celles ayant justifié leur recueil, et de transmettre ces informations à d’autres services
ayant des missions de renseignement.
4. Compte tenu des enjeux associés à la mise en œuvre de certains moyens considérés
comme particulièrement intrusifs et permettant de recueillir un volume très important
de données, la Commission estime indispensable de s’assurer que les atteintes portées
au respect de la vie privée soient limitées au strict nécessaire. Elle rappelle que ces
atteintes doivent être adéquates et proportionnées au but poursuivi et que des
garanties suffisantes doivent être mises en œuvre. A cet égard, la Commission observe
que plusieurs des garanties introduites par la loi du 24 juillet 2015 précitée sont
reprises par le présent projet de loi, tel que le formalisme strict attaché à la mise en
œuvre de ces techniques.
5. La Commission relève que certaines dispositions du projet de loi ont vocation à
encadrer les principes régissant la collecte de données à caractère personnel, et
concernent dès lors, et pour les dispositions qui s’y rapportent, la protection des
données. C’est à ce titre que la Commission a été saisie, sur le fondement de l’article
8- 4°-a) de la loi du 6 janvier 1978, du présent projet de loi.
6. La Commission rappelle que le projet de loi encadre les modalités de collecte des
différentes techniques de renseignements prévues par le texte. Les données doivent
ensuite être traitées, au sein de différents fichiers mis en œuvre par les services
concernés, dans le respect du droit à la protection des données à caractère personnel
notamment du titre IV de la loi « Informatique et libertés ». Cependant, la Commission
rappelle que la plupart d’entre eux (énumérés au sein du décret n° 2007-914 du 15 mai
2007) bénéficient d’un régime dérogatoire, lequel permet de les exclure du champ de
contrôle a posteriori de la Commission, conformément à l’article 19-IV de la loi du 6
janvier 1978 modifiée.
7. Au regard des évolutions projetées, tant en matière de données collectées que
d’exploitation et de transmission de ces informations, la Commission rappelle, ainsi
qu’elle l’a fait par le passé, qu’elle demande à pouvoir exercer ses pouvoirs de contrôle
sur ces traitements. Si elle relève que tant la CNCTR (par son avis sur la mise en œuvre
des techniques, ainsi que son contrôle de l’exécution des autorisations accordées par le
Premier ministre) que le groupement interministériel de contrôle (GIC) disposent de
prérogatives visant notamment à assurer la légalité des pratiques mises en œuvre, la
Commission estime que son contrôle, qui porterait sur les conditions de mise en œuvre
globales desdits fichiers et devrait être assorti de garanties adaptées à leur nature
particulière, devrait compléter ceux déjà réalisés par ces deux entités et constituerait
une garantie supplémentaire.
8. Enfin, la Commission relève que la Cour de justice de l’Union européenne s’est
prononcée le 6 octobre 2020 (Privacy international (aff. C-623/17), et La Quadrature
du Net, French Data Network, Ordre des barreaux francophones et germanophone (aff.
jointes C-511/18, C-512/18, C-520-18)), dans le cadre d’une question préjudicielle, sur
la conformité de certaines des dispositions visées par le projet de loi. Si elle n’entend
pas apprécier, dans son avis, la régularité des dispositions déjà en vigueur et non
modifiées par le projet au regard du droit de l’Union européenne, pour lesquelles le
Gouvernement a indiqué attendre l’issue des contentieux en cours, la Commission
rappelle néanmoins que le juge européen s’est prononcé sur les conditions de licéité de
mise en œuvre des techniques de renseignement de recueil en temps réel et d’analyse
2