L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.

ème ème

Saisi d'un projet de décret modifiant l'article R. 841-2 du code de la sécurité intérieure et le décret n°2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiant l'article R. 841-2 du code de la sécurité intérieure qui fixe la liste des traitements ou parties de traitements de données à caractère personnel intéressant la sûreté de l'État, le Conseil d'État (section de l'intérieur) lui donne un avis favorable, à l'exception de ses dispositions attribuant le contentieux relatif au traitement de données de Tracfin, Startrac, à la formation spécialisée du Conseil d'État en matière de contentieux des fichiers intéressant la sûreté de l'État et la défense nationale. En effet, le traitement de données Startrac, qui contient notamment les déclarations de soupçon adressées à Tracfin par les professionnels qui y sont tenus aux termes de l'article L. 561-2 du code monétaire et financier, n'intéresse pas uniquement la sûreté de l'État et la défense nationale. Startrac étant un fichier mixte, le Conseil d'État estime que l'article R. 841-2 du code de la sécurité intérieure, qui dispose que « Le Conseil d'État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre de l'article 118 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour les traitements ou parties de traitements intéressant la sûreté de l'État dont la liste est fixée par décret en Conseil d'État », fait obstacle à ce que le contentieux de l'accès aux données qu'il contient, dont certaines n'intéressent pas la sûreté de l'État, soit unifié en premier ressort au profit de la formation spécialisée du Conseil d'État.

Lorsque l'avis de la CNIL est réputé donné en vertu de l'article 6‑1 du décret du 20 octobre 2005, la circonstance que le décret adopté diffère de la version soumise à la CNIL n'emporte pas son irrégularité si cette nouvelle version ne soulève aucune question nouvelle.

Il résulte tant du paragraphe 4 de l’article 36 du règlement général sur la protection des données (RGPD) que de l’article 8 de la loi du 6 janvier 1978 que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d’un traitement de données à caractère personnel. Si un projet d’ordonnance n’est pas un projet de loi ou de décret, seuls soumis à l’obligation de consultation de la CNIL en vertu de l’article 8 de la loi du 6 janvier 1978, le Conseil d’État (section des finances) estime toutefois que ce projet d’ordonnance doit être regardé comme entrant dans le champ d’application du paragraphe 4 de l’article 36 du RGPD selon lequel « les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement ». Il estime donc qu’en vue de la nature et de la portée du projet d’ordonnance relatif à l’expérimentation de la dématérialisation des actes de l’état civil établie par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.

Il résulte tant du paragraphe 4 de l'article 36 du RGPD que de la première phrase du a) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978, dans sa rédaction résultant de la loi n°2018‑493 du 20 juin 2018, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.

A été réservée par le Conseil d'État (section des travaux publics) la question de savoir si cet article doit être interprété comme limitant la portée matérielle de la consultation obligatoire prévue par le paragraphe 4 de l'article 36 du RGPD aux seuls projets de décret déterminant les caractéristiques essentielles d'un traitement relevant de ceux, mentionnés aux paragraphes 3 et 4 de l'article 35 du même règlement, qui sont susceptibles d'engendrer, compte tenu de leur nature, de leur portée, de leur contexte et des finalités poursuivies, « un risque élevé pour les droits et libertés des personnes physiques » ou bien de l'étendre à l'ensemble des traitements dont la mise en œuvre repose sur un texte législatif ou réglementaire qui en définit les caractéristiques essentielles, sans qu'il y ait lieu de distinguer à ce stade entre ceux présentant un risque élevé et les autres.

1) Il résulte du a ) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction issue de la loi n°2016‑1321 du 7 octobre 2016, que la Commission nationale de l'informatique et des libertés (CNIL) doit être préalablement consultée sur tout projet de loi ou décret comportant des dispositions, soit qui portent sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, soit qui déterminent, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement ou d'une catégorie de traitements de données à caractère personnel.

2) Le décret n°2016‑1788 du 19 décembre 2016, relatif à la transmission de données de cession des médicaments utilisés en médecine vétérinaire comportant une ou plusieurs substances antibiotiques, prévoit que les déclarations auxquelles sont soumises les professionnels concernés sont transmises par voie électronique à l'autorité administrative compétente. Si ces dispositions, qui ne portent pas sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, impliquent la mise en œuvre d'un traitement automatisé de données à caractère personnel, elles ne déterminent pas elles‑mêmes les formalités de création ou les conditions de mise en œuvre de ce traitement. Par suite, le Premier ministre n'était pas tenu de consulter la CNIL.

Il résulte tant du paragraphe 4 de l’article 36 du RGPD que de l’article 8 de la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.

Si un projet d'ordonnance n'est pas un projet de loi ou de décret, seuls soumis à l'obligation de consultation de la CNIL en vertu de l’article 8 de la loi Informatique et Libertés, le Conseil d'État estime toutefois que ce projet d'ordonnance doit être regardé comme entrant dans le champ d'application du paragraphe 4 de l’article 36 du RGPD : « les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui s rapporte au traitement. »

Il estime donc qu'eu égard à la nature et à la portée du projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.

Selon l'article R.3113-2 du code de la santé publique, les données cliniques, biologiques et sociodémographiques destinées à la surveillance épidémiologique que comporte la notification des maladies sont arrêtées par le ministre chargé de la santé après avis de la CNIL.

Si le projet de décret relatif aux déclarations obligatoires de certaines maladies supprime cet avis préalable, le Conseil d'État (section sociale) relève que la CNIL a émis un avis favorable à cette suppression. Surtout, il considère qu'il ne résulte d'aucune disposition de la loi n°78-17 du 6 janvier 1978, ni d'aucune autre disposition législative que cette consultation préalable soit obligatoire avant l'adoption d'un tel texte réglementaire. L'arrêté en question ne constitue pas une autorisation de mise en œuvre du traitement, laquelle relève au demeurant d'une décision de la Commission. Constatant que cette suppression n'aura pas pour effet de soustraire ces informations de tout contrôle de la CNIL, le Conseil d'État (section sociale) émet un avis favorable.

Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.