Décision n° 2004-499 DC du 29 juillet 2004 - Observations du gouvernement
Le Conseil constitutionnel a été saisi, par plus de soixante députés et plus de soixante sénateurs, de deux recours dirigés contre la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978, adoptée le 15 juillet 2004.
Les auteurs des recours articulent à l'encontre de la loi, en particulier ses articles 2, 3 et 4, différents griefs qui appellent, de la part du Gouvernement, les observations suivantes.
*
* *
I/ Sur le grief tiré du défaut d'intelligibilité et de clarté de la loi
A/ Les députés et sénateurs requérants font d'abord valoir que la loi déférée manquerait aux exigences constitutionnelles d'intelligibilité et de clarté de la loi, notamment en ce qu'elle substituerait à deux régimes juridiques principaux, applicables respectivement aux fichiers publics et aux fichiers privés, sept nouveaux régimes juridiques distincts.
B/ Un tel grief ne pourra être retenu.
Le principe de clarté de la loi, qui découle de l'article 34 de la Constitution et l'objectif de valeur constitutionnelle d'intelligibilité de la loi, qui découle pour sa part des articles 4, 5, 6 et 16 de la Déclaration des droits de l'homme et du citoyen, imposent au législateur d'adopter des dispositions suffisamment précises et d'user de formules non équivoques (décision n°99-421 DC du 16 décembre 1999 ; décision n°2002-455 DC du 12 janvier 2002 ; décision n°2003-475 DC du 24 juillet 2003 ; décision n°2004-494 DC du 29 avril 2004). Mais on ne saurait soutenir que ce principe et cet objectif font obstacle, en soi, à ce que le législateur adopte des mesures rendant plus complexes les dispositifs en vigueur : la simple circonstance que des dispositions législatives accroissent la complexité d'un mécanisme existant ne les rendent pas contraires à la Constitution, dès lors qu'elles déterminent de façon précise et sans contradiction les nouvelles règles applicables (décision n°2000-437 DC du 19 décembre 2000 ; décision n°2001-447 DC du 18 juillet 2001 ; décision n°2001-453 DC du 18 décembre 2001 ; décision n°2004-494 DC du 29 avril 2004).
Au cas présent, il est vrai que la loi déférée modifie de façon substantielle la loi du 6 janvier 1978, aux fins de procéder à la transposition de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Les dispositions adoptées par le législateur trouvent directement leur origine dans les termes mêmes de la directive, ou traduisent la mise en oeuvre d'une option ouverte par cet instrument, ou encore régissent, pour conserver le cadre unitaire de la loi de 1978, des traitements qui ne relèvent pas du champ d'application de la directive.
La loi retient ainsi les principales orientations suivantes. Elle limite le champ des contrôles préalables aux seuls traitements présentant des risques effectifs d'atteintes aux droits et libertés, que ces traitements relèvent de personnes publiques ou de personnes privées. Elle investit la Commission nationale de l'informatique et des libertés (CNIL) du pouvoir de prendre des décisions directes en matière de contrôle préalable. Elle accroît substantiellement les pouvoirs de contrôle de la CNIL. Elle simplifie les formalités déclaratives pour les traitements exempts de risques. Elle renforce les droits des personnes concernées par les données, en particulier le droit d'information et le droit d'opposition.
Ces dispositions déterminent de façon suffisamment précise les nouvelles règles applicables. Elles ne manquent pas au principe de clarté de la loi ou à l'objectif d'intelligibilité de la loi. Au demeurant, on doit noter que, contrairement à ce qui est soutenu, elles n'ont pas pour effet de rendre sensiblement plus complexe le dispositif de la loi du 6 janvier 1978 dans sa rédaction en vigueur.
De ce point de vue, on doit relever que l'économie de la loi déférée conserve la dualité de régimes juridiques - déclaration et autorisation préalable - mis en place initialement en 1978. Il est vrai que la loi du 6 janvier 1978 dans sa version antérieure à la loi déférée distribuait ces deux régimes selon la nature publique ou privée du fichier - les traitements à finalité publique étant justiciables d'un contrôle préalable par la voie de l'autorisation et les traitements à finalité privée étant soumis à simple régime de déclaration -, alors que la loi déférée met en place une autre logique distribuant les régimes de l'autorisation et de la déclaration selon la nature des données et les risques particuliers qui s'attachent à certaines catégories spécifiques de traitements. Mais il faut relever que ce nouvel agencement résulte directement de l'obligation de transposer la directive 95/46/CE du 24 octobre 1995 qui retient une telle architecture. Ce faisant, la loi modifie certes le périmètre respectif des deux régimes juridiques applicables, mais elle conserve cette dualité de régimes et n'a pas pour effet, contrairement à ce qui est soutenu, de les multiplier.
Si l'on envisage l'ensemble du dispositif, avec ses différentes dérogations ou régimes particuliers, il faut indiquer que la loi du 6 janvier 1978, dans sa version en vigueur, comporte déjà 7 variantes de régimes de contrôle préalable. Il est exact que la loi déférée augmente légèrement le nombre total de variantes qui seront une dizaine. Mais on doit, à cet égard, souligner que le législateur a été soucieux ; à la fois, de maintenir le cadre symbolique, général et unitaire de la loi de 1978 et de prendre en compte la diversité des finalités des traitements, conformément à l'objectif imparti par la directive de proportionner les contrôles et les formalités aux risques effectifs d'atteinte aux droits et libertés.
Dans ces conditions, on ne peut sérieusement soutenir que la loi déférée aurait pour effet d'accroître de façon importante la complexité du dispositif de protection des personnes à l'égard des traitements des données à caractère personnel, ni qu'elle manquerait au principe de clarté de la loi ou à l'objectif d'intelligibilité de la loi.
II/ Sur l'article 2
A/ L'article 2 de la loi déférée, qui procède à la refonte du chapitre II de la loi n°78-17 du 6 janvier 1978, modifie notamment les articles 8 et 9 de la loi du 6 janvier 1978.
L'article 8 modifié interdit en principe de collecter ou de traiter des données à caractère personnel qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci. Il prévoit toutefois des dérogations à cette interdiction, dans la mesure où la finalité du traitement l'exige, dans certaines hypothèses limitativement énumérées, dont les « traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ».
S'agissant de cette dernière dérogation, les auteurs des recours font valoir qu'elle affaiblirait les garanties légales protégeant le droit au respect de la vie privée et la liberté individuelle et que le législateur n'aurait pas épuisé la compétence qu'il tient de l'article 34 de la Constitution.
L'article 9 modifié de la loi du 6 janvier 1978, pour sa part, énumère limitativement les personnes susceptibles de mettre en oeuvre des traitements de données relatives aux infractions, condamnations et mesures de sûreté. Au nombre des personnes visées figurent « 3 ° les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes » et « 4 ° les personnes morales mentionnées aux articles L 321-1 et L 331-1 du code de la propriété intellectuelle agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ».
A l'encontre de ces dernières dispositions, les députés et sénateurs requérants soutiennent qu'elles marqueraient un recul des garanties légales apportées au droit au respect de la vie privée et à la liberté individuelle, qu'elles seraient contraires à l'article 66 de la Constitution, à l'article 9 de la Déclaration des droits de l'homme et du citoyen et à l'article 34 de la Constitution.
B/ Ces différentes critiques ne pourront être retenues.
1/ Il convient, à titre liminaire et de façon générale, d'opposer à l'argumentation des recours les deux observations suivantes quant aux normes constitutionnelles applicables et au contrôle exercé par le Conseil constitutionnel.
En premier lieu, s'agissant des normes constitutionnelles applicables, on doit souligner que la jurisprudence du Conseil constitutionnel distingue aujourd'hui nettement le droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen, de la notion de « liberté individuelle » au sens de l'article 66 de la Constitution (décision n°99-416 DC du 23 juillet 1999 ; décision n°99-411 DC du 16 juin 1999 ; décision n°2003-467 DC du 13 mars 2003). Il en résulte qu'en matière de fichiers et de traitements de données, est certainement applicable le principe constitutionnel s'attachant au respect de la vie privée ; en revanche, l'article 66 de la Constitution, et la mission particulière qu'il assigne à l'autorité judiciaire, ne peut, pour sa part, être utilement invoqué (décision n°2003-467 DC du 13 mars 2003). Les critiques formulées par les recours au titre de l'article 66 de la Constitution ne pourront, par suite, qu'être écartées.
En second lieu, à propos de « l'effet cliquet » invoqué par les saisines, il faut marquer que cette notion ne correspond plus à l'état de la jurisprudence constitutionnelle (décision n°86-210 DC du 29 juillet 1986 ; décision n°97-389 DC du 22 avril 1997 ; décision n°98-396 DC du 19 février 1998 ; décision n°2001-446 DC du 27 juin 2001 ; décision n°2002-461 DC du 29 août 2002 ; décision n°2003-484 DC du 20 novembre 2003 ; décision n°2003-485 DC du 4 décembre 2003). Ainsi qu'il est exposé aux Cahiers du Conseil constitutionnel (n°16), en commentaire de la décision n°2003-485 DC du 4 décembre 2003, « en matière de libertés publiques, le Conseil a depuis longtemps renoncé à la tentation d'instaurer une règle générale de « non retour en arrière » ... Selon la jurisprudence relative à la modification des dispositions antérieures lorsque celles-ci garantissent une exigence constitutionnelle ..., il est à tout moment loisible au législateur, statuant dans le domaine qui lui est réservé par l'article 34 de la Constitution, de modifier les textes antérieurs ou d'abroger ceux-ci en leur substituant, le cas échéant, d'autres dispositions ; il ne lui est pas moins loisible d'adopter, pour la réalisation ou la conciliation d'objectifs de nature constitutionnelle, des modalités nouvelles dont il lui appartient d'apprécier l'opportunité et qui peuvent comporter la modification ou la suppression de dispositions qu'il estime excessives ou inutiles ; cependant, l'exercice de ce pouvoir ne saurait aboutir à priver de garanties légales des exigences de caractère constitutionnel ».
Au cas présent, la loi déférée procède à une refonte importante de la loi du 6 janvier 1978. Ce faisant, elle abroge parfois, sans les reprendre, certaines des dispositions en vigueur de cette loi ; mais elle met en place un nouvel équilibre qui, pris globalement, ne traduit pas un affaiblissement des garanties légales protégeant les exigences constitutionnelles, mais au contraire leur renforcement, alors que les procédés informatiques ont connu, depuis 1978, des évolutions considérables et que notre société se caractérise aujourd'hui par la multiplicité des modes d'enregistrement et d'échanges électroniques, par une diversification corrélative des risques liés à ces traitements et aussi par une très grande diffusion de traitements utiles et inoffensifs.
Dans ce contexte de mutation, la directive 95/46/CE du 24 octobre 1995 a tracé le cadre de ce nouvel équilibre et fixé un haut niveau de garanties, mettant au premier plan les contrôles a posteriori sans supprimer pour autant toute forme de contrôle a priori. La loi déférée, procédant à la transposition de cette directive, traduit cet équilibre qui apparaît, en termes d'effectivité, accroître sensiblement les garanties offertes aux personnes s'agissant des traitements de données à caractère personnel.
On peut, en particulier, souligner qu'elle met en place, s'agissant des contrôles a posteriori qui sont mieux ciblés et plus effectifs, des mesures coercitives d'investigation, qu'elle permet d'adresser aux responsables de traitements non seulement des avertissements mais encore des injonctions, qu'elle prévoit le verrouillage de l'accès à certaines données ou des mesures d'interruption du traitement ou de signalement au Premier ministre, qu'elle envisage le retrait des autorisations précédemment délivrées et qu'elle permet le prononcé de sanctions pécuniaires d'un montant élevé.
Il faut aussi relever que la réorientation du contrôle préalable vers un régime de déclaration des traitements ne conduit pas à un abaissement du niveau global de protection. En effet, on doit noter que si le champ de l'autorisation se réduit pour le secteur public, de nombreuses catégories de traitements privés entrent en revanche désormais dans le champ de l'autorisation. On doit aussi relever que la loi déférée renforce l'effectivité des droits d'opposition, d'accès et de rectification, en ce qu'elle étend le champ des données sensibles aux données de santé, prévoit une information obligatoire des intéressés en cas de collecte indirecte des données traitées, supprime l'exigence d'une raison légitime pour exercer le droit d'opposition s'agissant des traitements à finalité de prospection et améliore l'exercice du droit d'accès indirect. Il faut, enfin, insister sur l'extension des pouvoirs d'investigation et de sanction, y compris pécuniaire, qui sont confiés à la Commission nationale de l'informatique et des libertés (CNIL).
A cet égard, on peut indiquer que les membres de la CNIL et ses agents pourront accéder, entre 6 heures et 21 heures, à tout local servant à la mise en oeuvre d'un traitement de données à caractère personnel et se faire communiquer toute pièce utile à leur mission. Le délit d'entrave est puni d'un an d'emprisonnement et de 15.000 euros d'amende. On peut aussi relever que la CNIL est investie du pouvoir d'infliger des sanctions administratives graduées - avertissements, injonctions de cesser le traitement, sanctions pécuniaires pouvant aller jusqu'à 150.000 euros pour un premier manquement et 300.000 euros en cas de récidive, dans la limite de 5 % du chiffre d'affaires. En cas d'urgence et de violation des droits et libertés, la CNIL pourra procéder dans certains cas, sauf pour les fichiers dits de souveraineté ou relatifs à des missions essentielles de l'Etat, à l'interruption de la mise en oeuvre du traitement ou au verrouillage de certaines des données à caractère personnel. Elle peut rendre publiques ces sanctions. Elle peut également informer le Premier Ministre des violations constatées, celui-ci faisant connaître à la CNIL les suites qu'il donne à cette information. Elle peut encore saisir l'autorité judiciaire.
Dans ces conditions, on ne saurait considérer, comme le font les auteurs des recours, que les garanties présentées par la loi de 2004 relative à la protection des données à caractère personnel constituent un recul manifeste par rapport au niveau des garanties légales apportées jusqu'alors aux droits et libertés par la loi du 6 janvier 1978. La loi déférée n'a donc pas privé les exigences constitutionnelles liées au respect de la vie privée de garanties légales ; elle les a, au contraire, globalement renforcées en mettant en place un dispositif plus adapté aux caractéristiques actuelles des traitements de données à caractère personnel.
2/ S'agissant des critiques adressées à l'article 8 de la loi du 6 janvier 1978 modifié par l'article 2 de la loi déférée, il sera d'abord observé que les dispositions contestées, figurant au 5 ° du II de l'article 8 modifié, procèdent à la transposition littérale de la seconde partie du e du paragraphe 2 de l'article 8 de la directive 95/46/CE du 254 octobre 1995. Les termes de l'article 8 de la directive, tant en ce qui concerne le principe d'interdiction de collecte et de traitement de données sensibles qu'en ce qui concerne ses dérogations, sont inconditionnels et précis et présentent un caractère impératif. Les recours ne peuvent, dans ces conditions, pas utilement critiquer leur conformité à la Constitution (décision n°2004-496 DC du 10 juin 2004).
Au demeurant, et en tout état de cause, les dispositions critiquées du 5 ° du II de l'article 8 de la loi du 6 janvier 1978 modifiée ne peuvent être regardées comme privant de garanties légales les exigences constitutionnelles du respect de la vie privée ; elles ne sont pas davantage entachées d'incompétence négative.
Le législateur communautaire - et après lui le législateur national - a, en effet, entendu opérer une conciliation entre le respect de la vie privée et le droit d'ester en justice nécessaire à la protection des victimes. La loi déférée permettra ainsi, par exemple, à un auxiliaire de justice de traiter des données sensibles en vue d'effectuer une constatation, de réaliser une expertise, ou d'assurer la défense du responsable du traitement ; de même le juge pénal pourra entreprendre des investigations portant sur des facteurs de discrimination.
Le législateur a, de plus, déterminé sans méconnaître l'article 34 de la Constitution le champ de la dérogation et son encadrement. Comme toute dérogation, elle est d'interprétation stricte ; la loi rappelle en outre, conformément à la directive, que les traitements la mettant en oeuvre doivent être « nécessaires à la constatation, l'exercice ou la défense d'un droit en justice » ; elle précise aussi que les dérogations ne sont autorisée que « dans la mesure où la finalité du traitement l'exige ». Ainsi, au regard de ces exigences, ne pourrait être considérée comme licite la création préventive par des entreprises de fichiers non rendus indispensables par l'exercice actuel d'un droit et seulement susceptibles d'être utilisés ultérieurement pour étayer une action à l'encontre d'un salarié ou de quelque autre personne.
On doit aussi relever qu'ainsi qu'il a été dit précédemment la loi déférée met en place des procédures rigoureuses de contrôle a posteriori applicables notamment à ces traitements dérogatoires. La CNIL sera en effet en mesure d'exercer l'intégralité de ses pouvoirs d'investigation, d'injonction et de sanction à l'égard de ces traitements. Par ailleurs, il relèvera de l'office du juge d'écarter des débats des données qui auraient été obtenues en violation des principes protecteurs de la vie privée.
Dans ces conditions, les griefs adressés par les recours aux dispositions nouvelles du 5 ° du II de l'article 8 de la loi du 6 janvier 1978, modifié par la loi déférée, ne pourront être retenus par le Conseil constitutionnel.
3/ L'article 9 de la loi du 6 janvier 1978 modifié par l'article 2 de la loi déférée énumère, pour sa part, les personnes qui seront susceptibles de mettre en oeuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté. Il s'agit des juridictions et plus généralement les autorités chargées d'un service public agissant dans le cadre de leurs attributions légales, des auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi, des personnes morales victimes d'infractions ou agissant pour le compte de ces victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que la réparation du préjudice subi et des personnes morales mentionnées aux articles L 321-1 et L 331-1 du code de la propriété intellectuelle aux fins d'assurer la défense des droits dont elles assurent la gestion.
En l'état de la législation en vigueur, l'article 30 de la loi du 6 janvier 1978 limitaient aux juridictions et autorités publiques et, sur avis conforme de la CNIL, aux personnes morales chargées de la gestion d'un service public la possibilité de mettre en oeuvre des traitements enregistrant des faits et comportements constitutifs en eux-mêmes d'une infraction pénale précisément prévue et réprimée. L'article 30 avait pour effet d'interdire aux autres personnes d'instituer de tels traitements. N'entraient en revanche pas dans le champ de cette interdiction les fichiers incluant des données qui, recoupées avec des éléments extérieurs auxdits fichiers, étaient de nature à permettre la constatation d'une infraction.
Les saisines contestent que la loi ait prévu la possibilité de constituer de tels fichiers pour les deux catégories de personnes énoncées respectivement au 3 ° et 4 ° de l'article 9 modifié.
Il faut toutefois, au plan juridique, distinguer ces deux hypothèses, eu égard aux termes qui ont été utilisés par le législateur.
a) S'agissant, en premier lieu, des personnes morales victimes d'infractions ou agissant pour le compte de telles victimes mentionnées au 3 ° de l'article 9, il importe de relever que le législateur a renvoyé à une loi ultérieure le soin de déterminer les conditions dans lesquelles les traitements en cause pourront être mis en oeuvre. Tant que cette loi ne sera pas intervenue, la disposition du 3 ° de l'article 9 modifié n'est pas susceptible d'être appliquée.
Un tel renvoi à une loi ultérieure a pour effet de priver de portée cette disposition, dont la conformité à la Constitution ne peut, par suite, pas être utilement contestée (décision n°82-142 DC du 27 juillet 1982 ; décision n°85-196 DC du 8 août 1985).
On peut toutefois faire valoir que la mise en oeuvre de ces traitements par les personnes mentionnées au 3 ° de l'article 9, lorsque la loi ultérieure sera intervenue, pourra se recommander des termes du paragraphe 5 de l'article 8 de la directive 95/46/CE du 24 octobre 1995 et de ceux du d du paragraphe 1 de l'article 13 de cette même directive. On peut indiquer qu'au cours de la négociation communautaire, plusieurs délégations ont mis en avant l'intérêt qu'il y aurait à permettre à des organismes privés ou publics de constituer des fichiers comportant certaines dérogations aux principes figurant à l'article 6 de la directive, dans un objectif de prévention, de recherche, de détection et de poursuites d'infractions pénales. Depuis lors, la Commission européenne a déposé une proposition de directive sur les services de paiement dans le marché intérieur qui tend notamment à faire obligation aux Etats membres d'appliquer les dérogations prévues à l'article 13 paragraphe 1 d) de la directive 95/46/CE du 24 octobre 1995 en matière de fraude au paiement. Le dispositif du 3 ° de l'article 9 modifié pourrait ainsi être mis en oeuvre à l'avenir, par des lois ultérieures, pour lutter contre le développement de certaines fraudes sectorielles importantes, comme la fraude à la carte bancaire ou la fraude à l'assurance. En cas d'intervention de ces lois ultérieures, on doit préciser, en tout état de cause, que ces traitements entreraient dans le champ de l'article 25 de la loi du 6 janvier 1978 modifiée et ne pourraient être mis en oeuvre qu'après autorisation délivrée par la CNIL.
b) S'agissant, en second lieu, des personnes morales visées au 4 ° de l'article 9 modifié, la loi déférée permet, par elle-même, la mise en oeuvre des traitements considérés, dans le cadre général de la loi de 1978 modifiée.
Le législateur a, en effet, fait le choix d'utiliser, pour le cas particulier de la protection des droits d'auteurs et des droits voisins, la faculté laissée par les articles 8 et 13 de la directive 95/46/CE du 24 octobre 1995. Les pouvoirs publics sont, en effet, particulièrement soucieux de renforcer la lutte contre les atteintes aux droits d'auteurs que le développement récent des techniques a permises sur une grande échelle.
Le téléchargement de fichiers (musique, vidéo) constitutifs d'oeuvres protégées distribués sur l'internet, sans consentement de leurs auteurs et ayants droit, ainsi que la mise à disposition de tels fichiers sur un service de communication au public en ligne ou à travers un système d'échange de fichiers entre internautes (réseaux peer to peer) sont constitutifs de contrefaçon au sens de l'article L 335-4 du code de la propriété intellectuelle. Le développement des réseaux à haut débit a permis l'explosion des échanges illicites de fichiers protégés. Ainsi, on estime aujourd'hui ces échanges à 16 millions de titres de musique et à 1 million de films par jour, en France, soit environ trois fois les ventes sur support CD et DVD. Cette forme nouvelle de contrefaçon cause un préjudice important aux créateurs. Elle pourrait remettre en cause la viabilité économique des créations les plus fragiles et ainsi nuire à la diversité culturelle. La défense de la création et de la diversité culturelle fait donc de la lutte contre la contrefaçon une action d'intérêt public.
Face à la multiplication des atteintes ainsi portées aux droits de propriété littéraire et artistique, qui individuellement représentent un préjudice unitaire modéré mais, prises ensemble, représentent un préjudice très important, il apparaît nécessaire de faciliter la constatation de ces infractions de manière automatisée. C'est pourquoi le Conseil supérieur de la propriété littéraire et artistique, dans un avis rendu le 2 mars 2004, a souhaité que la réforme en cours de la loi du 6 janvier 1978 soit l'occasion de trouver, dans le respect des droits fondamentaux et des objectifs de la directive du 24 octobre 1995, une solution permettant aux titulaires de droits d'auteur ou de droits voisins et aux organismes agissant pour leur compte, de procéder à la constitution de fichiers permettant d'assurer une protection de ces droits.
Le dispositif introduit au 4 ° de l'article 9 de la loi du 6 janvier 1978 modifiée permettra aux personnes morales représentatives des ayants droit de mettre en place des outils collectant les adresses des ordinateurs (dites adresses internet protocol IP) d'utilisateurs de réseaux d'échange peer to peer permettant le téléchargement illicite d'oeuvres protégées. Ces fichiers de données de connexion (adresses IP, date et heures de connexion), données indirectement nominatives, devraient permettre d'identifier les infractions les plus caractérisées, compte tenu de l'importance de la mise à disposition, sans autorisation des ayants droit, de fichiers protégés ou de la participation active à la mise en place d'un réseau d'échange d'oeuvres. La constitution de cette preuve est indispensable à la mise en oeuvre d'actions judiciaires à l'encontre des contrefacteurs.
Il importe cependant de souligner que cette disposition ne permet pas, à elle seule, de constituer des fichiers de personnes se livrant, au moyen de logiciels de peer to peer, à des contrefaçons. En effet, si les sociétés d'auteurs peuvent, à l'aide de cette disposition, constituer des fichiers contenant les paramètres de connexion de personnes mettant à disposition des internautes des oeuvres sans autorisation de leur auteur, elles ne peuvent constituer des fichiers avec l'identité de ces personnes. L'identification de l'auteur ne peut se faire qu'à partir d'un rapprochement entre l'adresse IP et l'identité de l'abonné à qui le fournisseur d'accès à l'internet a attribué cette adresse. L'obtention des données d'identification des personnes connectées au réseau ne pourra s'opérer que sur réquisition du juge. En effet, ces données de connexion détenues par les fournisseurs d'accès en application de l'article L. 32-3-1 du code des postes et télécommunications ne peuvent être obtenues que par l'autorité judiciaire « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Par ailleurs, la conservation de ces données de connexion par les opérateurs de télécommunication est limitée par le même article à une durée d'un an, au-delà de laquelle le rapprochement ne sera plus possible.
La disposition du 4 ° de l'article 9 de la loi de 1978 modifiée s'inscrit ainsi dans une perspective de renforcement des moyens de lutte contre la contrefaçon. Il complète notamment l'article 8 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique qui, au sein de l'article L 332-1 du code de la propriété intellectuelle, étend à la communication publique en ligne les pouvoirs du président du tribunal de grande instance, statuant par ordonnance sur requête, selon la procédure spécifique de la saisie-contrefaçon. En outre, la faculté offerte aux organismes de défense des ayants droit de constituer des fichiers de données indirectement nominatives renforcerait la mise en oeuvre du plan d'action du Gouvernement contre le piratage sur l'internet. Un projet de charte entre les fournisseurs d'accès à l'internet et les ayants droit prévoit un certain nombre de mesures visant à prévenir, dissuader et réprimer le piratage, mais aussi à développer les offres légales, payantes et attractives.
Il faut souligner que la possibilité de mise en oeuvre de tels traitements de données a été précisément circonscrite par le législateur. L'autorisation de constituer des fichiers est conférée aux sociétés de perception et de répartition des droits (SPRD) d'auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes constituées sous forme de sociétés civiles (article L 321-1 du code de la propriété intellectuelle) ainsi qu'aux organismes de défense professionnelle régulièrement constitués (article L 331-1 du code de la propriété intellectuelle) qui ont qualité pour ester en justice pour la défense des droits ou des intérêts dont ils ont statutairement la charge. Il s'agit notamment de la société des auteurs, compositeurs et éditeurs de musique (SACEM), de la société civile pour l'exercice des droits des producteurs phonographiques (SCPP), de la société civile des auteurs, réalisateurs et producteurs de cinéma (ARP) ou d'associations représentant les titulaires de droits (par exemple, l'Association de lutte contre la piraterie audiovisuelle).
La faculté offerte à ces personnes morales s'inscrit dans le cadre des moyens de constatation des infractions spécifiques au code de la propriété intellectuelle. Il convient de rappeler qu'aux termes de l'article L 331-2 du code de la propriété intellectuelle, la preuve de la matérialité de toute infraction aux dispositions des livres Ier, II et III du code de la propriété intellectuelle peut résulter des constatations d'agents assermentés désignés par les organismes professionnels d'auteurs et par les sociétés de gestion et de répartition des droits et agréés par le ministre chargé de la culture. De strictes conditions entourent la détermination des personnes chargées de ces constats : elles doivent être salariées de la SPRD ou l'organisme de défense des intérêts professionnels et ne peuvent exercer cette mission qu'après avoir satisfait à la double condition de l'agrément du ministre de la culture et de la prestation de serment. L'agrément est délivré à titre individuel pour une durée de 5 ans par le ministre de la culture sur la base d'une dossier comprenant un extrait de casier judiciaire B3, une présentation de la personne par la société de perception et de répartition ou le syndicat professionnel, justifiant de ses qualifications pour exercer cette fonction. La prestation de serment n'intervient qu'après agrément. Le ministre de la culture est informé des cessations de fonction des agents assermentés.
On doit relever, aussi, que les traitements en cause seront soumis au régime le plus strict de la loi du 6 janvier 1978 modifiée par la loi déférée. Ces traitements devront faire l'objet d'une autorisation préalable délivrée directement par la CNIL, à laquelle il appartiendra de circonscrire le contenu et la portée des données de nature pénale susceptibles de figurer dans ces fichiers ainsi que leur durée de conservation et de s'assurer de la justification de la poursuite de l'intérêt général que constitue la protection des droits prévus aux livres Ier, II et III du code de la propriété intellectuelle. La CNIL exercera également un contrôle sur la finalité spécifique du fichier, en particulier eu égard à sa vocation préventive ou répressive. Elle pourra naturellement faire usage de ses pouvoirs d'investigation et de contrôle a posteriori, qui comportent celui de retirer l'autorisation initialement accordée au responsable de traitement.
Il convient enfin de rappeler, comme il a été dit, que s'agissant de la collecte de données telles que les adresses IP (Internet protocol) des internautes se livrant à des activités de contrefaçon le caractère seulement indirectement nominatif de ces adresses ne permet d'accéder à l'identité réelle des intéressés qu'après rapprochement avec les données de connexion uniquement détenues par les opérateurs de télécommunications. Un tel rapprochement ne pourra intervenir que dans le cadre d'une procédure judiciaire, seule l'autorité judiciaire et les officiers de police judiciaire étant habilités à accéder à ces données.
Dans ces conditions, il apparaît au Gouvernement que les griefs adressés par les recours au 4 ° de l'article 9 de la loi de 1978 modifiée pourront être écartés.
III/ Sur l'article 3
A/ L'article 3 de la loi déférée modifie notamment l'article 21 de la loi du 6 janvier 1978 et dispose que les détenteurs et utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la Commission nationale de l'informatique et des libertés (CNIL) et doivent prendre toutes mesures utiles afin de faciliter sa tâche. Cet article précise, en outre, que « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions.
Les auteurs des recours estiment que ces dispositions priveraient de garanties légales les exigences constitutionnelles de protection de la vie privée et de la liberté individuelle.
B/ Une telle critique manque en fait.
La loi déférée n'a, en effet, nullement pour portée de rendre opposable aux membres de la CNIL et à ses agents un secret qui, en l'état de la législation en vigueur, ne serait pas susceptible de leur être opposé. Sans doute aucune disposition en vigueur de la loi du 6 janvier 1978 ne précise-t-elle, explicitement, que le secret professionnel est opposable aux investigations de la CNIL. Mais l'absence de toute disposition expresse conduit précisément à considérer que le secret professionnel leur est opposable, dès lors qu'une disposition législative expresse est nécessaire pour déroger aux articles 226-13 et 226-14 du code pénal qui répriment la violation du secret professionnel.
Il faut noter, à cet égard, que ni les dispositions en vigueur de l'article 21 de la loi du 6 janvier 1978 ni celles de son article 13, selon lesquelles « les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion » ne valent levée du secret professionnel. En particulier, l'obligation de confidentialité des informaticiens ne peut être assimilée au secret professionnel protégé par le code pénal. A titre de comparaison, on peut rappeler que le secret professionnel demeure opposable au juge civil (V. par exemple Cass. Civ. I, 21 juin 1988, Bull. Civ. n°201, à propos du secret médical) et qu'il justifie un encadrement des pouvoirs d'investigation du juge pénal (V. Cass. Crim. 14 janvier 2003). Il est, en effet, essentiel que certaines professions, tels les médecins et les avocats, puissent bénéficier de la protection d'un tel secret qui a été instauré pour garantir des droits fondamentaux de la personne. On doit d'ailleurs noter que ce secret ne saurait être invoqué de mauvaise foi par des responsables de traitements, sous peine de les exposer aux sanctions réprimant le délit d'entrave aux investigations de la CNIL réprimé par l'article 51 de la loi de 1978 modifié.
Ainsi, la loi déférée n'a pas pour objet ou pour effet de rendre opposable à la CNIL un secret dont elle aurait pu, en l'état de la législation antérieure, exiger que l'on s'affranchisse. La disposition critiquée ne peut, par suite, être regardée comme privant de garanties légales des exigences constitutionnelles.
IV/ Sur l'article 4
A/ L'article 4, procédant à la refonte du chapitre IV de la loi du 6 janvier 1978, modifie notamment les articles 22 et 26 de cette loi.
L'article 22 modifié prévoit que les traitements automatisés de données à caractère personnel qui ne relèvent pas des articles 25, 26, 27 et 36 font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. Le III de l'article 22 dispense toutefois de cette formalité les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel.
Les recours critiquent cette dernière disposition en soutenant qu'elle prive les exigences constitutionnelles des garanties mises en place par la loi du 6 janvier 1978. Ils font aussi valoir qu'elle serait entachée d'incompétence négative.
Pour sa part, l'article 26 modifié énumère les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui sont autorisés par arrêté ministériel après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
Les parlementaires requérants relèvent que le législateur a, ce faisant, supprimé l'obligation antérieurement requise d'un avis conforme de la Commission nationale de l'informatique et des libertés et font valoir que cette modification serait contraire aux exigences constitutionnelles résultant de l'article 2 de la Déclaration des droits de l'homme et du citoyen et de la liberté individuelle.
B/ De telles critiques ne sont pas fondées.
1/ S'agissant du III de l'article 22 de la loi du 6 janvier 1978 modifié par l'article 4 de la loi déférée concernant le correspondant pour la protection des données, on doit relever que ce mécanisme correspond à la mise en oeuvre d'une option ouverte par le paragraphe 2 de l'article 18 de la directive 95/46/CE du 24 octobre 1995. Sur la proposition du Gouvernement et en plein accord avec la CNIL, le législateur a décidé de retenir cette option en raison du caractère très positif que l'on peut attendre de l'intervention de ces correspondants.
Une telle intervention est, en effet, de nature à permettre à la CNIL de s'appuyer sur de nouveaux interlocuteurs pour l'exercice de ses missions. Elle présente une vertu pédagogique et permettra de faire progressivement partager une culture de protection des données à caractère personnel. Elle favorisera une adéquate autorégulation. Dans ce cadre, le salarié investi des fonctions de correspondant jouera un rôle d'interface entre le responsable des traitements et la CNIL, assistant le responsable des traitements pour les gérer au mieux et collaborant avec la CNIL, notamment en tenant une liste des traitements.
On doit relever que la loi a précisément limité la portée de ce mécanisme, en prévoyant que la désignation d'un correspondant ne pouvait avoir pour conséquence que de dispenser des formalités de déclaration des traitements. La loi ne prévoit en effet de dispense que pour les formalités prévues aux articles 23 et 24, c'est à dire des seules obligations déclaratives. Demeurent en revanche pleinement applicables les dispositions relatives à l'autorisation préalable résultant des articles 25 à 27 de la loi modifiée quand les traitements d'un organisme ayant désigné un correspondant entrent dans le champ des contrôles approfondis prévus par ces articles. Par ailleurs, le législateur a également écarté la dispense de formalités pour les traitements qui comportent des transferts de données à destination d'un Etat extérieur à l'Union européenne.
On doit noter, en outre, que le correspondant pour la protection des données a notamment pour mission de tenir une liste des traitements mis en oeuvre et de la rendre accessible à toute personne qui en ferait la demande. La CNIL pourra naturellement en disposer et mettre en oeuvre l'intégralité de ses pouvoirs de contrôle a posteriori. En cas de violation des dispositions de la loi, la CNIL pourra enjoindre le responsable du traitement de procéder aux formalités dont la désignation du correspondant l'avait dispensé. La CNIL exercera un contrôle direct sur les conditions d'accomplissement de leurs missions par les correspondants : en cas de manquement constaté d'un correspondant à ses devoirs, elle pourra prendre l'initiative d'une procédure conduisant à décharger l'intéressé de ses fonctions.
Il faut enfin relever que la loi déférée, conformément aux termes de la directive qui précisent que le correspondant doit accomplir sa mission « d'une manière indépendante », a mis en place des garanties adaptées en instituant un régime protecteur du salarié exerçant les fonctions de correspondant. La loi énonce ainsi que l'exercice de la fonction ne pourra faire l'objet d'aucune sanction de la part de l'employeur et que le correspondant pourra saisir la CNIL des difficultés qu'il rencontre dans l'exercice de ses missions. Contrairement à ce qui est soutenu par les saisines, le législateur n'était pas contraint par des exigences constitutionnelles d'instituer des garanties supérieures. En particulier, la situation des correspondants pour la protection des données n'est pas identique à celle des salariés investis d'un mandat de représentation dans l'entreprise susceptibles de se réclamer des termes du huitième alinéa du Préambule de la Constitution du 27 octobre 1946 : le législateur n'était ainsi nullement tenu de faire bénéficier les correspondants pour la protection des données du régime spécial prévu par le code du travail pour les salariés protégés.
2/ S'agissant des critiques adressées au I de l'article 26 de la loi du 6 janvier 1978 modifié par l'article 4 de la loi déférée à propos de l'avis conforme de la CNIL, il faut d'abord relever que ce I ne porte que sur des traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui ne contiennent pas de données sensibles au sens de l'article 8 modifié de la loi de 1978. Pour ceux des traitements visés à l'article 26 qui contiennent des données sensibles, la procédure applicable est celle du II de cet article, qui prévoit l'intervention systématique d'un décret en Conseil d'Etat après avis motivé et publié de la CNIL. La procédure critiquée par les saisines faisant intervenir un arrêté ministériel pris après avis motivé et publié de la CNIL ne concerne que des fichiers ou traitements qui ne portent pas sur des données sensibles et qui présentent, en conséquence, un risque moindre pour les droits et libertés des personnes concernées.
Sans doute le législateur a-t-il substitué, dans ces cas, une obligation d'avis préalable, motivé et publié de la CNIL au mécanisme d'avis conforme auquel, sur le fondement de l'article 15 de la loi en vigueur, on peut passer outre par décret en Conseil d'Etat. Mais cette seule modification ne peut être regardée comme privant de garanties légales les exigences constitutionnelles résultant du droit au respect de la vie privée, dès lors que, comme il a été dit, le niveau global de protection assuré par le nouvel équilibre législatif permet de garantir ces exigences constitutionnelles.
On peut relever les difficultés techniques qui ont été rencontrées, depuis 1978, dans la mise en oeuvre de la procédure l'avis conforme, laquelle est apparue, à l'usage, source de complications inutiles. C'est pourquoi, la procédure unique de l'avis conforme sauf passer-outre a été remplacée par une articulation plus adaptée de plusieurs procédures : autorisation par décision directe de la CNIL pour les catégories de traitements énumérées à l'article 25 modifié de la loi de 1978, décret en Conseil d'Etat après avis motivé et publié de la CNIL pour les traitements visés au II de l'article 26 modifié de la loi de 1978, arrêté ministériel après avis motivé et publié de la CNIL pour les traitements de l'Etat, ne comprenant pas de données sensibles, visés au I de l'article 26 modifié.
On doit aussi souligner que l'exigence de publicité immédiate de l'avis de la CNIL, facteur de transparence de la procédure, une garantie nouvelle constitue une garantie nouvelle. Elle n'est pas de même nature que celle résultant d'un avis conforme, mais elle est apparue au législateur plus adaptée aux nécessités actuelles et à l'architecture générale du dispositif refondu de la loi de 1978.
Le grief tiré de ce qu'en supprimant la formalité de l'avis conforme au I de l'article 26 de la loi de 1978 modifié par la loi déférée, le législateur aurait privé de garanties légales des exigences constitutionnelles ne pourra, dans ces conditions, qu'être écarté.
*
* *
Pour ces raisons, le Gouvernement est d'avis qu'aucun des griefs articulés par les parlementaires requérants n'est de nature à conduire à la censure des dispositions de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978. Aussi estime-t-il que le Conseil constitutionnel devra rejeter les recours dont il est saisi.