— 15 —
relevant d’autres ministères comme le ministère de la justice ou le ministère de la
défense.
● Les actes réglementaires autorisant ces fichiers (à l’exception des
fichiers PASP et GIPASP) bénéficient d’une dispense de publication, comme
l’autorise le III de l’article 26 de la loi du 6 janvier 1978, et seul le sens de l’avis
adopté par la CNIL est publié.
● Enfin, onze de ces fichiers ne sont pas soumis au contrôle a posteriori
exercé par la CNIL, en application du IV de l’article 44 de la loi du 6 janvier
1978. La CNIL peut uniquement contrôler les fiches individuelles contenues dans
ces traitements, dans le cadre du droit d’accès indirect obligatoire pour ces
fichiers, aux termes de l’article 41 de la loi.
Le droit d’accès indirect
L’article 41 de la loi du 6 janvier 1978 prévoit que, par exception aux articles 39 et 40,
le droit d’accès s’exerce de manière indirecte lorsqu’un traitement intéresse la sûreté de
l’État, la défense ou la sécurité publique.
La demande est adressée à la CNIL « qui désigne l’un de ses membres appartenant ou
ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes
pour mener les investigations utiles et faire procéder aux modifications nécessaires ».
Si, en accord avec le responsable du traitement, elle estime que la communication des
données ne met pas en cause ses finalités, la sûreté de l’État, la défense ou la sécurité
publique, elle communique les éléments au requérant. En cas de désaccord, elle informe
simplement le requérant qu’elle a procédé aux vérifications nécessaires.
L’acte réglementaire portant création du fichier peut néanmoins autoriser le responsable
du traitement directement saisi à communiquer ces informations « lorsque le traitement
est susceptible de comprendre des informations dont la communication ne mettrait pas
en cause les fins qui lui sont assignées ».
Le champ des traitements auxquels s’applique le droit d’accès indirect a été réduit par la
loi du 20 juin 2018 relative à la protection des données personnelles assurant la
transposition de la directive (UE) 2016/680 sur les traitements en matière judiciaire ou
policière. L’article 29 de cette loi supprime en effet l’application du droit d’accès
indirect aux traitements de police judiciaire, auparavant prévu par l’article 42 de la loi
du 6 janvier 1978. Le nouvel article 70-19 de la loi du 6 janvier 1978 prévoit un droit
d’accès direct à ces traitements, qui peut cependant faire l’objet de restrictions pour
certains motifs (par exemple, pour éviter de gêner des enquêtes, des recherches ou des
procédures administratives ou judiciaires), en application de l’article 70-21. Les actes
réglementaires relatifs aux différents traitements devront être modifiés pour prendre en
compte ces nouvelles dispositions. S’agissant du TAJ, le décret n° 2018-687
du 1er août 2018 (1) a déjà prévu un droit d’accès direct s’exerçant auprès du ministère
de l’intérieur (article R. 40-33 du code de procédure pénale).
(1) Décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la
protection des données personnelles.