Le pouvoir de formuler des avis et des recommandations

L’essentiel : L’avis de la CNIL doit être sollicitée dans certaines circonstances ; de même la Commission a la faculté de produire des recommandations spécifiques à un domaine déterminé ou à certains traitements.

 

Précédent : Décision et proposition

 

Pouvoir de formuler des avis et des recommandations

1. – Dans certaines circonstances, la loi impose à la CNIL de donner un avis préalable sur certains traitements (art. 26 et 27) :

Article 26

I. – Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et :

1° Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ;

 Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

L’avis de la commission est publié avec l’arrêté autorisant le traitement.

II. – Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

III. – Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.

**

IV. –** Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

Article 27

I. – Sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

1° Les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ;

 Les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

II. – Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

1° Les traitements mis en œuvre par l’État ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire ;

2° Ceux des traitements mentionnés au I :

– qui ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9 ;

– qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;

– et qui sont mis en œuvre par des services ayant pour mission, soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des statistiques ;

 Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;

 Les traitements mis en œuvre par l’État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.

Pour prendre quelques exemples, son avis a été sollicité pour le projet de décret en Conseil d’Etat relatif au fichier judiciaire national automatisé des auteurs d’infractions sexuelles (Dél. CNIL 10 mars 2005 – art. 26 L.), ou encore pour le dispositif de vote électronique pour les élections au barreau de Paris (Dél. CNIL 17 nov. 2005 – art. 27.II-4o). La CNIL est également requise de donner un avis sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés (art. 11). Cependant, elle ne peut que rendre un avis. Le Conseil d’Etat, dans un arrêt du 2 juillet 2007, a rappelé que la seule obligation est de : « soumettre à la consultation préalable de la CNIL les projets de textes qui, sans avoir pour objet la création d’un traitement automatisé, définissent le cadre général de la protection des droits et libertés des personnes à l’égard du principe du traitement de données à caractère personnel » (CE, 2 juill. 2007).

2. – Dans le cadre de ses missions la CNIL peut également adopter des recommandations, spécifiques à un domaine déterminé ou à certains traitements (art. 11). On citera quelques exemples de recommandations : celle du 16 mars 2006, relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d’un organisme privé ou public ; celle du 16 septembre 2003, relative à la collecte et au traitement d’informations nominatives par les sociétés de transport collectif dans le cadre d’applications billettiques. Celles-ci ne sont que de simples recommandations, mais il est de bonne politique de s’y conformer.

3. – Enfin, la CNIL peut également donner un avis sur la conformité à la loi de projets de règles professionnelles ou de produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, lorsqu’elles lui sont soumises. De même elle peut porter une appréciation sur les garanties offertes par des règles professionnelles qu’elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes. Cette dernière faculté peut être utile pour valider des règles ou des processus de gestion de la conformité informatique et libertés.

Lire la suite : Les pouvoirs de contrôle

Le plan de l'article :

- La CNIL
- Les pouvoirs de décision et de proposition de la CNIL
- Les pouvoirs de donner des avis et des recommandations
- Les pouvoirs de contrôle
- Les pouvoirs de sanction
- Les missions d'information
- Les missions de réflexion et d'assistance

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)