— 215 —
ANNEXE N° 9 : LE DROIT APPLICABLE AUX FICHIERS
INTÉRESSANT LA SÛRETÉ DE L’ÉTAT, LA DÉFENSE OU LA
SÉCURITÉ PUBLIQUE
Le droit applicable aux fichiers intéressant la sûreté de l’État, la défense ou la
sécurité publique
La notion de « fichiers de souveraineté » n’existe pas en tant que telle en droit
positif. Elle peut renvoyer à plusieurs catégories de traitements de données à caractère
personnel, et en particulier, aux traitements de données à caractère personnel qui bénéficient
d’une ou plusieurs des dérogations au cadre général des fichiers régaliens ou de la sphère
répressive mis en œuvre par l’État, prévu par la loi « Informatique et Libertés ».
L’article 31 de la loi du 6 janvier 1978 modifiée concerne les traitements mis en
œuvre par l’État qui « intéressent la sûreté de l’État, la défense ou la sécurité publique »
ou « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des
infractions pénales ou l’exécution des condamnations pénales ou des mesures de
sûreté ».
Juridiquement, ces traitements peuvent relever – parfois de manière cumulative – du
champ d’application du RGPD (soit du titre II de la loi « Informatique et Libertés », comme
par exemple certains traitements fiscaux poursuivant notamment une finalité de lutte contre
la fraude fiscale), du champ d’application de la directive « Police-Justice » (titre III de la loi,
comme par exemple les traitements d’antécédents judiciaires ou d’analyse sérielle
mentionnés au code de procédure pénale) ou du « hors-champ » du droit de l’Union
européenne (titre IV de la même loi, comme par exemple les traitements mis en œuvre par la
DGSI ou la DGSE).
L’article 31 de la loi « Informatique et Libertés » constitue le droit commun de
l’ensemble de ces fichiers « répressifs » et conditionne leur création ou leur modification à la
prise d’un arrêté ministériel, ou d’un décret en Conseil d’État en cas de traitement de
données « sensibles », pris après avis motivé et publié de la CNIL.
Ces traitements peuvent bénéficier d’une ou plusieurs des dérogations suivantes :
– les dossiers de saisine de la CNIL peuvent ne pas comporter tous les éléments
habituellement portés à la connaissance de la CNIL dans le cadre des demandes d’avis qui
lui sont adressées (dernier alinéa de l’article 33-I de la loi du 6 janvier 1978 modifiée) ; en
particulier, la durée de conservation et les mesures de sécurité mises en œuvre peuvent ne
pas être mentionnées dans le dossier de saisine (cf. article 67 du décret d’application de la
loi).
– ils peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte
réglementaire en portant création ou modification (article 31-III de la loi « Informatique et
Libertés »). Dans ce cas, seul le sens de l’avis de la CNIL, et non son intégralité, fait l’objet
d’une publication ; ce sens ne peut porter que la mention « favorable », « favorable avec
réserve » ou « défavorable » (article 70 du décret d’application de la loi).