Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

Un traitement nécessaire à l'organisation d’un vote électronique pour l’élection des membres des chambres d’agriculture, eu égard, d’une part, à la nature des données collectées et analysées et, d’autre part, au fait que ces données portent sur un électorat d’environ trois millions de personnes, remplit les critères posés par le point b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) pour caractériser les traitements à grande échelle de données sensibles.

Par suite, sa mise en œuvre doit être précédée d’une analyse d’impact prévue par ces stipulations. Cette obligation d’effectuer une analyse d’impact est d’application immédiate et directe. Le paragraphe 4 du même article 35 dispose que : « L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68 ». Toutefois, cette liste ne saurait être regardée comme une mesure nationale d’application nécessaire à l’entrée en vigueur de l’obligation faite au responsable du traitement d’effectuer une analyse d’impact qui découle directement du point b) du paragraphe 3 de l’article 35 du règlement.

La circonstance que le responsable du traitement (le ministre de l’agriculture) n’ait pas, au moment où le Conseil d’État (section des travaux publics) a examiné un projet de décret comportant la mise en œuvre de traitements relevant de la procédure prévue au b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD), achevé l’analyse d’impact qui lui incombe ne faisait obstacle ni à cet examen, ni à ce que le Conseil d’État lui donnât un avis favorable, dès lors qu’en vertu du paragraphe 1 de cet article, cette analyse doit être effectuée « avant le traitement », c’est‑à‑dire avant la mise en œuvre concrète de celui‑ci.

Saisi d'un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes), le Conseil d'État (section de l'intérieur) lui a donné un avis favorable sous réserve des modifications qu'il lui a apportées. Ce traitement de données a pour finalités, d'une part, de faciliter le recueil et la conservation, en vue de leur exploitation dans d'autres traitements de données, notamment par le biais d'un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l'occasion d'actions de prévention, d'investigations ou d'interventions, et nécessaires à l'exercice de leurs missions de police judiciaire et administrative, et, d'autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires. Le traitement offre la possibilité à l'utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ». Ce traitement, par ses finalités, relève du titre III de la loi du 6 janvier 1978 et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. Ces dispositions ne font pas obstacle à ce qu'un traitement comporte une zone de commentaires libres destinée à la consignation d'appréciations. Toutefois, afin d'éviter tout contournement des restrictions imposées tant par le droit de l'Union européenne que par la loi, le Conseil d'État estime que l'acte créant ce type de zone de commentaire doit respecter les principes suivants :

• une zone de commentaires libres ne doit être prévue que lorsque cela est strictement nécessaire à l'atteinte des finalités que poursuit le traitement ;

• les faits doivent y être présentés séparément des appréciations personnelles ;

• la liberté de formulation régissant ces espaces ne peut en aucune manière aboutir à collecter et traiter des données autres que celles expressément prévues par l'acte créant le traitement ;

• au regard de la difficulté de préciser le contenu de ces zones, il est nécessaire qu'une attention spécifique à celles-ci soit portée par l'analyse d'impact, qui doit en justifier l'existence et en analyser les risques.

Lorsqu'un utilisateur se connecte à l'application StopCovid France, l'adresse IP de l'ordinateur est collectée dans le cadre de la solution anti‑DDOS de la société ORANGE, la collecte de cette donnée à caractère personnel ayant comme seule finalité, en l'espèce, d'assurer la sécurité du dispositif.

Dans la mesure où la solution anti‑DDOS est une solution de sécurité du dispositif, qui n'a pas à figurer dans le décret du 29 mai 2020, les données traitées par cette solution n'ont pas non plus à figurer dans ce décret. La collecte des adresses IP dans ce cadre n'est donc pas irrégulière. En revanche, dès lors que cette solution de sécurité entraîne une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l'analyse d’impact réalisée par le responsable de traitement.

Il résulte de l'article 90 de la loi du 6 janvier 1978 applicable aux traitements à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

1) L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés liés aux données à caractère personnel.

2) Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la CNIL en application de l’article 20 de la loi n° 78‑17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu’elle n’aurait pas été réalisée avant la signature de l’instruction définissant les caractéristiques du traitement n’est pas de nature à entacher celle‑ci d’illégalité.

Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'Analyse d’impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, sous peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Les droits et les libertés des personnes physiques sont ainsi protégés.