurter la présomption d'innocence en classant ainsi une personne dans la catégorie des délinquants au risque de la placer sur une liste noire pouvant gêner sa vie quotidienne dans ses rapports privés ou contractuels.

A supposer, pour les seuls besoins du raisonnement, que la loi puisse prévoir des fichiers de cette nature, l'article critiqué ne pourrait être constitutionnellement validé tant il manque des précisions propres à empêcher les dérives pour les droits et libertés constitutionnellement protégés.

Par quelque bout que l'on prenne cette disposition, il est certain que celle-ci aboutit à un déséquilibre manifeste du régime protecteur des personnes que la loi doit garantir au regard de la Constitution.

La censure est inévitable.

V. Sur l'article 3 de la loi déférée

L'article 3 modifie l'article 21 de la loi de 1978 en prévoyant en son troisième alinéa que les personnes interrogées par la CNIL dans le cadre d'une procédure de contrôle pourront opposer leur secret professionnel.

Une telle limite posée aux pouvoirs de contrôle de la CNIL exercés a posteriori constitue, là encore, un recul quant aux garanties apportées aux exigences constitutionnelles applicables à la matière.

Dans la loi de 1978, il n'était pas possible d'opposer un tel secret aux agents de la CNIL. Les personnes concernées par un tel contrôle ne pouvaient « s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche » (ancien article 21, dernier alinéa). Bien sûr, les membres et agents de la CNIL étaient astreints pour leur part à un secret pour couvrir l'exercice de leur mission et garantir les personnes contrôlées.

Désormais, les agents de la CNIL dont on a vu que l'essentiel des pouvoirs se concentre sur le contrôle a posteriori seront toujours soumis, et c'est heureux, à un tel secret professionnel pénalement sanctionné (article 20 de la loi de 1978 et 226-13 du code pénal). En revanche, les personnes contrôlées pourront lui opposer leur propre secret.

Au regard de la finalité de la loi, une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l'objet d'un traitement, automatisé ou non. Aucune autre norme de valeur constitutionnelle ne vient justifier ce qui apparaît comme un autre recul par rapport au droit antérieur et, plus, une incohérence au regard de la logique annoncée du nouveau dispositif.

Les possibilités de fichiers s'étendent, les risques d'interconnexions nationales et mondiales s'élargissent, les formalités préalables sont allégées. Ainsi, quand les risques pour la vie privée et la liberté individuelle grandissent, les pouvoirs de la CNIL sont diminués !

Ce paradoxe est constitutionnellement impossible.

VI. Sur l'article 4 de la loi déférée

VI.1. L'article 4 de la loi prévoit un paragraphe III nouveau pour l'article 22 de la loi de 1978 instituant le régime du correspondant à la protection des données à caractère personnel chargé d'assurer le respect des obligations posées par la loi. En un tel cas, l'entreprise ayant notifié à la CNIL la nomination d'un tel correspondant sera dispensée des formalités déclaratives prévues par les articles 23 et 24 de la loi.

(i) Ce mécanisme existant à titre d'option dans la directive de 1995 constitue, là encore, un recul par rapport aux garanties légales qu'offrait la loi de 1978 aux droits et libertés constitutionnellement protégées.

En effet, en exonérant des obligations liées au régime déclaratif les personnes morales instituant un tel correspondant, la loi réduit le contrôle minimal qui pouvait s'exercer sur la connaissance des traitements, sur leur finalité et sur les modalités de conservation, y compris, le niveau de sécurité nécessaire.

Or, ce correspondant ne bénéficie pas, à la lettre, des garanties d'indépendance indispensables à l'exercice d'une telle mission. Certes, le législateur a affirmé, expressis verbis, le principe de son indépendance et l'interdiction de son licenciement pour motif de l'exercice de cette fonction, et, enfin, la faculté pour lui de saisir la CNIL de difficultés liés à ce travail.

De telles précisions ne sont pas de nature à garantir concrètement, réellement et efficacement son indépendance. En sorte qu'en prévoyant, au titre d'une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et la liberté individuelle.

(ii) En tout état de cause, cette imprécision constitue une incompétence négative et donc une violation de l'article 34 de la Constitution.

Saisi d'un mécanisme différent mais qui présente quelques similitudes, vous avez émis une stricte réserve d'interprétation pour que soit garantie l'indépendance du salarié mandaté pour négocier dans l'entreprise. Pour ce faire, vous aviez pris soin de considérer que ce salarié bénéficierait de garanties au moins équivalentes à celles prévues par l'article L. 412-8 du code du travail (Décision n° 96-383 DC du 6 novembre 1996).

Mais aucune référence textuelle de cette nature n'existe ici. Dès lors, l'indépendance qu'il convient d'assurer réellement demeurera seulement théorique. Il est d'ailleurs assez éclairant qu'un amendement destiné à donner de telles garanties, sur le modèle du régime du salarié protégé, ait été rejeté suite à l'avis défavorable du gouvernement. Et ce n'est pas la formulation relative à l'interdiction de licenciement pour motif de l'exercice de cette mission de correspondant de la CNIL qui peut valoir protection. Car la garantie en la matière suppose une procédure protectrice et non un contrôle a posteriori par le juge compétent qui en tout état de cause censure le licenciement dénué de motif réel et sérieux. Or, un licenciement pour le motif ici exprimé serait nécessairement considéré comme tel. Autrement dit, la loi retient une tautologie comme garantie d'indépendance.

Ce n'est pas constitutionnellement suffisant.

VI.2. Sur la rédaction de l'article 26 paragraphe I de la loi de 1978 prévu par l'article 4 de la loi déférée, pèsent les mêmes critiques d'un recul des garanties légales exigées par plusieurs droits et libertés constitutionnellement protégés.

La loi prévoit que pour les traitements les plus sensibles, l'autorisation est prise par arrêté des ministres intéressés après, certes, l'avis motivé et publié de la CNIL.

Il s'agit d'un des reculs les plus manifestes opéré par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL.

Alors que sont concernées les données personnelles parmi les plus sensibles, la loi organise une procédure abaissant les pouvoirs de la CNIL. Il s'agit au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle, d'une situation constitutionnellement préjudiciable que rien ne vient justifier ni aucune autre norme de même rang n'oblige à concilier.

Quant au droit communautaire, il plaide, pareillement, à l'encontre d'un tel amoindrissement des pouvoirs de la CNIL. En effet, l'article 28 de la directive de 1995 pose le principe de l'indépendance de l'autorité chargée de veiller au respect de la protection des données personnelles. La Charte des droits fondamentaux de l'Union européenne précise, en son article 8, le principe du contrôle du respect des règles de protection des données par une autorité indépendante. Le ministre qui autorise la création d'un traitement par son administration étant juge et partie, ne peut s'autoriser de cette qualité d'indépendance.

Il serait vain d'oser prétendre que la publication de l'avis de la CNIL, serait-il motivé, offrira le même niveau de garantie qu'un avis conforme liant la décision.

Ce recul ne peut, là aussi, être admis à l'aune du but de la loi et des garanties légales exigées par les normes constitutionnelles applicables pour la protection des personnes.

* * *

Nous vous prions de croire, Monsieur le Président, Mesdames et Messieurs les membres du Conseil Constitutionnel, à l'expression de ma considération la plus haute.


Texte :

Le Conseil constitutionnel a été saisi, dans les conditions prévues à l'article 61, deuxième alinéa, de la Constitution, de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le 20 juillet 2004, par M. Jean Marc AYRAULT, Mmes Patricia ADAM, Sylvie ANDRIEUX BACQUET, MM. Jean Marie AUBRON, Jean-Paul BACQUET, Gérard BAPT, Claude BARTOLONE, Jacques BASCOU, Christian BATAILLE, Jean-Claude BATEUX, Éric BESSON, Jean Louis BIANCO, Jean-Pierre BLAZY, Serge BLISKO, Patrick BLOCHE, Jean Claude BOIS, Maxime BONO, Augustin BONREPAUX, Jean Michel BOUCHERON, Pierre BOURGUIGNON, Mme Danielle BOUSQUET, MM. François BROTTES, Thierry CARCENAC, Christophe CARESCHE, Mme Martine CARILLON COUVREUR, MM. Laurent CATHALA, Jean Paul CHANTEGUET, Alain CLAEYS, Gilles COCQUEMPOT, Pierre COHEN, Mme Claude DARCIAUX, M. Michel DASSEUX, Mme Martine DAVID, MM. Marcel DEHOUX, Bernard DEROSIER, Marc DOLEZ, François DOSÉ, René DOSIÈRE, Julien DRAY, Tony DREYFUS, Pierre DUCOUT, Jean Pierre DUFAU, Jean-Paul DUPRÉ, Yves DURAND, Henri EMMANUELLI, Claude ÉVIN, Laurent FABIUS, Jacques FLOCH, Pierre FORGUES, Michel FRANÇAIX, Jean GAUBERT, Mmes Nathalie GAUTIER, Catherine GÉNISSON, MM. Jean GLAVANY, Gaétan GORCE, Alain GOURIOU, Mmes Elisabeth GUIGOU, Paulette GUINCHARD-KUNSTLER, M. David HABIB, Mme Danièle HOFFMAN RISPAL, MM. François HOLLANDE, Jean Louis IDIART, Mme Françoise IMBERT, MM. Serge JANQUIN, Armand JUNG, Jean-Pierre KUCHEIDA, Mme Conchita LACUEY, MM. Jérôme LAMBERT, François LAMY, Jack LANG, Jean LAUNAY, Jean-Yves LE BOUILLONNEC, Gilbert LE BRIS, Jean-Yves LE DÉAUT, Jean LE GARREC, Jean-Marie LE GUEN, Bruno LE ROUX, Mme Marylise LEBRANCHU, MM. Michel LEFAIT, Patrick LEMASLE, Guy LENGAGNE, Mme Annick LEPETIT, MM. Jean Claude LEROY, Michel LIEBGOTT, Mme Martine LIGNIÈRES CASSOU, MM. François LONCLE, Bernard MADRELLE, Christophe MASSE, Didier MATHUS, Kléber MESQUIDA, Jean MICHEL, Didier MIGAUD, Mme Hélène MIGNON, MM. Arnaud MONTEBOURG, Henri NAYROU, Alain NÉRI, Mme Marie-Renée OGET, MM. Christian PAUL, Germinal PEIRO, Mmes Marie-Françoise PÉROL DUMONT, Geneviève PERRIN GAILLARD, MM. Jean-Jack QUEYRANNE, Paul QUILÈS, Alain RODET, Bernard ROMAN, René ROUQUET, Mmes Ségolène ROYAL, Odile SAUGUES, MM. Henri SICRE, Dominique STRAUSS KAHN, Pascal TERRASSE, Daniel VAILLANT, André VALLINI, Manuel VALLS, Michel VERGNIER, Alain VIDALIES, Jean Claude VIOLLET, Philippe VUILQUE, Jean-Pierre DEFONTAINE, Paul GIACOBBI, Joël GIRAUD, Simon RENUCCI, Mme Chantal ROBIN RODRIGO, M. Roger-Gérard SCHWARTZENBERG et Mme Christiane TAUBIRA, députés ;

et le même jour, par M. Claude ESTIER, Mme Michèle ANDRÉ, MM. Bernard ANGELS, Bertrand AUBAN, Robert BADINTER, Jean Pierre BEL, Mme Maryse BERGÉ LAVIGNE, M. Jean BESSON, Mme Marie-Christine BLANDIN, M. Didier BOULAUD, Mmes Yolande BOYER, Claire-Lise CAMPION, MM. Jean-Louis CARRÈRE, Bernard CAZEAU, Mme Monique CERISIER-ben GUIGA, MM. Gilbert CHABROUX, Gérard COLLOMB, Raymond COURRIÈRE, Yves DAUGE, Marcel DEBARGE, Jean Pierre DEMERLIAT, Claude DOMEIZEL, Michel DREYFUS SCHMIDT, Bernard DUSSAUT, Bernard FRIMAT, Charles GAUTIER, Jean Pierre GODEFROY, Jean-Noël GUÉRINI, Mme Odette HERVIAUX, MM. André LABARRÈRE, Serge LAGAUCHE, Louis LE PENSEC, André LEJEUNE, Jacques MAHÉAS, Jean-Yves MANO, François MARC, Jean Pierre MASSERET, Pierre MAUROY, Louis MERMAZ, Gérard MIQUEL, Michel MOREIGNE, Jean-Claude PEYRONNET, Jean François PICHERAL, Bernard PIRAS, Jean Pierre PLANCADE, Mmes Danièle POURTAUD, Gisèle PRINTZ, MM. Daniel RAOUL, Daniel REINER, Roger RINCHET, Gérard ROUJAS, Claude SAUNIER, Michel SERGENT, René Pierre SIGNÉ, Jean Pierre SUEUR, Simon SUTOUR, Michel TESTON, Jean Marc TODESCHINI, Pierre-Yvon TRÉMEL, André VANTOMME, André VÉZINHET et Marcel VIDAL, sénateurs ;

LE CONSEIL CONSTITUTIONNEL,

Vu la Constitution ;

Vu l'ordonnance n° 58-1067 du 7 novembre 1958 modifiée portant loi organique sur le Conseil constitutionnel ;

Vu le Traité instituant la Communauté européenne ;

Vu le Traité sur l'Union européenne ;

Vu la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu le code de la propriété intellectuelle ;

Vu le code des postes et des communications électroniques ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle, en son article 8 ;

Vu les observations du Gouvernement, enregistrées le 23 juillet 2004 ;

Vu les observations en réplique présentées par les députés auteurs de la première saisine, enregistrées le 28 juillet 2004 ;

Vu les observations en réplique présentées par les sénateurs auteurs de la seconde saisine, enregistrées le 28 juillet 2004 ;

Le rapporteur ayant été entendu ;

1. Considérant que les auteurs des deux saisines défèrent au Conseil constitutionnel la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; qu'ils dénoncent son inintelligibilité et mettent en cause les articles 8, 9, 21, 22 et 26 de la loi du 6 janvier 1978 tels qu'ils résultent des articles 2 à 4 de la loi déférée ;

- SUR LES NORMES CONSTITUTIONNELLES APPLICABLES À LA LOI DÉFÉRÉE :

2. Considérant, en premier lieu, qu'aux termes de l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 : « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression » ; que la liberté proclamée par cet article implique le respect de la vie privée ;

3. Considérant, en deuxième lieu, qu'il est à tout moment loisible au législateur, statuant dans le domaine de sa compétence, de modifier des textes antérieurs ou d'abroger ceux-ci en leur substituant, le cas échéant, d'autres dispositions, dès lors que, ce faisant, il ne prive pas de garanties légales des exigences constitutionnelles ;

4. Considérant, en troisième lieu, qu'il appartient au législateur, en vertu de l'article 34 de la Constitution, de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; qu'il lui appartient d'assurer la conciliation entre le respect de la vie privée et d'autres exigences constitutionnelles liées notamment à la sauvegarde de l'ordre public ;

- SUR LE NOUVEL ARTICLE 8 DE LA LOI DU 6 JANVIER 1978 :

5. Considérant que l'article 8 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, dispose en son I : « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » ; que le 5° du II du même article 8 prévoit que, dans la mesure où la finalité du traitement l'exige, cette interdiction ne s'applique pas aux « traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice » ;

6. Considérant que les auteurs des saisines soutiennent que cette dernière disposition porte atteinte au respect de la vie privée ;

7. Considérant qu'aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'États qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences » ; qu'ainsi, la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu'en raison d'une disposition expresse contraire de la Constitution ; qu'en l'absence d'une telle disposition, il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne ;

8. Considérant que les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l'article 8 de la directive 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n'appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l'atteinte au respect de la vie privée ne peut être utilement présenté devant lui ;

- SUR LE NOUVEL ARTICLE 9 DE LA LOI DU 6 JANVIER 1978 :

9. Considérant que l'article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, dispose : « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en place que par : ... - 3° Les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ; - 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits » ;

10. Considérant que, selon les auteurs des saisines, ces dispositions portent atteinte au respect de la vie privée et sont entachées d'incompétence négative ;

. En ce qui concerne le 3° :

11. Considérant que le 3° de l'article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, permettrait à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d'être victimes d'agissements passibles de sanctions pénales, de rassembler un grand nombre d'informations nominatives portant sur des infractions, condamnations et mesures de sûreté ; qu'en raison de l'ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées, le 3° du nouvel article 9 de la loi du 6 janvier 1978 pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; que la disposition critiquée doit dès lors comporter les garanties appropriées et spécifiques répondant aux exigences de l'article 34 de la Constitution ;

12. Considérant que, s'agissant de l'objet et des conditions du mandat en cause, la disposition critiquée n'apporte pas ces précisions ; qu'elle est ambiguë quant aux infractions auxquelles s'applique le terme de « fraude » ; qu'elle laisse indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu'elles soient capables de commettre une infraction ; qu'elle ne dit rien sur les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ; qu'au regard de l'article 34 de la Constitution, toutes ces précisions ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés ; qu'en l'espèce et eu égard à la matière concernée, le législateur ne pouvait pas non plus se contenter, ainsi que le prévoit la disposition critiquée éclairée par les débats parlementaires, de poser une règle de principe et d'en renvoyer intégralement les modalités d'application à des lois futures ; que, par suite, le 3° du nouvel article 9 de la loi du 6 janvier 1978 est entaché d'incompétence négative ;

. En ce qui concerne le 4° :

13. Considérant que la possibilité ouverte par la disposition contestée donne la possibilité aux sociétés de perception et de gestion des droits d'auteur et de droits voisins, mentionnées à l'article L. 321 1 du code de la propriété intellectuelle, ainsi qu'aux organismes de défense professionnelle, mentionnés à l'article L. 331 1 du même code, de mettre en oeuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté ; qu'elle tend à lutter contre les nouvelles pratiques de contrefaçon qui se développent sur le réseau Internet ; qu'elle répond ainsi à l'objectif d'intérêt général qui s'attache à la sauvegarde de la propriété intellectuelle et de la création culturelle ; que les données ainsi recueillies ne pourront, en vertu de l'article L. 34-1 du code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an ; que la création des traitements en cause est subordonnée à l'autorisation de la Commission nationale de l'informatique et des libertés en application du 3° du I de l'article 25 nouveau de la loi du 6 janvier 1978 ; que, compte tenu de l'ensemble de ces garanties et eu égard à l'objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n'est pas manifestement déséquilibrée ;

. En ce qui concerne l'ensemble de l'article 9 :

14. Considérant que le nouvel article 9 de la loi du 6 janvier 1978, tel qu'il résulte de la déclaration d'inconstitutionnalité prononcée en vertu de ce qui précède, ne saurait être interprété comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime ; que, sous cette réserve, il n'est pas contraire à la Constitution ;

- SUR LE NOUVEL ARTICLE 21 DE LA LOI DU 6 JANVIER 1978 :

15. Considérant qu'en vertu du dernier alinéa de l'article 21 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 3 de la loi déférée, les personnes interrogées dans le cadre des vérifications faites par la Commission nationale de l'informatique et des libertés sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions « sauf dans les cas où elles sont astreintes au secret professionnel » ;

16. Considérant que, selon les requérants, cette référence au secret professionnel constitue « un recul quant aux garanties apportées aux exigences constitutionnelles applicables en la matière » ; qu'ils font valoir que « dans la loi de 1978, il n'était pas possible d'opposer un tel secret aux agents de la CNIL » et qu'« une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l'objet d'un traitement » ;

17. Considérant que, dans le silence des dispositions de la loi du 6 janvier 1978 antérieures à la loi déférée, les personnes interrogées par la Commission nationale de l'informatique et des libertés étaient déjà soumises au secret professionnel ; que, dès lors, le grief manque en fait ;

18. Considérant, au demeurant, que l'invocation injustifiée du secret professionnel pourrait constituer une entrave passible des peines prévues par l'article 51 nouveau de la loi du 6 janvier 1978 ;

- SUR LE NOUVEL ARTICLE 22 DE LA LOI DU 6 JANVIER 1978 :

19. Considérant qu'aux termes du premier alinéa du III de l'article 22 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 4 de la loi déférée : « Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de la Communauté européenne est envisagé » ;

20. Considérant que, selon les requérants, « ce correspondant ne bénéficie pas, à la lettre, des garanties d'indépendance indispensables » ; qu'ils considèrent, dès lors, qu'« en prévoyant, au titre d'une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle » ;

21. Considérant, en premier lieu, que le fait de désigner un correspondant à la protection des données à caractère personnel n'a d'autre effet que d'exonérer les traitements des formalités de déclaration auprès de la Commission nationale de l'informatique et des libertés ; que cette circonstance ne les soustrait pas aux autres obligations résultant de la loi déférée, dont le non respect demeure passible des sanctions qu'elle prévoit ; que cet allègement de la procédure n'est pas possible lorsque des transferts de données à destination d'un État non membre de la Communauté européenne sont envisagés ; qu'en outre, il ne concerne pas les traitements soumis à autorisation ;

22. Considérant, en second lieu, que le correspondant, dont l'identité est notifiée à la Commission nationale de l'informatique et des libertés et portée à la connaissance des instances représentatives du personnel, doit bénéficier, en vertu de la loi, « des qualifications requises pour exercer ses missions » ; qu'il tient la liste des traitements à la disposition de toute personne en faisant la demande ; qu'il ne peut faire l'objet d'aucune sanction de la part de son employeur du fait des responsabilités qui lui sont confiées dans l'exercice de sa mission ; qu'il peut saisir la Commission nationale de l'informatique et des libertés, le cas échéant, des difficultés qu'il rencontre ;

23. Considérant que, compte tenu de l'ensemble des précautions ainsi prises, s'agissant en particulier de la qualification, du rôle et de l'indépendance du correspondant, la dispense de déclaration résultant de sa désignation ne prive de garanties légales aucune exigence constitutionnelle ;

- SUR LE NOUVEL ARTICLE 26 DE LA LOI DU 6 JANVIER 1978 :

24. Considérant qu'aux termes du I de l'article 26 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 4 de la loi déférée : « Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et : - 1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ; - 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté. - L'avis de la commission est publié avec l'arrêté autorisant le traitement » ;

25. Considérant que, selon les requérants, ces dispositions marquent « un des reculs les plus manifestes opérés par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL » ; qu'ils considèrent que cette évolution crée, « au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle », une « situation constitutionnellement préjudiciable » ;

26. Considérant que le I de l'article 26 de la loi du 6 janvier 1978 est relatif à la création des seuls traitements intéressant la sauvegarde de l'ordre public et ne comportant pas de données sensibles au sens du I de son article 8 ; qu'il se borne à substituer à un avis conforme du Conseil d'État en cas d'avis défavorable de la Commission nationale de l'informatique et des libertés un arrêté ministériel pris après avis motivé et publié de la Commission ; que le législateur a prévu que l'avis de la Commission serait publié concomitamment à l'arrêté autorisant le traitement ;

27. Considérant, dans ces conditions, que les dispositions critiquées, qui ne privent pas de garanties légales le droit au respect de la vie privée, ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle ;

- SUR L'OBJECTIF DE VALEUR CONSTITUTIONNELLE D'INTELLIGIBILITÉ ET D'ACCESSIBILITÉ DE LA LOI :

28. Considérant que, selon les requérants, « l'ensemble du texte souffre d'une opacité qui... ne peut que paraître contradictoire avec l'objectif d'intelligibilité et de clarté de la loi » ;

29. Considérant qu'il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34 ; qu'à cet égard, l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration de 1789, lui impose d'adopter des dispositions suffisamment précises et des formules non équivoques ;

30. Considérant que, si la loi déférée refond la législation relative à la protection des données personnelles, c'est en vue d'adapter cette législation à l'évolution des données techniques et des pratiques, ainsi que pour tirer les conséquences d'une directive communautaire ; qu'elle définit de façon précise les nouvelles règles de procédure et de fond applicables ;

31. Considérant qu'il n'y a lieu, pour le Conseil constitutionnel, de soulever d'office aucune question de conformité à la Constitution,

Décide :

Article premier.- Est déclaré contraire à la Constitution le 3° de l'article 9 de la loi susvisée du 6 janvier 1978, dans sa rédaction issue de l'article 2 de la loi déférée.

Article 2.- Ne sont pas contraires à la Constitution les articles 8, 21, 22 et 26 nouveaux de la loi du 6 janvier 1978, ainsi que, sous la réserve énoncée au considérant 14, le surplus de son article 9.

Article 3.- La présente décision sera publiée au Journal officiel de la République française.

Délibéré par le Conseil constitutionnel dans sa séance du 29 juillet 2004, où siégeaient : M. Pierre MAZEAUD, Président, MM. Jean Claude COLLIARD, Olivier DUTHEILLET de LAMOTHE, Mme Jacqueline de GUILLENCHMIDT, MM. Pierre JOXE et Jean-Louis PEZANT, Mme Dominique SCHNAPPER, M. Pierre STEINMETZ et Mme Simone VEIL.

Références :

DC du 29 juillet 2004 sur le site internet du Conseil constitutionnel
DC du 29 juillet 2004 sur le site internet Légifrance
Texte attaqué : Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Nature : Loi ordinaire, Loi organique, Traité ou Réglement des Assemblées)


Publications :

Proposition de citation: Cons. Const., décision n°2004-499 DC du 29 juillet 2004

RTFTélécharger au format RTF

Origine de la décision

Date de la décision : 29/07/2004

Fonds documentaire ?: Legifrance

Legifrance
Association des cours judiciaires suprêmes francophones Organisation internationale de la francophonie

Juricaf est un projet de l'AHJUCAF, l'association des cours judiciaires suprêmes francophones,
réalisé en partenariat avec le Laboratoire Normologie Linguistique et Informatique du droit (Université Paris I).
Il est soutenu par l'Organisation internationale de la Francophonie et le Fonds francophone des inforoutes.