J.O. 182 du 7 août 2004       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance


Saisine du Conseil constitutionnel en date du 20 juillet 2004 présentée par plus de soixante sénateurs, en application de l'article 61, alinéa 2, de la Constitution, et visée dans la décision n° 2004-499 DC


NOR : CSCL0407512X




LOI RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL ET MODIFIANT LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

Monsieur le président, mesdames et messieurs les membres du Conseil constitutionnel, nous avons l'honneur de déférer à votre examen, en application de l'article 61 de la Constitution, l'ensemble de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Sont plus particulièrement visés les articles 2, 3 et 4 de cette loi.


*

* *


La présente loi constitue une refonte de la loi dite informatique et libertés du 6 janvier 1978 votée dans une période où les potentialités fantastiques de la technique s'affirmaient et faisaient monter les menaces sur la vie privée et la liberté individuelle de chacun. Mémoire du refus citoyen de voir mettre en place une vaste interconnexion sauvage, nommée SAFARI, de tous les fichiers administratifs autour d'un numéro d'identification unique, ce texte avait le mérite de la simplicité et de la clarté. Son importance dans l'ordonnancement juridique est unanimement admise. Aussi, si vous n'avez jamais constitutionnalisé ce texte, précurseur à maints égards des évolutions connues par de nombreux autres pays et par l'Union européenne, vous avez cependant pris soin, toutes les fois où la question vous a été posée, d'affirmer que ses dispositions formaient un corpus de garanties légales essentielles pour la protection de plusieurs exigences constitutionnelles.

Les développements de la technologie et les possibilités d'interconnexions de fichiers s'accentuent de jour en jour, à travers le monde entier. L'ivresse du fichage généralisé s'étant parfois emparée de personnes publiques et privées, au point que cela devienne pour certain un commerce lucratif, il importe, plus que jamais, de maintenir un haut niveau pour la protection de la vie privée et de la liberté individuelle.

I. - Sont ici en cause, notamment, la liberté que proclame l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 impliquant le respect de la vie privée, la liberté individuelle en tant que telle mais aussi en tant que protégée par l'autorité judiciaire au titre de l'article 66 de la Constitution, et plus largement, la compétence exclusive que le législateur tient de l'article 34 de la Constitution de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.

Vous avez donc jugé, par exemple en 1993, qu'il appartient au législateur d'assurer l'application des dispositions protectrices de la liberté individuelle prévues par la législation relative à l'informatique, aux fichiers et aux libertés (décision no 93-225 DC des 12 et 13 août 1993, considérant 133).

Dans le droit fil de ce raisonnement, vous avez admis la constitutionnalité des dispositions autorisant l'administration des impôts à collecter, conserver et échanger avec d'autres administrations de même nature le numéro d'identification au répertoire national dès lors, encore une fois, que le législateur n'avait pas entendu déroger aux dispositions protectrices de la liberté individuelle et de la vie privée établies par la législation relative à l'informatique, aux fichiers et aux libertés (décision no 98-405 DC du 29 décembre 1998).

C'est encore dans cette même logique que vous avez validé les traitements relatifs au PACS dès lors que s'y appliquent les garanties résultant de la législation relative à l'informatique et aux libertés et considéré qu'alors le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789 n'était pas méconnu (décision no 99-419 DC du 9 novembre 1999). Solution reprise dans votre décision du 21 décembre 1999 concernant la couverture médicale universelle (décision no 99-422 DC).

Encore récemment, dans votre décision relative à la loi sur la sécurité intérieure, vous avez encadré la constitution et l'utilisation de divers fichiers de gendarmerie et de police en rappelant l'importance de la loi du 6 janvier 1978 comme garantie légale de droits et libertés constitutionnellement protégés (décision no 2003-467 DC du 13 mars 2003, considérants 19 à 46).

II. - On mesure ici combien cette grande loi de 1978, témoin d'une revendication pour plus de liberté face aux pouvoirs de l'administration et aux rêves de toute puissance de certaines entités privées ou publiques, figure comme une des garanties légales de nombreuses exigences constitutionnelles.

Elle n'est certes pas intangible dans toutes ses prescriptions et doit être adaptée aux nouveaux défis. Elle ne saurait cependant être dépouillée de toute sa force sans mettre à nu les droits et libertés qu'elle était destinée à protéger. Autrement dit, il revenait au législateur de 2004 de ne pas affaiblir les garanties initialement édictées au regard du niveau de protection exigé pour certains droits et libertés. Une telle contrainte pesant sur le Parlement n'est que l'illustration de votre jurisprudence classique appelée « effet cliquet ».

Selon celle-ci, le législateur ne saurait modifier des textes antérieurs ou abroger ceux-ci en leur substituant des dispositions ou des modalités nouvelles, dont il lui revient certes d'apprécier l'opportunité au titre de son pouvoir souverain, dès lors que cet exercice aboutirait à priver de garanties légales des exigences de caractère constitutionnel (voir notamment décisions no 86-210 DC du 29 juillet 1986, cons. 2 ; no 98-396 DC du 19 février 1998, cons. 16 ; no 2000-446 DC du 27 juin 2001, cons. 4).

S'agissant de la loi sur l'informatique et les libertés, ce raisonnement affleure dans la décision du 13 mars 2003 (précitée) lorsque vous avez jugé « qu'il ressort des débats parlementaires que la loi du 6 janvier 1978 susvisée, que le législateur n'a pas entendu écarter, s'appliquera aux traitements en cause ». L'écarter aurait eu pour conséquence de priver de garanties légales les droits et libertés constitutionnelles alors concernés.

Les dispositions protectrices de la loi de 1978 ne peuvent être « écartées » que si les dispositions s'y substituant ou la modifiant apportent des garanties au moins équivalentes pour les droits et libertés en cause.

En l'espèce, il n'a pas échappé aux auteurs de la saisine que la loi en cause porte, pour partie, transposition de la directive 95/46 /CE du 24 octobre 1995 sur la protection des données personnelles et que certains articles du texte déféré sont une reprise nécessaire et fidèle de stipulations claires, précises et inconditionnelles de cet acte de droit communautaire dérivé.

Il demeure que plusieurs dispositions sont : soit non imposées par la directive de 1995 ou ne concernent que des options ouvertes par celles-ci, soit vont à son encontre. Dans ces conditions et dès lors que ces dispositions législatives sont évidemment contraires à des normes constitutionnelles expresses, et constituent un recul manifeste par rapport au niveau des garanties légales apportées jusqu'alors aux droits et libertés constitutionnellement protégés, votre contrôle peut heureusement s'exercer pleinement.

III. - Sur l'objectif d'intelligibilité et de clarté de la loi :

Vous avez consacré l'objectif de valeur constitutionnelle d'intelligibilité et de clarté de la loi (décision no 99-421 DC du 16 décembre 1999 ; décision no 2003-468 DC du 3 avril 2003). Le respect de cet objectif s'impose d'autant plus lorsque le texte de loi en cause porte sur les libertés et engage le respect de droits constitutionnellement garantis.

Or, en l'occurrence, et de l'avis général, la loi votée rend particulièrement complexe le régime applicable aux traitements de données personnelles. Non seulement, il faut redouter des difficultés pour les personnes morales de droit public ou de droit privé qui sont destinataires des obligations ainsi édictées, sachant que des sanctions pénales s'attachent au respect de ces règles, mais, plus encore, il importe de craindre pour le respect des droits de chacun. Qu'il s'agisse des modalités d'exercice du droit d'accès, de la connaissance des traitements en oeuvre, y compris comprenant des données sensibles, ou des pouvoirs des interlocuteurs compétents, CNIL ou correspondants ad hoc, l'ensemble du texte souffre d'une opacité qui nuit à son accessibilité par le citoyen.

Jusqu'alors, il existait principalement deux régimes. L'un pour les fichiers publics, plus exigeant (article 15 de la loi de 1978), l'autre pour les fichiers privés, plus libéral car seulement déclaratif (article 16 de la loi de 1978). L'évolution nécessaire et guidée, en partie, par la directive de 1995 ne devait cependant pas conduire le législateur à créer, en réalité, sept régimes distincts.

On trouve donc désormais :

- l'autorisation par le Conseil d'Etat après avis de la CNIL pour les traitements de l'Etat comprenant les données les plus sensibles ou concernant la totalité ou presque de la population française ;

- l'autorisation par soi-même quand le Gouvernement s'autorise par arrêté ministériel ;

- la déclaration ordinaire ;

- la déclaration simplifiée ;

- l'exonération légale de déclaration en cas d'instauration d'un correspondant de la CNIL ;

- l'exonération par la CNIL de déclaration pour certains traitements.

A cette floraison de régimes s'ajoutent de multiples exceptions et, de surcroît, l'autorisation de création de fichiers jusqu'à présent non admis, tels les traitements privés d'infractions, ou les plus nombreuses possibilités de gérer par traitement automatisé des données dites sensibles.

Là où le législateur devait simplifier et clarifier le droit applicable, comme y invite la directive de 1995, il s'avère que la complexité va s'imposer. S'agissant d'une matière intéressant les libertés, une telle opacité ne peut que paraître contradictoire avec l'objectif d'intelligibilité et de clarté de la loi dont vous assurez le respect.

C'est bien l'ensemble de la loi qui mérite un examen attentif à cet égard, et notamment les articles 2, 3 et 4.


*

* *


En tout état de cause, plusieurs dispositions sont, en elles-mêmes, contraires aux normes constitutionnelles et sont constitutives d'un recul manifeste au regard des garanties apportées par la loi du 6 janvier 1978 et ne sont justifiées en rien par la nécessité de conciliation avec d'autres normes constitutionnelles. L'objectif de la loi est, comme son intitulé l'indique, la protection des personnes à l'égard des traitements de données, pas la soumission à ceux-ci.

IV. - Sur l'article 2 de la loi déférée :

IV-1. L'article 2 de la loi en cause mérite d'être critiqué pour la rédaction nouvelle de l'article 8 de la loi de 1978. En effet, s'il maintient le principe d'interdiction de collecte et de traitement de données dites sensibles, il multiplie, dans le même mouvement, la liste des exceptions à cette règle protectrice.

Il s'ensuit une méconnaissance, par un affaiblissement des garanties légales, du droit à la vie privée consacré par l'article 2 de la Déclaration de 1789, de la liberté individuelle et de l'article 34 de la Constitution.

(i) Le paragraphe II de ce nouvel article 8 de la loi de 1978 comprend donc huit catégories d'exceptions. Si la plupart peuvent paraître légitimes et semblent soumises à des garanties appropriées, il n'en va pas de même pour le 5° autorisant le traitement de telles données sensibles « nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ».

La loi de 1978 disposait en son article 31 une interdiction générale assortie d'une seule dérogation expresse et une possibilité ouverte pour raison d'intérêt public par décret en Conseil d'Etat sur proposition ou avis conforme de la CNIL.

On le voit, le nouveau dispositif est très large et constitue, au moins s'agissant du 5° de l'article 8-II, une moindre protection pour les données sensibles telles que définies au paragraphe I de l'article 8.

On ne peut donc y voir qu'une atteinte directe à la vie privée et à la liberté individuelle.

(ii) En outre, s'agissant de l'article 34 de la Constitution, force est de constater que la définition même de l'exception est insuffisamment précise s'agissant d'une dérogation à un principe d'interdiction destiné à protéger la vie privée et la liberté individuelle de chacun. Les notions de constatation, exercice ou défense d'un droit en justice pouvant couvrir toutes les activités de la vie des entreprises, il faut redouter un champ d'application très vaste. Or, une exception ne peut avoir qu'une interprétation stricte que son libellé rigoureux doit encadrer sans risque d'arbitraire. On doit même s'interroger sur le lien susceptible d'unir une telle exception avec la finalité de la loi, à savoir la protection des personnes.

Dès lors, et en tout état de cause, le législateur est resté en deçà de sa propre compétence telle qu'elle procède de l'article 34 de la Constitution.

IV-2. Le même article 2 de la loi déférée prévoit aux points 3° et 4° de l'article 9 de la loi de 1978 la possibilité ouverte à des personnes morales de droit privé victimes d'infractions ou agissant pour le compte desdites victimes, y compris les sociétés de gestion et de perception des droits d'auteurs et droits voisins, de constituer des fichiers relatifs aux infractions, condamnations et mesures de sûreté, pour les besoins de la prévention, de la lutte contre la fraude et de la défense de leurs droits.

Cette disposition totalement nouvelle par rapport aux garanties de la loi du 6 janvier 1978 viole gravement le droit à la vie privée tel que consacré par l'article 2 de la Déclaration de 1789 la liberté individuelle y compris la protection prévue par l'article 66 de la Constitution, la présomption d'innocence garantie par l'article 9 de la Déclaration de 1789 et, en tout état de cause, l'article 34 de la Constitution.

A titre liminaire, on observera que rien dans la directive de 1995 n'impose une telle dérogation aux principes de protection des personnes.

(i) Il est à peine besoin de rappeler que le premier alinéa de l'article 30 de la loi de 1978 réservait, logiquement, la constitution de tels traitements aux juridictions et autorités publiques agissant dans le cadre de leurs attributions légales et, sur avis conforme de la CNIL, à des personnes gérant un service public.

En autorisant, d'une part, des personnes privées sans qualification de leur nature et, implicitement mais nécessairement, des officines de recouvrement et, d'autre part, des sociétés de gestion des droits d'auteur et droit voisins à constituer de tels « casiers judiciaires privés », le législateur a rompu tout l'équilibre du mécanisme protecteur de la loi de 1978 et affaiblit radicalement les dispositions valant garanties du droit à la vie privée et de la liberté individuelle. La loi de 1978 proscrivait ce type de listes noires, « ces procédés de stigmatisation à vie par des officines non contrôlées », pour reprendre l'expression de personnalités engagées dans la défense des libertés face à l'informatique (voir Le Monde du 14 juillet 2004).

Ce recul spectaculaire des garanties légales apportées aux exigences constitutionnelles, tels le droit à la vie privée et la liberté individuelle, ne peut qu'être censuré.

C'est vainement que l'on tenterait d'évoquer la conciliation entre la préservation de l'ordre public et les droits et libertés constitutionnellement protégés. Jusqu'à présent, vous n'avez jamais admis que l'ordre public puisse être ainsi privatisé. Au point que s'agissant des fichiers touchant à l'ordre public et placés sous le contrôle de la police et de la gendarmerie, vous prenez soin de les encadrer en détaillant les « garde-fous » contre leur utilisation inconsidérée ; étant entendu, au surplus, qu'ils sont également placés sous la surveillance de l'autorité judiciaire (décision du 13 mars 2003, précitée).

Au regard des règles générales de protection de la vie privée et de la liberté individuelle, rien ne permet de justifier que des personnes privées constituent de tels fichiers. A cet égard, les sociétés de gestion et de perception des droits d'auteurs et des droits voisins ne sont pas plus fondées à mettre en oeuvre de tels traitements. Leur volonté de lutter contre la contrefaçon, fort légitime au regard de la protection qu'exige la propriété intellectuelle, ne saurait les transformer en force de l'ordre sui generis. Leur préoccupation, y compris au regard de l'inadmissible « piratage » sur l'Internet, doit se satisfaire des procédures judiciaires existantes que les nouveaux pouvoirs accordés aux juges par la loi sur l'économie numérique sont censés rendre plus efficaces.

Il faut tout redouter de l'expression portée par le 3° de l'article 9 visant les personnes morales agissant pour le compte des victimes d'infraction. Nul n'ignore que les théoriciens de l'ultralibéralisme imaginent que certaines fonctions régaliennes peuvent être assurées par le secteur privé selon l'offre et la demande. Des expériences tragiques récentes nous éclairent sur les dérives de ces dogmes contraires à notre conception de l'Etat de droit. Il importe d'éviter que notre législation s'engage sur cette voie, même à petits pas, au travers l'admission de ce type de fichiers.

Le danger d'un usage inconsidéré de tels traitements existe et ne peut être ignoré. Ainsi, l'une de ces sociétés de gestion des droits d'auteur avait-elle fait la demande à la CNIL de pouvoir constituer, via un logiciel spécifique appelé « Webcontrol », un fichier des adresses IP afin de lutter contre les téléchargements illicites d'oeuvres protégées. La CNIL avait donné un avis négatif considérant que l'adresse IP, soit donc l'adresse de connexion au réseau, est une donnée personnelle et qu'en vertu de l'article 30 de la loi de 1978 un tel logiciel permettait de constituer des fichiers nominatifs concernant des infractions (courrier de la CNIL en date du 15 mars 2001).

Cet exemple a le mérite de montrer que l'argument paradoxal, avancé par certains, selon lequel il est préférable d'autoriser ces fichiers pour mieux les contrôler et d'éviter qu'ils restent clandestins n'est pas sérieux. Quant aux personnes morales qui constitueraient de tels traitements, s'ils restent interdits, on ne doute pas que la CNIL fera usage de ces nouveaux pouvoirs de contrôle a posteriori. Gageons, à cet égard, que les sociétés de perception et de répartition des droits (SPRD) seront prudentes, maintenant qu'elles ont montré leur intérêt public pour de telles options...

On ajoutera qu'aucune contrainte communautaire n'impose au législateur national la création d'un tel système de « casiers judiciaires privés » et la directive de 1995 pose, à cet égard, le principe de la collecte de tels traitements sous le seul contrôle de l'autorité publique ou sous le couvert de garanties appropriées et spécifiques (art. 8 de la directive), mais sans contraindre les Etats membres d'y recourir.

La circonstance qu'ils devront être autorisés par la CNIL, ce qui est bien le moins, ne saurait satisfaire les exigences constitutionnelles dans la mesure où la question posée est bien celle de la nature du traitement et non de la procédure administrative propre à leur création.

(ii) En outre, la violation de l'article 66 de la Constitution est flagrante.

L'autorité judiciaire est garante de la liberté individuelle. On comprendrait difficilement qu'elle figure une des garanties à l'égard des fichiers de police et de gendarmerie (décision du 13 mars 2003 précitée) et qu'elle soit évincée quand des puissances privées mettent en oeuvre de tels traitements d'infractions, de condamnations et de mesures de sûreté. Et si, par souci d'alibi, on voulait lui confier un tel rôle de contrôle de ces traitements, il est évident qu'elle serait dans l'impossibilité d'exercer un contrôle réel et effectif de ces fichiers.

Dès lors, force est d'admettre que ces « casiers judiciaires privés » qui échapperont à la surveillance de l'autorité judiciaire seront moins bien contrôlés que ceux mis en oeuvre par l'autorité publique, y compris par les juridictions.

(iii) En tout état de cause, la violation de l'article 9 de la Déclaration de 1789 et de l'article 34 de la Constitution est certaine.

La définition telle que donnée par l'article critiqué marque l'incompétence négative du législateur et heurte le principe de la présomption d'innocence. S'agissant de la mise en oeuvre de règles concernant les libertés publiques, des précisions indispensables auraient dû être apportées dans le corps du texte. En effet, si l'on comprend ce qu'est un fichier d'infractions, de condamnations et mesures de sûretés mis en oeuvre par une autorité publique, on doit s'interroger sur ce qu'il en est pour une personne privée. Qu'il s'agisse, notamment, du moment et des moyens de la collecte, de la notion d'infraction, du sort fait à ces données si intervient un non-lieu ou une relaxe, du sort des données relatives aux mineurs, l'imprécision la plus absolue règne sur ces traitements.

Et s'il s'agit d'une infraction jugée, donc définitive, il n'appartient pas à une personne privée d'en assurer la collecte pour son intérêt propre. Si elle n'est pas jugée, il ne lui appartient pas de heurter la présomption d'innocence en classant ainsi une personne dans la catégorie des délinquants au risque de la placer sur une liste noire pouvant gêner sa vie quotidienne dans ses rapports privés ou contractuels.

A supposer, pour les seuls besoins du raisonnement, que la loi puisse prévoir des fichiers de cette nature, l'article critiqué ne pourrait être constitutionnellement validé tant il manque des précisions propres à empêcher les dérives pour les droits et libertés constitutionnellement protégés.

Par quelque bout que l'on prenne cette disposition, il est certain que celle-ci aboutit à un déséquilibre manifeste du régime protecteur des personnes que la loi doit garantir au regard de la Constitution.

La censure est inévitable.

V. - Sur l'article 3 de la loi déférée :

L'article 3 modifie l'article 21 de la loi de 1978 en prévoyant en son troisième alinéa que les personnes interrogées par la CNIL dans le cadre d'une procédure de contrôle pourront opposer leur secret professionnel.

Une telle limite posée aux pouvoirs de contrôle de la CNIL exercés a posteriori constitue, là encore, un recul quant aux garanties apportées aux exigences constitutionnelles applicables à la matière.

Dans la loi de 1978, il n'était pas possible d'opposer un tel secret aux agents de la CNIL. Les personnes concernées par un tel contrôle ne pouvaient « s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche » (ancien article 21, dernier alinéa). Bien sûr, les membres et agents de la CNIL étaient astreints pour leur part à un secret pour couvrir l'exercice de leur mission et garantir les personnes contrôlées.

Désormais, les agents de la CNIL dont on a vu que l'essentiel des pouvoirs se concentre sur le contrôle a posteriori seront toujours soumis, et c'est heureux, à un tel secret professionnel pénalement sanctionné (art. 20 de la loi de 1978 et 226-13 du code pénal). En revanche, les personnes contrôlées pourront lui opposer leur propre secret.

Au regard de la finalité de la loi, une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l'objet d'un traitement, automatisé ou non. Aucune autre norme de valeur constitutionnelle ne vient justifier ce qui apparaît comme un autre recul par rapport au droit antérieur et, plus, une incohérence au regard de la logique annoncée du nouveau dispositif.

Les possibilités de fichiers s'étendent, les risques d'interconnexions nationales et mondiales s'élargissent, les formalités préalables sont allégées. Ainsi, quand les risques pour la vie privée et la liberté individuelle grandissent, les pouvoirs de la CNIL sont diminués !

Ce paradoxe est constitutionnellement impossible.

VI. - Sur l'article 4 de la loi déférée :

VI-1. L'article 4 de la loi prévoit un § III nouveau pour l'article 22 de la loi de 1978 instituant le régime du correspondant à la protection des données à caractère personnel chargé d'assurer le respect des obligations posées par la loi. En un tel cas, l'entreprise ayant notifié à la CNIL la nomination d'un tel correspondant sera dispensée des formalités déclaratives prévues par les articles 23 et 24 de la loi.

(i) Ce mécanisme existant à titre d'option dans la directive de 1995 constitue, là encore, un recul par rapport aux garanties légales qu'offrait la loi de 1978 aux droits et libertés constitutionnellement protégées.

En effet, en exonérant des obligations liées au régime déclaratif les personnes morales instituant un tel correspondant, la loi réduit le contrôle minimal qui pouvait s'exercer sur la connaissance des traitements, sur leur finalité et sur les modalités de conservation, y compris le niveau de sécurité nécessaire.

Or, ce correspondant ne bénéficie pas, à la lettre, des garanties d'indépendance indispensables à l'exercice d'une telle mission. Certes, le législateur a affirmé, expressis verbis, le principe de son indépendance et l'interdiction de son licenciement pour motif de l'exercice de cette fonction, et, enfin, la faculté pour lui de saisir la CNIL de difficultés liées à ce travail.

De telles précisions ne sont pas de nature à garantir concrètement, réellement et efficacement son indépendance. En sorte qu'en prévoyant, au titre d'une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et la liberté individuelle.

(ii) En tout état de cause, cette imprécision constitue une incompétence négative et donc une violation de l'article 34 de la Constitution.

Saisi d'un mécanisme différent mais qui présente quelques similitudes, vous avez émis une stricte réserve d'interprétation pour que soit garantie l'indépendance du salarié mandaté pour négocier dans l'entreprise. Pour ce faire, vous aviez pris soin de considérer que ce salarié bénéficierait de garanties au moins équivalentes à celles prévues par l'article L. 412-8 du code du travail (décision no 96-383 DC du 6 novembre 1996).

Mais aucune référence textuelle de cette nature n'existe ici. Dès lors, l'indépendance qu'il convient d'assurer réellement demeurera seulement théorique. Il est d'ailleurs assez éclairant qu'un amendement destiné à donner de telles garanties, sur le modèle du régime du salarié protégé, ait été rejeté suite à l'avis défavorable du Gouvernement. Et ce n'est pas la formulation relative à l'interdiction de licenciement pour motif de l'exercice de cette mission de correspondant de la CNIL qui peut valoir protection. Car la garantie en la matière suppose une procédure protectrice et non un contrôle a posteriori par le juge compétent qui en tout état de cause censure le licenciement dénué de motif réel et sérieux. Or, un licenciement pour le motif ici exprimé serait nécessairement considéré comme tel. Autrement dit, la loi retient une tautologie comme garantie d'indépendance.

Ce n'est pas constitutionnellement suffisant.

VI-2. Sur la rédaction de l'article 26, § I, de la loi de 1978 prévu par l'article 4 de la loi déférée, pèsent les mêmes critiques d'un recul des garanties légales exigées par plusieurs droits et libertés constitutionnellement protégés.

La loi prévoit que pour les traitements les plus sensibles, l'autorisation est prise par arrêté des ministres intéressés après, certes, l'avis motivé et publié de la CNIL.

Il s'agit d'un des reculs les plus manifestes opéré par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL.

Alors que sont concernées les données personnelles parmi les plus sensibles, la loi organise une procédure abaissant les pouvoirs de la CNIL. Il s'agit, au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle, d'une situation constitutionnellement préjudiciable que rien ne vient justifier ni aucune autre norme de même rang n'oblige à concilier.

Quant au droit communautaire, il plaide, pareillement, à l'encontre d'un tel amoindrissement des pouvoirs de la CNIL. En effet, l'article 28 de la directive de 1995 pose le principe de l'indépendance de l'autorité chargée de veiller au respect de la protection des données personnelles. La charte des droits fondamentaux de l'Union européenne précise, en son article 8, le principe du contrôle du respect des règles de protection des données par une autorité indépendante. Le ministre qui autorise la création d'un traitement par son administration étant juge et partie, ne peut s'autoriser de cette qualité d'indépendance.

Il serait vain d'oser prétendre que la publication de l'avis de la CNIL, serait-il motivé, offrira le même niveau de garantie qu'un avis conforme liant la décision.

Ce recul ne peut, là aussi, être admis à l'aune du but de la loi et des garanties légales exigées par les normes constitutionnelles applicables pour la protection des personnes.


*

* *


Nous vous prions de croire, monsieur le président, mesdames et messieurs les membres du Conseil constitutionnel, à l'expression de notre considération la plus haute.

(Liste des signataires : voir décision no 2004-499 DC.)