Relazione francese Dubois-Verdier – Saarbrücken – 5/10/2018
Liebe Kolleginnen und Kollegen,
Cari colleghe e colleghi,
Chers collègues !
« L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Ces mots figurent à l’article 1er de la loi du 6 janvier 1978, dite loi « informatique et libertés ». Comme le notait Jean Marc Sauvé, vice-président du Conseil d’Etat français jusqu’en mai dernier, il apparaît qu’en France, dès 1978, le législateur français s’est préoccupé des risques que l’informatique peut faire peser sur les libertés fondamentales et, notamment, sur le respect de la vie privée.
Aujourd’hui, en 2018, les données du problème sont bouleversées. En effet, avec l’essor d’Internet et des plateformes numériques, les données personnelles sont devenues la matière première de l’activité des géants du Web, (=GOOGLE, Apple, Facebook et Amazone), et des réseaux sociaux. D’une part, il faut essayer de faciliter cette circulation d’information par ces réseaux, sans y mettre des entraves excessives, mais d’autre part il faut maintenir l’objectif de préserver les libertés des citoyens, « dont les données peuvent être erronées, collectées et conservées de manière injustifiée ou disproportionnée et, de surcroît, sont susceptibles de révéler, sur chaque personne, des habitudes, des préférences ou des opinions ». Telle est la dialectique du Règlement européen qui vient d’entrer en vigueur le 25 mai 2018 : Assurer la libre circulation de l’information, préserver les libertés des citoyens, notamment par le contrôle du juge administratif. A cet effet, le rôle du juge en général, et du juge administratif en particulier, qui entend maintenir en France sa place en tant que protecteur des libertés, est essentiel.
Mon intervention se déroulera en 4 points :
I HISTORIQUE : de 1978 à 2018
II ENTREE EN VIGUEUR DU RGPD (REGLEMENT EUROPEEN 2016-679 DU 27 AVRIL 2016, SUR LA PROTECTION DES PERSONNES PHYSIQUES A L’EGARD DU TRAITEMENT DES DONNEES)
III INCIDENCES DU RGPD SUR LE DROIT ADMINISTRATIF ET LE JUGE ADMINISTRATIF
IV JURISPRUDENCE
I HISTORIQUE : de 1978 à 2018
C’est avec la loi du 6 janvier 1978, qu’a été adoptée, en France, la première norme de droit français sur la protection des données (sous la présidence de M. Giscard d’Estaing, européen fervent). Le législateur de 1978 avait alors bien perçu la nécessité de réguler le traitement des données personnelles, en particulier par les organes de l’Etat et les personnes publiques en général, qui étaient alors perçues comme la source principale de danger. Et parmi les autorités qui suscitaient la méfiance du législateur, il y avait non seulement l’administration, mais aussi le juge, puisque l’article 2 de la loi de 1978, dans sa version initiale, disait : « Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’information donnant une définition du profil ou de la personnalité de l’intéressé… ».
La grande nouveauté de la loi du 6 janvier 1978 a été la création d’une « COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES, qu’on appelle en français, par abréviation, CNIL, dotée de véritables pouvoirs de décision, la loi attribuant notamment à la commission un pouvoir normatif (pouvoir réglementaire).
La loi de 1978 a défini la CNIL, comme une AUTORITE ADMINISTRATIVE INDEPENDANTE. Il y a là un concept d’origine américaine (authority) ou peut être scandinave, mais il faut remarquer que dans les pays anglo-saxons, on soit réticent à qualifier ces organes comme « administratifs » .
En tout état de cause, en France, la CNIL a été qualifiée comme une autorité « administrative », mais à laquelle le législateur s’est efforcé de donner une composition destinée à garantir son indépendance :
Le législateur a donc opté pour une composition mixte, avec des parlementaires, des juges des 2 cours suprêmes administratives et judiciaires (Conseil d’Etat et Cour de cassation), des membres ès qualité nommés par le gouvernement… Le président de la commission est nommé par le président de la République. Le mandat des membres est de 5 ans. Cette composition est supposée assurer son indépendance, mais des critiques sont régulièrement émises à ce sujet .
Le fait que la CNIL (commission nationale Informatique et Libertés) ait été définie par la loi de 1978 comme une autorité administrative indépendante a une conséquence importante pour notre thème : Les diverses décisions que cet organisme prend vont être soumises au contrôle du juge administratif. Et dès les années qui suivent l’adoption de la loi de 1978, on trouve des décisions du Conseil d’Etat, qui annulent des décisions de la CNIL. Le Conseil d’Etat a donc affirmé son contrôle sur les décisions de cet organisme.
Bien entendu, la protection des données dans les années 1970 n’était pas une préoccupation exclusivement française. Elles se sont manifestées dans tous les pays européens, (pour me limiter au vieux continent) .
L’Allemagne semble avoir été, avec la loi fédérale de 1977, le premier pays à adopter un texte sur la protection des données personnelles. L’Italie a suivi le mouvement à son tour, notamment lorsqu’a été adoptée la loi du 31 décembre 1996 .
Avec l’apparition et le développement d’Internet est progressivement apparue la nécessité de réguler la matière au niveau européen.
D’abord, a été adoptée la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) (Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
En France, la directive du 24 octobre 1995 a été transposée relativement tard, par une loi du 6 août 2004, relative à la protection des personnes physiques.
Toutefois, le risque d’un manque d’harmonie entre les différents pays européens a imposé en 2016, l’adoption, non plus d’une directive, texte qui se limite à fixer des objectifs aux Etats membres, mais d’un règlement européen qui s’applique, à la différence d’une directive, directement et totalement dans les Etats membres. Il s’agit du règlement qui est l’objet de notre étude :
Le REGLEMENT EUROPEEN 2016-679 DU 27 AVRIL 2016, sur la protection des personnes physiques a l’égard du traitement des données à caractère personnel et à la libre circulation de ces données , abrogeant la directive 95/46/ce . Ce règlement est appelé en français, par abréviation, RGPD et je l’appellerai ainsi au cours de mon intervention.
II ENTREE EN VIGUEUR DU REGLEMENT EUROPEEN
Et c’est bien l’entrée en vigueur de ce règlement, le RGPD donc, qui pose problème.
D’abord, parce que c’est un texte long et touffu, (rien que dans l’introduction, il y a 173 considérants), complexe et technique, particulièrement difficile à aborder par les entreprises et les administrations, pour ne rien dire du juge !
Mais ce sont surtout les conditions de l’entrée en vigueur d’un règlement, adopté en 2015 après 4 années d’âpres négociations, qui posent une difficulté pour traiter notre sujet.
Première remarque, l’article 99 du règlement (Entrée en vigueur et application) dit que : « 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. / 2. Il est applicable à partir du 25 mai 2018 » . 25 mai 2018, cela veut dire que si nous examinons les questions posées par l’application de ce règlement devant le juge administratif français, beaucoup de ces questions restent ouvertes ou relèvent même de la prospective juridique.
2ème remarque, comme il a déjà été dit, un règlement adopté par le Conseil et le Parlement européens, est d’application directe et s’impose en principe aux États membres à compter du 25 mai 2018. Il ne devrait donc pas être nécessaire, en théorie, de le transposer dans les législations nationales, comme on le fait pour une directive.
En fait, le RGPD contient deux catégories de dispositions : certaines se substituent complètement aux règles des Etats membres, par exemple en accordant directement des garanties aux personnes dont les droits ont été violés par un système de traitement des données . Mais sur d’autres points, le règlement est un peu comme une directive, il laisse aux Etats membres la possibilité de conférer des droits aux personnes ou d’imposer des obligations ou de prévoir des procédures dans le cadre national, en complétant ainsi le RGPD. C’est ce que l’on appelle les « marges de manœuvre nationales » laissées aux Etats membres.
Il en résulte qu’en France, la loi Informatique et libertés de 1978 reste en vigueur et est supposée compléter le RGPD : Mais une loi nouvelle a dû tout de même être adoptée par le parlement français pour modifier la loi de 1978 et la mettre, en principe, en conformité avec le règlement européen, le RGPD : Il s’agit de la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, dite loi CNIL 3, qui vient donc d’une part rapprocher la loi française de la lettre du RGPD et d’autre part, exercer certaines « marges de manœuvre nationales ».
Toutefois, la complexité résultant de la combinaison du règlement européen et de la loi nationale n’a pas été, loin de là, complètement réglée avec la modification de la loi de 1978 par la loi du 20 juin 2018, tant et si bien qu’une ordonnance du gouvernement de réécriture complète de la loi de 1978 (Informatique et Libertés) est prévue dans un délai de six mois, ce qui veut dire que cette ordonnance interviendra en décembre prochain, afin de résoudre les difficultés de lisibilité de ce cadre juridique composite !
Nous sommes ainsi, en France, dans une situation où, en cas de conflit entre la loi nationale et le règlement européen, le juge appliquera normalement la loi interne, soit la loi de 1978 modifiée par la loi du 20 juin 2018, qui joue ainsi le rôle d’une « loi-écran » entre le droit européen et la réglementation française. Toutefois, les requérants ou les requérantes peuvent toujours soulever la contrariété de cette loi par rapport au règlement européen, le RGPD, ce qui déclenchera la procédure de contrôle de la conformité de la loi en cause par rapport au règlement européen, selon la procédure française dite de contrôle de conventionalité initiée par la jurisprudence du Conseil d’Etat Nicolo avec une éventuelle question préjudicielle posée à la Cour de justice de l’Union européenne sur l’interprétation du RGPD.
De plus, le droit national a dû être complété par un nouveau décret d’application de la loi Informatique et Libertés pour achever la mise en conformité du droit national au cadre juridique européen. Ce décret est intervenu le 1er août 2018.
Enfin, il y a eu une décision du Conseil constitutionnel français n° 2018-765 DC du 12 juin 2018. Dans le cadre du contrôle de constitutionnalité a priori, des sénateurs ont déféré au Conseil constitutionnel la loi du 20 juin 2018, en dénonçant son inintelligibilité et en soutenant que le texte méconnaissait l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi compte tenu des divergences entre les dispositions de la loi du 6 janvier 1978, telle que modifiée, et le règlement européen du 27 avril 2016. Selon eux, cette absence de lisibilité serait de nature à « induire gravement en erreur » les citoyens quant à la portée de leurs droits et obligations en matière de protection des données personnelles. Le conseil constitutionnel a écarté cet argument et validé dans ses grandes lignes la loi.
Le juge administratif français va avoir un travail considérable pour interpréter l’ensemble de ces textes !
III LES INCIDENCES DU RGPD SUR LE DROIT ADMINISTRATIF ET LA JURIDICTION ADMINISTRATIVE EN FRANCE
Elles sont multiples et il ne saurait être question ici de les analyser toutes.
J’évoquerai successivement : 1° les incidences sur l’activité de la CNIL, 2°les incidences sur les recours devant le juge administratif, 3° les incidences sur l’activité du juge.
1° Les incidences sur l’activité de la CNIL (commission nationale informatique et libertés)
Le RGPD s’est efforcé de redéfinir le rôle des autorités de protection des données des pays membres. Dans son article 4, au paragraphe 21, le RGPD parle en effet d’une «autorité de contrôle», autorité publique indépendante instituée par un État membre, qui est concernée par le traitement de données à caractère personnel.
Tout naturellement la loi française du 20 juin 2018, modifiant la loi du 6 janvier 1978, désigne la CNIL comme l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
L’adoption du RGPD entraîne une redéfinition et même un élargissement des pouvoirs de la CNIL (commission nationale de l’informatique et des libertés) par la loi du 20 juin 2018. Sur ce point, je me limiterai à mettre en évidence deux aspects de cette évolution des pouvoirs de la CNIL :
Premier aspect de l’évolution des pouvoirs de la CNIL : alors que le système juridique français privilégiait le contrôle a priori des traitements de données personnelles, le choix européen va au contraire dans le sens d’un contrôle a posteriori pour favoriser une libéralisation de l’espace communautaire. Ainsi et à part les cas où le droit des États membres peut maintenir des autorisations pour certaines catégories de données ou de traitements (par exemple en matière de santé), la plupart des obligations déclaratives et des autorisations préalables que délivrait la CNIL sont supprimées .
Deuxième aspect de l’évolution des pouvoirs de la CNIL : Le RGPD et la loi donnent aux autorités de protection et donc en France à la CNIL, des pouvoirs de sanction et notamment celui de prononcer des amendes administratives très importantes. L’article 83 du RGPD prévoit de façon assez précise les conditions relatives à ces amendes. En cas de violation du règlement, ces amendes seraient susceptibles désormais, selon le règlement, d’atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les États membres peuvent même prévoir ou non dans leur législation des amendes à infliger aux autorités et organismes publics. Mais la détermination de ces sanctions est laissée par le règlement à l’appréciation des Etats (c’est un exemple de « marge de manœuvre nationale »). Par exemple, la CNIL a infligé en juin 2018 une amende record de 250.000 euros à la chaîne de magasins d’optique Optical Center, pour une atteinte à la sécurité des données de ses clients. C’est la première fois que la CNIL (Commission nationale de l’informatique et des libertés) impose une amende aussi forte . Mais on demeure pour l’instant loin du niveau des amendes de plusieurs millions d’euros prévues par le RGPD.
Accroissement des compétences de la CNIL, pouvoir d’infliger des sanctions administratives et des amendes d’un montant élevé, tout cela pourrait être la source d’un accroissement du contentieux devant les juridictions administratives.
2° Les incidences sur les recours devant le juge administratif :
Quelles vont être les conséquences de l’entrée en vigueur du RGPD sur les recours devant les juridictions administratives ?
a) sur les voies de recours :
Dans son chapitre VIII, en ses articles 77 à 82, le RGPD contient des dispositions sur les voies de recours. Dans ces articles, le RGPD prévoit que le droit à un recours juridictionnel doit être effectif.
En ce qui concerne les recours juridictionnels, le règlement distingue les recours juridictionnels contre une autorité de contrôle et les recours juridictionnels contre un responsable du traitement ou un sous-traitant.
-En ce qui concerne le droit à un recours juridictionnel effectif contre une autorité de contrôle, le système existant actuellement en France est le suivant : En matière de protection des données, il y a, comme on l’a déjà dit, une autorité administrative indépendante, qui est la CNIL. Cette autorité est nationale, qui a son siège à Paris. Le juge administratif normalement compétent à l’égard des décisions et actions de la CNIL est le CONSEIL D’ETAT, juridiction administrative suprême, ou pour reprendre l’expression usitée, « juge ultime de l’administration ». C’est ce que prévoit le code de justice administrative, qui dit en son article R.311-1 que le Conseil d’Etat est compétent pour connaître en premier et dernier ressort (c’est-à-dire que dans ce cas, il n’y a pas plusieurs degrés de juridiction) : « 4° Des recours dirigés contre les décisions prises par les organes des autorités suivantes, au titre de leur mission de contrôle ou de régulation : la Commission nationale de l’informatique et des libertés » (CNIL). On a donc en France, du fait de l’activité de la CNIL, un contentieux centralisé devant le Conseil d’Etat, qui contrôle l’action de la CNIL, autorité unique nationale.
Ces voies de recours qui ont pour effet de confier au Conseil d’Etat le contrôle sur les activités et décisions de la CNIL paraissent a priori répondre aux exigences de droit à un recours juridictionnel effectif du règlement européen. Notamment, il faut noter que les décisions prises par la CNIL peuvent, comme toutes les autres décisions prises par des autorités administratives, faire l’objet des procédures de référé, référé suspension et référé liberté, prévues aux articles L.521-1 et L. 521-2 du code de justice administrative français
– En ce qui concerne le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, lorsqu’une personne estime que ses droits ont été violés du fait d’un traitement de ses données à caractère personnel par une personne privée ou publique, l’entrée en vigueur du RGPD a imposé des modifications de la loi française.
D’abord, il faut mentionner l’introduction d’une procédure très particulière qui est destinée à permettre à la CNIL de demander au Conseil d’Etat la suspension d’un transfert de données personnelles vers un pays tiers ou à une organisation internationale. L’article 45 du RGPD prévoit en effet en cas de transfert de données à caractère personnel une décision de la Commission européenne, qui constate que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat. Dès lors, la loi française du 20 juin 2018 est venue conférer la possibilité à la CNIL, la Commission nationale de l’informatique et des libertés donc, lorsqu’elle est saisie d’une réclamation par une personne intéressée qui estime que ses droits et libertés sont violés par un transfert de données, de demander au Conseil d’Etat d’ordonner la suspension de ce transfert. La compétence du Conseil d’Etat est justifiée ici par le fait que la légalité d’une décision de la commission européenne est en jeu. La particularité de la procédure ainsi organisée est que la loi prévoit l’obligation pour la CNIL, lorsqu’elle introduit ce recours, de demander au Conseil d’Etat de poser une question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision de la Commission européenne prise sur le fondement de l’article 45 du RGPD. Il y a là l’introduction d’une voie de recours tout à fait particulière dans le droit français, dont le champ d’application est large, que le transfert de données soit le fait d’une personne publique ou privée.
Ensuite, il faut mentionner l’adoption, dans la récente loi du 20 juin 2018, d’une disposition (article 46 IV de la loi du 6 janvier 1978 modifiée), selon laquelle « le président de la CNIL peut demander, par la voie du référé, à la juridiction judiciaire ou administrative, d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés ». Avec ces dispositions, le président de la CNIL est consacré, devant les juridictions judiciaires et administratives comme un requérant privilégié, dont l’intérêt à agir devant les juridictions administratives ou judiciaires est directement consacré par la loi. Ainsi, le président de la CNIL va pouvoir exercer les recours de référé prévus devant le juge judiciaire ou le juge administratif.
Pour ce qui concerne le juge administratif, à vrai dire, dès 2005, soit dès après l’introduction de la directive de la directive de 2004, il avait été introduit une modification en ce sens du code de justice administrative . Mais avec un article R.555-1 , introduit dans le code de justice administrative le 1er août 2018, c’est bien l’application du RGPD qui est désormais visée, en application de la loi du 20 juin 2018. Le type d’action engagé par le président de la CNIL devant le juge administratif contre une personne publique « coupable » d’une violation dans le traitement des données qui mettrait en péril gravement une liberté fondamentale, peut être porté devant n’importe quelle juridiction administrative française, en fonction du siège de l’autorité publique qui méconnaitrait les dispositions du RGPD et de la loi. Le code de justice administrative précise que dans ce cas, l’action du président de la CNIL doit être engagée sur le fondement de l’article L 521-2 du code de justice administrative. Il faut rappeler que c’est une procédure d’extrême urgence (le juge doit statuer dans les 48 heures), permettant au juge d’ordonner toutes mesures nécessaires à la sauvegarde d’une liberté fondamentale à laquelle une autorité administrative aurait porté une atteinte grave et manifestement illégale.
En ce qui concerne l’application de l’article R.555-1 du code de justice administrative, je vois pour la jurisprudence future du Conseil d’Etat une belle question à trancher du fait de la combinaison de la loi de 2018 avec l’article L 521-2 du même code : En cas de saisine d’une juridiction administrative dans le cadre d’un référé liberté par le président de la CNIL, est ce que c’est la condition d’une urgence simple qui s’applique, ce qui pourrait résulter de la loi du 20 juin 2018, ou la condition d’extrême urgence telle qu’elle est prévue par la procédure du référé-liberté… ?
Ajoutons qu’une autre disposition du code de justice administrative prévoit, depuis 2005, une procédure semblable en ce qui concerne un autre référé possible devant la juridiction administrative, dit référé mesures utiles (L.521-3 du code de justice administrative). Toute personne peut demander au juge administratif des référés de prononcer « toutes mesures utiles de nature à éviter toute dissimulation ou toute disparition de données à caractère personnel par l’Etat, une collectivité territoriale ou toute autre personne publique ».
b) sur l’action de groupe :
Des questions relatives à l’intérêt ou la qualité pour agir se posent en ce qui concerne l’application de l’article 80 du RGPD :
– L’article 80 du RGPD confère en effet directement à la personne dont les droits ont été violés le droit de « mandater un organisme, une organisation ou une association à but non lucratif, …, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour introduire une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit ». Observons que qu’il s’agit là d’un droit directement conféré à la personne, et qui est donc directement applicable en droit interne français. Pour la France, il concerne spécialement les recours en responsabilité, ou les recours de pleine juridiction. Rappelons que la juridiction administrative française ne juge pas les seuls recours en annulation d’une décision administrative, mais qu’une part très importante de son activité est consacrée à l’examen des recours en responsabilité contre les personnes publiques.
L’article 80 du RGPD consacre l’abandon d’un principe fondamental qu’on appliquait traditionnellement devant la juridiction administrative française, qui disait : « Nul ne plaide par procureur » « nemo petit ab accusatore ». La jurisprudence traditionnelle qui interdit à un groupement, par exemple un syndicat ou une association, d’introduire directement un recours au lieu et place de la personne lésée n’est ainsi, dans la matière de la protection des données à caractère personnel, plus valable, du moins pour les recours tendant à engager la responsabilité des personnes publiques, Etat, communes, etc…
Les commentateurs estiment qu’ainsi, le RGPD prévoit une action de groupe. On vise ainsi une procédure de poursuite collective qui permet par exemple à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir en justice. Les plaignants peuvent par exemple se défendre avec un seul dossier et un seul avocat. Précisons que ces actions de groue peuvent donner au lieu à des actions devant l’ensemble des juridictions administratives.
En fait, l’action de groupe a été introduite en France dès 2014, dans le domaine de la consommation , et elle a fait l’objet d’une loi n° 2016-1547 du 18 novembre 2016, dite de modernisation de la justice du XXIe siècle, qui a créé un cadre légal commun aux actions de groupe en matière judiciaire et administrative et qui vient modifier profondément, voire bouleverser, les règles traditionnelles, notamment en matière d’intérêt et de qualité pour agir.
Cette loi de 2016, qui a entrainé une modification du code de justice administrative, a été adoptée après l’édiction du RGPD, mais avant son entrée en vigueur, ce qui fait que le code de justice administrative a défini, sur la base de la loi de 2016, avec un grand luxe de détails, la portée des actions de groupe en général et aussi en particulier des actions ouvertes sur le fondement de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (article 43 ter).
L’action de groupe prend deux formes : elle peut être exercée en vue soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices subis, soit de la cessation du manquement mentionné au premier alinéa, soit les deux en même temps. Selon le code de justice administrative modifié, lorsque l’action de groupe tend à la cessation d’un manquement, le juge, s’il constate l’existence de ce manquement, dispose d’un pouvoir d’injonction au défendeur de cesser ou de faire cesser ledit manquement et de prendre, dans un délai qu’il fixe, toutes les mesures utiles à cette fin.
Cependant, pour tenir compte du RGPD, la loi du 18 novembre 2016 a dû être modifiée par la loi du 20 juin 2018, avec l’objectif en particulier de préciser les conditions d’application du code de justice administrative relative aux actions de groupe en matière de manquement par une personne publique aux dispositions du RGPD.
L’idée principale à retenir est que l’action de groupe est limitée aux :
1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
2° Les associations de défense des consommateurs représentatives au niveau national et agréées,
3° Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.
– L’article 81 du RGPD introduit une sorte de sursis à statuer pour les juridictions européennes au cas où une action contre le même responsable du traitement ou le même sous-traitant est pendante devant la juridiction d’un autre Etat membre, toute juridiction compétente autre que la première juridiction saisie en premier lieu peut « suspendre son action », c’est-à-dire surseoir à statuer. Il y a là, selon le règlement, une possibilité et non une obligation.
Par ailleurs, le RGPD contient, en son article 82, des dispositions spécifiques aux recours en responsabilité : Il confère à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. A vrai dire, et sous réserve de règles relatives à la solidarité et à la subrogation entre plusieurs responsables du traitement ou sous-traitants en cas de dommage causé par un traitement, les règles fondamentales en vigueur dans le droit interne français ne paraissent pas substantiellement modifiées, notamment au niveau des règles d’imputabilité.
3° Les incidences sur l’activité du juge :
Enfin, je me bornerai à évoquer que, dans le cadre des « marges de manœuvre nationales », la loi du 20 juin 2018 précise, en son article 10, « qu’aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne ».
Dans cette optique, l’anonymisation des décisions de justice contenues dans les banques de données devant la juridiction administrative française, qui est en pratique depuis quelques années déjà, va dans le sens du RGPD.
IV JURISPRUDENCE
Je n’ai pas trouvé de jurisprudence récente quant aux questions soulevées par l’entrée en vigueur du RGPD et de la loi du 20 juin 2018, à part la décision du conseil constitutionnel n° 2018-765 DC du 12 juin 2018, évoquée plus haut.
Je me limiterai à citer les quelques décisions suivantes :
– Conseil constitutionnel n°2016-536 QPC du 19 février 2016, Ligue des droits de l’Homme, cons. 11 et 14 : A cet égard, si le contexte de l’état d’urgence justifie l’exercice d’un contrôle juridictionnel a posteriori sur des mesures de perquisition administrative, il ne saurait pour autant permettre la saisie de données informatiques, ni leur exploitation, sans l’autorisation préalable d’un juge :
– 9 mars 2018 : la CNIL, en tant que personnalité chargée de s’assurer du contrôle de la liste noire, et donc ici requérante, saisit le tribunal administratif de Paris pour contester la décision du ministre de l’intérieur selon laquelle 4 publications d’Indymedia, qui revendiquaient des incendies commis dans plusieurs villes de France seraient des incitations au terrorisme. (Source site Nextimpact).
– Conseil d’Etat : 3 juin 2013 n° 328634 : le Conseil a décliné sa compétence en premier et dernier ressort pour statuer sur un recours formé contre une décision de la CNIL refusant l’accès aux données d’un fichier à un demandeur par le ministre de l’intérieur. En fait, il ne s’agissait pas d’une véritable décision de la CNIL, qui s’était bornée en l’espèce à notifier une décision du ministre de l’intérieur.
– Conseil d’Etat 7 février 2014 : sur une sanction 150 000 euros prononcée par la CNIL contre Google pour manquement aux règles de protection des données. Pas d’urgence à statuer.
– Conseil d’Etat Ordonnance du 19 février 2008 : premier référé suspension à l’encontre d’une décision de sanction de la CNIL. Le juge des référés rejette la requête d’une demande de suspension de l’exécution d’une décision de la CNIL enjoignant de cesser la mise en œuvre d’un traitement. Le Conseil d’Etat juge que la CNIL est une juridiction au sens de l’article 6-1 de la Convention Européenne des Droits de l’Homme. La CNIL doit donc agir comme un tribunal indépendant et impartial et ses audiences doivent être publiques.
– CONCLUSION
Sujet qui combine la complexité de l’informatique et du droit ! L’impression dominante est la complexité de l’articulation entre le droit national et le droit européen. Le juge national, et dans notre cas, le juge administratif est, bien sûr, chargé de l’application du droit national. Il est aussi chargé, selon le système voulu par les Traités européens, de l’application du droit européen, sous réserve du renvoi à la Cour de justice de l’union européenne, en assurant le cas échéant, la supériorité de ce droit sur les lois et les règlements adoptés au niveau national. Ce système n’est pas simple, mais il fonctionne bien somme toute, sous réserve du délicat problème que peut poser un éventuel conflit pour le juge entre l’application les normes européennes et les normes constitutionnelles de droit interne. En tout cas, dans cette pyramide, le juge administratif tient sa place pour garantir les libertés des citoyens. Mais avec l’entrée en vigueur de ce RGPD, on voit qu’il apparaît nécessaire de faire évoluer la norme européenne dans la matière spéciale de la protection des données. Et dans cette matière, les procédures de contrôle juridictionnel par le juge administratif, qui ces dernières années, ont connu en France, une profonde évolution, essentiellement avec l’introduction dans les années 2000 des procédures de référé suspension et de référé liberté), s’adaptent, aux prix d’une complexité au niveau des normes qui devient toujours plus grande : les dérogations, les exceptions, les procédures particulières se multiplient, au point que l’architecture générale peut devenir difficile à comprendre pour le requérant et pour le praticien lui-même. Est-ce le signe d’une crise du droit ? une crise du contrôle juridictionnel, en particulier du système de dualité de juridictions ? Est-ce un aspect de la crise européenne ? Est-ce simplement une complexité nécessitée par le monde actuel ? Je vous laisse le soin d’y réfléchir