TITRE VII
CONTRÔLE DES OPÉRATIONS DE
TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL
EFFECTUÉES PAR LES JURIDICTIONS DANS L'EXERCICE DE LEUR FONCTION
JURIDICTIONNELLE
Articles 19, 20 et
21
Création d'une autorité de contrôle des
opérations de traitement des données à
caractère personnel effectuées par les juridictions au sein
du Conseil d'État, de la Cour de cassation et de la Cour des
comptes
Les articles 19, 20 et 21, qui forment le titre VII du projet de loi, visent à combler un vide juridique en confiant respectivement au Conseil d'État, à la Cour de cassation et à la Cour des comptes une nouvelle mission de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions et leurs ministères publics, dans l'exercice de leurs fonctions juridictionnelles.
Ce contrôle serait exercé sous la forme d'une « autorité » respectivement constituée, pour chacun des ordres, d'un membre du Conseil d'État élu par son assemblée générale, d'un conseiller à la Cour de cassation désigné par son premier président et d'un magistrat de la Cour des comptes élu par la chambre du conseil. À l'exception du prononcé de sanctions pécuniaires, ils disposeraient, pendant une durée de trois ans renouvelable une fois, des mêmes pouvoirs que ceux dont disposent actuellement le président et la formation restreinte de la commission nationale de l'informatique et des libertés (Cnil) en matière d'enquête et d'adoption de mesures correctrices.
Estimant ces mesures pertinentes dans la mesure où elles garantiront aux justiciables une meilleure protection de leurs données personnelles, la commission spéciale a adopté ces trois articles en y apportant des clarifications rédactionnelles et en étendant le principe de l'élection à l'autorité de contrôle de la Cour de cassation, à l'instar des autorités de contrôle compétentes pour les juridictions administratives et financières.
1. Le droit en vigueur ne prévoit pas de compétence de la Cnil en matière de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle
a) Au motif de la préservation de l'indépendance de l'autorité judiciaire, aussi bien le RGPD que le droit national excluent des compétences de la Cnil le contrôle des opérations de traitement des données personnelles effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle
En vertu de l'article 55 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données (RGPD)125(*), les autorités de contrôle de l'utilisation des données personnelles - c'est-à-dire, en France, la Cnil - « ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle ». L'incompétence des autorités de contrôle en matière juridictionnelle est imposée également, dans les mêmes termes, par l'article 45 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016126(*), dite directive police-justice, qui régit le traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
La justification de l'incompétence des autorités de contrôle est précisée au sein du considérant n° 20 dudit RGPD, qui met en avant le souhait du législateur européen « de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions ».
En application de ces deux textes européens, le droit interne a été modifié, par le biais de l'ordonnance n° 2018-1125 du 12 décembre 2018127(*), afin d'exclure du domaine de compétences de la Cnil les opérations en lien direct avec l'activité juridictionnelle. Ainsi, le V de l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose désormais que « dans l'exercice de son pouvoir de contrôle portant sur les traitements [de données à caractère personnel], la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions ».
Interrogée par le rapporteur Loïc Hervé, la Cnil a confirmé qu'elle n'exerçait aucun contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions dans l'exercice de leurs fonctions juridictionnelles, aussi bien depuis la modification du cadre législatif en 2018 qu'avant l'entrée en vigueur des mesures d'adaptation au RGPD.
La Cnil contrôle en revanche les opérations de traitement des données concernant le ministère de la justice mais qui ne relèvent pas de l'exercice des activités juridictionnelles. À ce titre, des contrôles ont ainsi été menés sur le traitement du fichier judiciaire automatisé des auteurs d'infractions sexuelles et violentes (Fijais), de la plateforme nationale des interceptions judiciaires (PNIJ) ou encore du fichier de suivi des bracelets électroniques.
b) En l'absence de cadre législatif clair, un contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle confié à des « délégués à la protection des données »
L'incompétence de la Cnil ne signifie pas pour autant que les opérations de traitement des données à caractère personnel effectuées par les juridictions et leur ministère public dans l'exercice de leurs fonctions juridictionnelles ne font l'objet d'aucun contrôle.
En premier lieu, la jurisprudence de la Cour de justice de l'Union européenne (CJUE) a précisé l'interprétation qui devait être faite de l'article 55 du RGPD. Par son arrêt C-245/20 du 24 mars 2022128(*), la CJUE a jugé que l'article 55 précité n'a pas entendu soustraire à tout contrôle les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle, mais a seulement exclu que le contrôle de ces opérations soit confié à l'autorité de contrôle de droit commun.
En second lieu, les ordres juridictionnels ont chacun pris des mesures, de façon hétérogène, afin de respecter aussi bien le RGPD que la jurisprudence de la CJUE.
Ainsi, le Conseil d'État tout comme la Cour des comptes ont chacun désigné un délégué à la protection des données, chargé de veiller à l'application du RGPD et de traiter d'éventuelles réclamations. Par ailleurs, pour le cas spécifique des juridictions financières, il est demandé à chaque chambre de la Cour, à chaque chambre régionale et à chaque direction de nommer un référent RGPD pour suivre les traitements de données à caractère personnel de leur périmètre, faire remonter les alertes et diffuser les bonnes pratiques. L'animation de ce réseau est à la charge du délégué à la protection des données. En revanche, le délégué à la protection des données du Conseil d'État n'effectue aucun contrôle sur les traitements des juridictions administratives spécialisées autres que la Cour nationale du droit d'asile (CNDA).
S'agissant des juridictions judiciaires, le contrôle des opérations de traitement des données à caractère personnel prend des formes variées.
S'il existe un contrôle a priori de la Cnil, qui doit être saisie de tout projet de texte portant création de traitement, y compris donc sur des textes relatifs à des opérations de traitement relevant de l'activité juridictionnelle, le parquet général de la Cour de cassation a indiqué au rapporteur qu'à l'exception de certains fichiers sensibles pour lesquels il a été expressément prévu un contrôle par le législateur, tels que Cassiopée129(*), la plateforme nationale des interceptions judiciaires (PNIJ)130(*) ou le fichier de suivi des bracelets électroniques et anti-rapprochement131(*), les autres fichiers ne font l'objet d'aucune disposition spécifique et d'aucun contrôle particulier a posteriori. Pour le siège, une fonction de délégué à la protection des données est assurée par un conseiller de la Cour de cassation qui est destinataire de toutes les requêtes des particuliers. Cette fonction de délégué à la protection des données ne s'applique cependant qu'à la Cour de cassation et non aux autres juridictions judiciaires.
En parallèle de ces contrôles internes, tout particulier dispose des voies de droit commun contre l'État, dont la responsabilité peut être recherchée au titre de ses activités juridictionnelles, comme l'a récemment illustré l'ordonnance n° 2304177 du 19 mai 2023 par laquelle le juge des référés du tribunal administratif de Lille a ordonné l'effacement des données à caractère personnel contenues dans le fichier des manifestants contre la réforme des retraites placés en garde à vue.
2. Les articles 19, 20 et 21 du projet de loi harmonisent le contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions et leur ministère public dans l'exercice de leur fonction juridictionnelle en créant, pour chaque ordre juridictionnel, une autorité de contrôle spécifique
Si le droit européen exclut des compétences de la Cnil le contrôle les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle, il impose cependant aux États membres de mettre en place un dispositif spécifique pour assurer ce contrôle, lequel n'est pas prévu par le droit en vigueur.
En conséquence, et compte tenu de l'hétérogénéité des mécanismes de contrôle actuellement mis en oeuvre, les articles 19, 20 et 21 visent à combler ce vide juridique et à harmoniser les pratiques existantes en confiant respectivement au Conseil d'État, à la Cour de cassation et à la Cour des comptes une nouvelle mission de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions et leur ministère public, dans l'exercice de leur fonction juridictionnelle.
Ce contrôle serait exercé sous la forme d'une « autorité » respectivement constituée, pour chacun des ordres, d'un membre du Conseil d'État élu par son assemblée générale, d'un conseiller à la Cour de cassation désigné par son premier président, et d'un magistrat de la Cour des comptes, élu par la chambre du conseil.
Ces autorités seraient compétentes pour l'ensemble des juridictions dépendant de leur ordre, ce qui permettra, d'une part, d'inciter davantage les responsables des opérations de traitement à veiller à la bonne application du RGPD et, d'autre part, d'unifier aussi bien les modalités de contrôles que la jurisprudence. À ce titre, l'article 19 précise que le Conseil d'État sera chargé du contrôle des opérations de traitement des données à caractère personnel effectuées par le tribunal des conflits.
À l'exception du prononcé de sanctions pécuniaires, ces trois autorités disposeraient, pendant une durée de trois ans renouvelable une fois, des mêmes pouvoirs que ceux dont disposent actuellement le président et la formation restreinte de la Cnil en matière de conseil, d'enquête et d'adoption de mesures correctrices, qui peuvent aller jusqu'à la rectification ou l'effacement des données à caractère personnel n'ayant pas été traitées convenablement ou encore une interdiction, à destination de la personne morale ou physique fautive, du traitement des données à caractère personnel.
L'article 20, relatif à l'ordre judiciaire, comporte des dispositions supplémentaires par rapport aux articles 19 et 21 afin, d'une part, de confier le contrôle des opérations de traitement des données à caractère personnel effectuées par le Conseil supérieur de la magistrature à l'autorité de contrôle formée au sein de la Cour de cassation et, d'autre part, de préciser que les recours contre les décisions de cette même autorité de contrôle relèvent de la compétence de la Cour de cassation. Les articles 19 et 21 ne mentionnent pas les modalités de recours contre les décisions prises par les autorités de contrôle instituées auprès du Conseil d'État et de la Cour des comptes, car celles-ci relèvent du domaine du règlement et seront donc précisées par le biais du décret en Conseil d'État que prévoit chacun de ces articles.
Par coordination, le II de l'article 20 modifie le V de l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin d'exclure de la compétence de la Cnil le contrôle des opérations de traitement des données à caractère personnel effectuées par le ministère public dans l'exercice de ses fonctions juridictionnelles.
Afin de garantir la pleine indépendance de ces autorités, il est précisé aux articles 19, 20 et 21 du projet de loi que celles-ci disposent « des ressources humaines, matérielles et techniques nécessaires à l'exercice de [leur] fonction », fournies respectivement par le Conseil d'État, la Cour de cassation et la Cour des comptes. Cette précision a son importance compte tenu de la charge de travail que risque de représenter la fonction de ces autorités. Interrogés par le rapporteur, aussi bien le Conseil d'État que la Cour des comptes et la Cour de cassation ont estimé que cette autorité, composée d'un membre unique, devra être assistée d'un service pour assurer ses fonctions et gérer l'éventuel flux régulier des requêtes.
Si le Conseil d'État et la Cour des comptes jugent la charge de travail reposant sur l'autorité de contrôle relativement modeste, du moins ne nécessitant vraisemblablement pas une occupation à temps plein, la Cour de cassation a alerté le rapporteur sur l'étendue « considérable »132(*) du domaine d'action de l'autorité créée au sein de ladite Cour, qui sera compétente pour toutes les juridictions judiciaires et leur ministère public. Outre que cela représente un nombre très conséquent d'entités à contrôler, le nombre de fichiers concernés est également significatif, au moins une vingtaine d'après un recensement non exhaustif réalisé par le parquet général de la Cour de cassation.
Le premier président de la Cour de cassation a ainsi exprimé son « scepticisme »133(*) sur l'affirmation contenue dans l'étude d'impact établie par le Gouvernement qui indique que les conséquences sur les services administratifs de la Cour de cassation seront « limitées, compte tenu du nombre très faible de réclamations qui est attendu ».
Enfin, il est entendu que les opérations de traitement effectuées hors des fonctions juridictionnelles demeureront soumises au contrôle de la Cnil, comme c'est le cas en l'état actuel du droit. S'il reviendra à la jurisprudence de résoudre d'éventuels conflits de compétence, il est clair dans l'esprit du législateur qu'une fois la loi promulguée, la Cnil conservera son pouvoir de contrôle lorsqu'un fichier litigieux est aussi utilisé dans un cadre administratif, ou dans un cadre de police judiciaire mais extérieur à une activité juridictionnelle.
3. Des mesures bienvenues afin de garantir aux justiciables une meilleure protection de leurs données personnelles
La commission spéciale a approuvé le principe de création d'une autorité de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions au sein du Conseil d'État, de la Cour de cassation et de la Cour des comptes.
Elle souligne que ces mesures permettront, d'une part, de combler un vide juridique et d'assurer la pleine conformité du droit français au RGPD et, d'autre part, d'harmoniser le régime de contrôle des opérations de traitement des données à caractère personnel en instaurant un même modèle pour chacun des ordres juridictionnels.
En fin de compte, ces mesures participeront à rendre plus lisible et plus accessible, pour les justiciables, le dispositif de protection des données personnelles par les juridictions. En outre, l'instauration d'une autorité disposant d'un pouvoir de sanction, plutôt que d'un « délégué à la protection des données », devrait inciter les responsables de traitements des données à la vigilance et au respect des obligations qui leur incombent en application du RGPD.
Sans remettre en cause les lignes directrices de ces trois articles, la commission spéciale a adopté dix amendements, présentés par son rapporteur Loïc Hervé ainsi que par Vanina Paoli-Gagin et Jérôme Durain.
Outre les amendements rédactionnels COM-82134(*) et COM-127 à l'article 19 ainsi que l'amendement COM-129 à l'article 20, la commission spéciale a adopté les amendements COM-128, COM-131 et COM-132, modifiant de façon identique les articles 19, 20 et 21 du projet de loi afin de lever une ambiguïté au sein du texte initial quant aux compétences de ces autorités de contrôle.
En effet, la définition des pouvoirs dont disposeront ces autorités de contrôle est renvoyée à l'article 58 du RGPD et aux articles 20 à 22 de la loi du 6 janvier 1978. Or, ces derniers opèrent des distinctions entre les pouvoirs du président de la Cnil et ceux de sa formation restreinte. Ces distinctions apparaissent inappropriées au cas des autorités de contrôle instituées par les articles 19 à 21 du projet de loi, puisqu'il est proposé que ces autorités ne soient composées que d'un membre unique (cf. supra).
Les amendements COM-128, COM-131 et COM-132 clarifient par conséquent l'étendue des compétences de ces autorités de contrôle, en précisant qu'elles exerceront, pour l'application des articles 19, 20 et 22 de la loi du 6 janvier 1978, aussi bien celles président de la Cnil que celle de sa formation restreinte.
La commission spéciale a également adopté les amendements COM-53 rectifié, COM-54 rectifié et COM-55 rectifié. présentés par Jérôme Durain, modifiant les articles 19, 20 et 21. Ces amendements prévoient, sur le modèle de l'article L. 143-8 du code des juridictions financières relatif au rapport annuel d'activité de la Cour des comptes, que les autorités de contrôle précitées établissent chaque année, rendu public et adressé au Parlement. Outre un bilan de son activité annuelle, ce rapport pourra comporter des observations et des recommandations relatives au domaine d'intervention de l'autorité de contrôle.
Enfin, la commission spéciale a adopté l'amendement COM-130 portant sur l'article 20, afin d'harmoniser sa rédaction avec celle des articles 19 et 21 du projet de loi, en prévoyant que l'autorité de contrôle compétente pour les juridictions judiciaires soit élue, à l'instar des autorités de contrôle dédiées aux juridictions administrative et financière.
L'élection apparaît en effet mieux à même de garantir l'indépendance de cette autorité de contrôle vis-à-vis, notamment, du premier président de la Cour de cassation, qui est le responsable final des opérations de traitement des données personnelles effectuées par la Cour de cassation.
C'est pourquoi l'amendement COM-130 prévoit que le conseiller de la Cour de cassation ne soit plus désigné par le premier président de la Cour, mais soit élu par l'assemblée des magistrats du siège hors hiérarchie, comme c'est le cas pour la désignation des magistrats membres de la formation du Conseil supérieur de la magistrature compétente à l'égard des magistrats du siège.
La commission spéciale a adopté les articles 19, 20 et 21 ainsi modifiés.
* 125 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
* 126 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
* 127 Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
* 128 Affaire C-245/20: Arrêt de la Cour de justice de l'Union européenne (première chambre) du 24 mars 2022 (demande de décision préjudicielle du Rechtbank Midden-Nederland -- Pays-Bas) -- X, Z / Autoriteit Persoonsgegevens
* 129 Le fichier Cassiopée, qui contient des informations relatives aux plaintes et aux dénonciations reçues par les magistrats dans le cadre de procédures judiciaires, est placé sous le contrôle d'un magistrat du parquet hors hiérarchie assisté d'un comité de trois personnes qui peut ordonner toute mesure nécessaire telles que les saisies ou copies d'information ainsi que l'effacement d'enregistrements illicites.
* 130 La plateforme nationale des interceptions judiciaires relève du contrôle d'une personnalité qualifiée assistée d'un comité de cinq personnes dont un député et un sénateur qui peut ordonner toutes mesures nécessaires à l'exercice de son contrôle et dispose d'un accès permanent au lieu où se trouve la plateforme.
* 131 Les traitements relatifs aux bracelets électroniques et anti-rapprochement sont placés sous le contrôle d'un magistrat du parquet hors hiérarchie, nommé par arrêté du garde des sceaux qui peut procéder à toute vérification sur place et obtenir du responsable de traitement tout renseignement utile.
* 132 Réponses écrites d'Audrey Prodhomme, secrétaire générale du parquet général de la Cour de cassation, représentant François Molins, procureur général, au questionnaire du rapporteur.
* 133 Réponses écrites de Christophe Soulard, premier président de la Cour de cassation, au questionnaire du rapporteur.
* 134 Cet amendement a été présenté par Vanina Paoli-Gagin.