— 254 —
sauvegarder la sûreté de l’État, la défense, la sécurité publique, la prévention, la
recherche, la détection et la poursuite d’infractions pénales ou de manquements à
la déontologie dans le cas des professions réglementées, un intérêt économique ou
financier important d’un État membre, y compris dans les domaines monétaire,
budgétaire et fiscal, une mission de contrôle, d’inspection et de réglementation, la
protection de la personne concernée ou des droits et libertés d’autrui.
Le point 4 de l’article 28 de la directive prévoit également que chaque
autorité de contrôle peut être saisie par toute personne, ou par une association la
représentant, d’une demande relative à la protection de ses droits et libertés à
l’égard du traitement de données à caractère personnel. La personne concernée est
informée des suites données à sa demande. Chaque autorité de contrôle peut, en
particulier, être saisie par toute personne d’une demande de vérification de la
licéité d’un traitement lorsque les dispositions nationales ont prévu des exceptions
au droit d’accès en vertu de l’article 13 de la directive. La personne est, à tout le
moins, informée de ce qu’une vérification a eu lieu.
L’article 41 de la loi prévoit de notifier au requérant qu’il a été procédé
aux vérifications selon deux modalités distinctes introduites par la loi n° 2003-239
du 18 mars 2003 pour la sécurité intérieure :
– lorsque la CNIL constate, en accord avec le responsable du traitement,
que la communication des données à caractère personnel enregistrées ou de leurs
rectifications ne met pas en cause les finalités poursuivies par ces traitements, ces
données ou rectifications sont communiquées au requérant ;
L’article 41 précise d’ailleurs que l’acte réglementaire portant création du
fichier peut prévoir la communication d’informations au requérant par le
gestionnaire du fichier directement saisi, si le traitement est susceptible de
comprendre des informations dont la communication ne mettrait pas en cause les
fins qui lui sont assignées.
– dans les autres cas, la CNIL informe le requérant qu’il a été procédé aux
vérifications sans lui communiquer les données.
En contrepartie de ce régime d’exception, le requérant peut saisir le juge
administratif en cas de refus de communication des données.
Le contrôle du juge administratif de droit commun porte sur l’appréciation
du refus de communication opposé par le responsable du traitement, c’est-à-dire
par le service de renseignement spécialisé qui gère le fichier, au regard de la sûreté
de l’État, de la défense ou de la sécurité publique. Ce contrôle peut le conduire
soit à rejeter la requête, soit à l’annulation de la décision de refus impliquant dès
lors d’autoriser la communication desdites données.
Or, selon les informations transmises à votre rapporteur par le
Gouvernement, les tribunaux administratifs ont annulé plusieurs décisions de refus
non motivé émanant des gestionnaires de fichiers de souveraineté –