Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

Un traitement nécessaire à l'organisation d’un vote électronique pour l’élection des membres des chambres d’agriculture, eu égard, d’une part, à la nature des données collectées et analysées et, d’autre part, au fait que ces données portent sur un électorat d’environ trois millions de personnes, remplit les critères posés par le point b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) pour caractériser les traitements à grande échelle de données sensibles.

Par suite, sa mise en œuvre doit être précédée d’une analyse d’impact prévue par ces stipulations. Cette obligation d’effectuer une analyse d’impact est d’application immédiate et directe. Le paragraphe 4 du même article 35 dispose que : « L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68 ». Toutefois, cette liste ne saurait être regardée comme une mesure nationale d’application nécessaire à l’entrée en vigueur de l’obligation faite au responsable du traitement d’effectuer une analyse d’impact qui découle directement du point b) du paragraphe 3 de l’article 35 du règlement.

La circonstance que le responsable du traitement (le ministre de l’agriculture) n’ait pas, au moment où le Conseil d’État (section des travaux publics) a examiné un projet de décret comportant la mise en œuvre de traitements relevant de la procédure prévue au b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD), achevé l’analyse d’impact qui lui incombe ne faisait obstacle ni à cet examen, ni à ce que le Conseil d’État lui donnât un avis favorable, dès lors qu’en vertu du paragraphe 1 de cet article, cette analyse doit être effectuée « avant le traitement », c’est‑à‑dire avant la mise en œuvre concrète de celui‑ci.

Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive « Police - Justice » mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Cette analyse doit porter sur les risques élevés pour les droits et libertés des personnes physiques.

Il résulte de l'article 90 de la loi du 6 janvier 1978 applicable aux traitements à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

1) L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés liés aux données à caractère personnel.

2) Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la CNIL en application de l’article 20 de la loi n° 78‑17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu’elle n’aurait pas été réalisée avant la signature de l’instruction définissant les caractéristiques du traitement n’est pas de nature à entacher celle‑ci d’illégalité.

Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'Analyse d’impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, sous peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Les droits et les libertés des personnes physiques sont ainsi protégés.