La Cour constitutionnelle met fin à la possibilité pour les partis politiques de collecter des données sur les opinions politiques sans consentement

Par José Luis Piñar Mañas, professeur de droit administratif et avocat

Comme on le sait déjà, la loi organique 3/2018, relative à la protection des données et à la garantie des droits numériques, a introduit un nouvel article 58.bis dans la loi organique 5/1985 du régime électoral général qui, dans sa section 1 prévoyait que « La collecte des les données personnelles relatives aux opinions politiques des personnes menées par les partis politiques dans le cadre de leurs activités électorales ne seront protégées dans l'intérêt public que lorsque des garanties adéquates seront offertes ». C'est-à-dire que les partis politiques étaient autorisés à collecter des données personnelles à partir de n'importe quelle source (internet, réseaux sociaux, pages web, traitements non automatisés...) afin de profiler des personnes en fonction de leurs opinions politiques, et tout cela sans le consentement du personnes affectées. Cette disposition ne figurait pas dans le projet de loi que le Gouvernement a envoyé au Congrès en novembre 2017, mais a été introduite par l'amendement n° 331 présenté par le Groupe parlementaire socialiste au Congrès des députés lors de l'examen parlementaire de la loi. le texte final a été approuvé à l'unanimité par tous les députés.

Après la publication de la Loi (BOE du 6 décembre 2018), un groupe d'individus et d'associations de la société civile, promu par Borja Adsuara et parmi lesquels j'ai eu l'honneur de rencontrer, a proposé au Médiateur de déposer un recours en inconstitutionnalité contre le nouvel article 58 bis de la LOREG, ce qu'il a fait à temps. Le résultat d'un tel recours a été l'arrêt de la Cour constitutionnelle du 22 mai 2019, déclarant inconstitutionnel l'article 1 transcrit de l'art précité. Autant que je sache, c'est la première fois qu'un recours en inconstitutionnalité est déposé et prospère contre une loi approuvée à l'unanimité par le Congrès.

Le Médiateur fonde son recours sur plusieurs motifs : le législateur ne limite pas le traitement des données à caractère personnel révélant des opinions politiques par les partis politiques dans le cadre de leurs activités électorales ; Elle n'établit pas non plus quelles sont les « garanties adéquates » qui doivent entourer le traitement de données particulièrement sensibles ou les raisons d'intérêt public qui le protégeraient. Ceci implique une violation des articles 18.4 et 53 de la Constitution, dans la mesure où le contenu essentiel du droit à la protection des données que le premier garantit ou le principe de réserve de loi requis par le second n'est pas respecté. En outre, l'article contesté est contraire au Règlement (UE) 2016/679, relatif à la protection des données (RGPD) et à la loi organique 3/2018 (LOPDGDD) elle-même. En particulier, il n’est pas possible d’accepter que l’article contesté puisse être considéré comme étant couvert par le considérant 56 du RGPD, selon lequel « Si, dans le contexte des activités électorales, le fonctionnement du système démocratique dans un État membre exige que les partis politiques collectent des données à caractère personnel concernant les opinions politiques des individus, le traitement de ces données peut être autorisé pour des raisons d’intérêt public, à condition que des garanties appropriées soient mises en place. » La liberté idéologique garantie par l'article 16 de la Constitution est également violée puisque admettre la collecte de données se rapportant à des opinions politiques sans garanties adéquates implique une ingérence indue dans la liberté idéologique, en permettant le traitement des opinions politiques dans un but autre que celui qui a motivé leur expression ou manifestation et sans pouvoir prévoir les conséquences qui pourraient découler dudit traitement, qui, de surcroît, avec la technologie disponible pour le traitement combiné et massif de données provenant de différentes sources, est potentiellement révélateur de l'idéologie elle-même et contraire à la garantie d'art. 16.2 EC. De même, de l'avis du Médiateur, le droit à la participation politique aux affaires publiques est violé (art. 23 de la Constitution) qui peut difficilement se produire dans un environnement technologique dans lequel les techniques modernes d'analyse comportementale basées sur le traitement massif de données et l'intelligence artificielle permettent des procédures complexes visant à modifier, forcer ou détourner la volonté des électeurs et sans qu'ils en soient conscients. Bref, le principe de sécurité juridique est violé (art. 9.3 CE) en raison de l'imprécision totale de la disposition contestée. Le Médiateur conclut que « dans le contexte technologique actuel et compte tenu des risques évidents que le traitement massif de l'information peut faire peser sur la vie privée, la protection des données personnelles, la liberté idéologique et la liberté de participation politique, il est inexcusable – selon les propres termes de la Cour – que le législateur s'efforce de créer des réglementations gérables et compréhensibles pour la majorité des citoyens auxquels elles s'adressent ; car une législation confuse, obscure et incomplète entrave son application et, outre le fait de saper la sécurité juridique et la confiance des citoyens en la loi, peut finir par ternir la valeur de la justice. »

Le procureur de la République, pour sa part, considère le précepte pleinement constitutionnel puisqu'il définit, selon lui, les « garanties adéquates » que requiert le traitement des données d'opinion politique, telles qu'elles sont énoncées dans la littéralité de l'art attaqué. 58bis, se déduisent de la motivation de l'avenant qui fait grief et se déduisent de la saisine qui, même tacitement, contient le précepte au RGPD et à la LOPDGDD, dont l'application directe dans le premier cas et complémentaire dans le second, elles permettent de telles des garanties adéquates à préciser, comme cela a d'ailleurs été indiqué par l'Agence espagnole de protection des données (AEPD) elle-même dans son rapport 210070/2018 et dans sa circulaire 1/2019. En outre, et en conséquence de ce qui précède, le précepte contesté ne porte pas atteinte à la liberté idéologique ni au droit à la participation politique aux affaires publiques. « Au contraire », précise l'avocat de l'État, « il est entendu que les partis politiques, tous, précisément les garants du pluralisme politique, sont ceux qui peuvent réaliser le but légitime dans une démocratie de savoir, exclusivement en matière électorale. processus, l'opinion des électeurs pour façonner leur stratégie électorale, ce qui se traduit par un meilleur fonctionnement du système démocratique ”.

FONDEMENT DU LITIGE

Ayant ainsi posé les termes du débat, la Cour constitutionnelle commence par identifier « le cœur de la controverse » qui n'est autre que la violation des articles 18.4 et 53.1 de la Constitution, c'est-à-dire la violation du droit constitutionnel de protection des données et celle du principe de réserve de droit. Selon les termes de la Cour (Fondation Juridique –FJ- deuxième) : « La poursuite constitutionnelle exigée par la contestation centrale se limite donc à déterminer si le législateur a violé la réserve de loi et le contenu essentiel du droit fondamental à la protection des données personnelles (art. 18.4 CE en liaison avec l'art. 53 CE), pour renoncer à établir le cadre dans lequel le traitement est permis, la finalité de celui-ci et les garanties adéquates contre l'utilisation spécifique des technologies de l'information prévues dans la règle contestée ”.

À mon avis, en précisant d'emblée ce que constitue le « cœur du litige » ou le « principal défi », la Cour entend clairement indiquer qu'elle ne fondera pas son appréciation sur une comparaison entre l'article 58 bis de la LOOREG et le RGPD, mais bien sur la Constitution elle-même. Et c'est ainsi qu'il convient d'en être. Autrement, la Cour aurait été confrontée à une question relative au rapport entre le droit national et le droit de l'Union européenne, une analyse qui excède sa compétence et qui, si elle avait été examinée, aurait abouti à la substitution de l'article contesté par le RGPD. Comme la Cour l’affirme catégoriquement (Fondement juridique 3) : « La Cour est chargée d’appliquer la Constitution. Lorsqu’elle est appelée, comme en l’espèce, à examiner la constitutionnalité de l’évolution législative d’un droit fondamental partiellement déterminé par le droit de l’Union européenne, tel que la protection des données personnelles, “les exigences découlant du droit de l’Union ne sauraient être ignorées lorsqu’il s’agit de fixer les limites constitutionnellement admissibles du pouvoir discrétionnaire politique” (arrêt 1/2012 de la Cour constitutionnelle du 13 janvier, Fondement juridique 9). Cela n’implique aucunement que l’analyse constitutionnelle puisse ou doive inclure un examen de la compatibilité entre le règlement européen et le droit interne, ni qu’une éventuelle constatation d’incompatibilité puisse conduire à une déclaration d’inconstitutionnalité du droit interne pour cause de conflit avec une disposition du droit de l’Union, puisque toute analyse de compatibilité entre le droit de l’Union européenne et la loi organique 3/2018 sera résolue en termes de légalité ordinaire et de choix de la loi applicable en premier lieu, et non en termes de contradiction avec la Constitution de la règle interne qui pourrait être contraire au droit de l’Union. »mutatis mutandis, STC 140/2018, FJ 6) ".

PARAMÈTRES DE TRAITEMENT

Les considérations qui précèdent sont extrêmement importantes, non seulement parce que la Cour concentre le débat sur des termes constitutionnels et non sur la controverse entre le droit national et celui de l'Union européenne, mais parce qu'elle accepte que le droit à la protection des données soit réglementé dans un règlement européen, qui sera utilisé comme paramètre d'interprétation de la portée et du contenu dudit droit tel qu'il est reconnu à l'art. 18.4 de la Constitution. Pour cette raison, le FJ 4 de l'arrêt procède à une analyse détaillée de la réglementation des catégories particulières de données (telles que celles relatives aux opinions politiques) dans le RGPD et dans la LOPDGDD.

À partir de là, la Cour constitutionnelle analyse « les paramètres de poursuite qui permettent de résoudre le contenu central de la contestation : la violation par le législateur de la réserve de loi et le contenu essentiel du droit fondamental à la protection des données personnelles (art. 18.4 CE en relation avec l'article 53.1 CE) ».

Concernant le contenu essentiel du droit à la protection des données, la Cour constitutionnelle, se référant à son arrêt de principe STC 292/2000, rappelle qu'il consiste en un « pouvoir de disposition et de contrôle des données à caractère personnel » et qu'il présente une « double perspective » : « L'article 18.4 de la Constitution espagnole n'établit pas seulement un droit fondamental autonome de contrôler la circulation des informations concernant chaque personne (SSTC 11/1998 du 13 janvier, JF 5 ; 96/2012, JF 6 ; et 151/2014 du 25 septembre, JF 7), mais constitue également, comme le montre sa dernière clause (« garantir […] le plein exercice de leurs droits »), un droit instrumental ordonné à la protection des autres droits fondamentaux, c'est-à-dire une institution garantissant les droits au respect de la vie privée et à l'honneur ainsi que la pleine jouissance des autres droits des citoyens (STC 292/2000 du 30 septembre, JF 5). Le droit ainsi conçu n'est pas Absolument, bien sûr. Il peut toutefois être soumis à des limitations, lesquelles doivent respecter au moins deux conditions : premièrement, toute ingérence de l’État dans la sphère des droits fondamentaux et des libertés publiques doit répondre à un objectif constitutionnellement légitime ou viser la protection ou la sauvegarde d’un bien constitutionnellement pertinent ; deuxièmement, toute ingérence de l’État dans la sphère des droits fondamentaux et des libertés publiques, qu’elle affecte directement leur développement (art. 81.1 CE) ou qu’elle limite ou conditionne leur exercice (art. 53.1 CE), requiert une autorisation légale. Il est donc nécessaire qu’une loi définisse les limites des droits et, en particulier, le droit à la protection des données. Mais cette loi, pour respecter le principe de sécurité juridique, doit satisfaire au moins à deux conditions : la prévisibilité et la certitude quant aux mesures restrictives en matière de droits fondamentaux. Autrement dit, une loi qui limite un droit fondamental doit établir les garanties minimales requises et adéquates pour permettre une telle limitation sans porter atteinte à l’essence même du droit.

APPROCHE CRITIQUE

Eh bien, la Cour constitutionnelle, dans une approche extrêmement critique à l'égard du précepte contesté, considère qu'il n'est pas conforme aux exigences de sécurité et de sécurité et considère (FJ 7) :

(i) que la disposition légale contestée n’a pas, en elle-même, déterminé la finalité du traitement des données à caractère personnel révélant des opinions politiques, au-delà de la mention générique d’« intérêt public ». La simple invocation d’un intérêt public générique pour tenter de justifier la collecte de données sur les opinions politiques est loin d’être suffisante.

(ii) qu'il n'a pas limité le traitement en réglementant en détail les restrictions au droit fondamental. Permettre le traitement de données précité « dans le cadre d'activités électorales » des partis politiques ne répond pas aux exigences de certitude et de précision qui peuvent être requises.

iii) qu’elle n’a pas elle-même mis en place de garanties adéquates pour protéger les droits fondamentaux concernés. La Cour précise (Fondement juridique 8) que « la mise en place de garanties adéquates ne peut être différée à une date postérieure à la réglementation du traitement des données à caractère personnel en question. Ces garanties doivent être intégrées à la réglementation du traitement lui-même, soit directement, soit par référence expresse et clairement définie à des sources externes ayant force de loi appropriée ». Tel n’est pas non plus le cas de l’article 58 bis de la LOREG. Par ailleurs, la Cour examine les arguments du procureur général. Ce dernier affirme que « des garanties adéquates existent bel et bien et se déduisent de trois manières : d’une part, du libellé de la disposition contestée ; d’autre part, du sens de la modification dont est issue cette disposition ; et enfin, des deux réglementations régissant la protection des données à caractère personnel en Espagne, la LOPDGDD et le RGPD, telles que spécifiées dans la circulaire 1/2019 ». Selon la Cour, aucun de ces arguments n'est recevable : premièrement, le texte de la disposition ne fait référence à aucune garantie (la Cour se fonde sur la circulaire 1/2019 elle-même, dont le préambule reconnaît clairement que « précisément en raison du risque élevé pour les droits et libertés des personnes physiques, ces garanties, n'ayant pas été établies par le législateur, doivent être identifiées par l'Agence espagnole de protection des données »). Deuxièmement, les justifications des modifications constituent « un élément herméneutique important pour comprendre la portée et le sens des règles, mais elles ne sauraient pallier les insuffisances constitutionnelles de ces dernières ». Troisièmement, il n’est pas possible d’accepter que la disposition contestée remédie à ses lacunes par une sorte de référence implicite au RGPD et à la LOPDGDD, et même en admettant, par hypothèse, que tel soit le cas, « l’insuffisance de la loi ne saurait être corrigée par une interprétation fondée sur les orientations et indications que l’on peut tirer des textes réglementaires susmentionnés (i). Elle ne saurait pas non plus être corrigée par le titulaire d’un pouvoir réglementaire limité, tel que l’Agence espagnole de protection des données (ii), ni par une interprétation conforme (iii). Enfin, une référence implicite comme celle recherchée ne serait pas non plus compatible avec le cadre réglementaire européen (iv). » Voyons ce que la Cour dit à ce sujet, car ces quatre points sont d’une grande importance :

1) Un renvoi hypothétique au règlement européen et à la nouvelle loi organique sur la protection des données ne peut être admis, car il s'agirait d'une sorte de « renvoi en blanc » qui serait laissé entre les mains, non pas du législateur, mais exclusivement au disposition de la détermination réglementaire du Gouvernement ou, à défaut de celui-ci, de l'applicateur du droit, dont la détermination des garanties prévues dans les deux règles de saisine est applicable au traitement en cause.

2) L'approbation de la Circulaire 1/2019 par l'AEPD ne peut en aucun cas combler l'insuffisance légale du précepte contesté.

3) La technique de « l’interprétation de conformité » n’est pas admissible car nous ne traitons pas de « plusieurs interprétations possibles également raisonnables », mais de l’insuffisance de réglementation constatée dans une règle de développement d’un droit fondamental.

4) Le règlement général sur la protection des données établit les garanties minimales, communes ou générales pour le traitement des données personnelles qui ne sont pas particulières. En revanche, il n'établit pas à lui seul le régime juridique applicable au traitement des données à caractère personnel particulières, ni au niveau des États membres ni pour le droit de l'Union. Par conséquent, si la règle interne qui réglemente le traitement des données à caractère personnel liées aux opinions politiques (le nouvel article 58 bis de la LOOREG), n'offre pas ces garanties adéquates, mais plutôt, tout au plus, elle renvoie implicitement aux garanties générales contenues dans le règlement général sur la protection des données, on ne peut considérer qu'il a accompli la tâche normative qu'il exige ».

En conclusion, après l’analyse définitive de constitutionnalité effectuée par la Cour, celle-ci conclut que le nouvel article 58 bis.1) de la LOREG entraîne trois violations de l’article 18.4 du CE en lien avec le point 53.1 : a) l’insuffisance de la norme juridique contestée au regard des exigences de sécurité juridique, créant ainsi, pour toutes les personnes auxquelles la collecte de données à caractère personnel pourrait s’appliquer, un danger dans lequel réside précisément cette violation ; b) l’indétermination de la finalité du traitement ; et c) l’absence de « garanties adéquates » ou du « minimum requis par la loi ».

L'arrêt de la Cour est concluant. Il souligne l'importance du droit à la protection des données pour le développement de la vie démocratique et annule un précepte qui a été approuvé à l'unanimité au Congrès des députés. Aucun groupe parlementaire ou groupe de députés ou de sénateurs n'a déposé de recours contre un précepte aussi manifestement inconstitutionnel. Heureusement, le Médiateur a apprécié les indications claires d'inconstitutionnalité du nouvel article et n'a pas hésité à saisir le TC. Une victoire, sans aucun doute, pour les droits fondamentaux contre l'utilisation manifestement abusive de données personnelles particulièrement sensibles que les partis politiques entendaient faire.