Le Gouvernement doit saisir la CNIL de tout projet de loi relatif à la protection des personnes à l’égard des traitements automatisés (art. 11 4° a) de la loi du 6 janvier 1978). A ce titre, la CNIL a été saisie des dispositions relatives à l’accès des services de renseignements, sous certaines conditions, à divers fichiers administratifs (tels que les fichiers des immatriculations ou des permis de conduire) et d’antécédents judiciaires, ainsi que de la création d’un nouveau traitement à caractère personnel relatif aux données d’enregistrement des passagers aériens, appelé PNR. Elle a rendu son avis par une délibération du 18 juillet 2013. Celle-ci ne peut être rendue publique que sur demande du président de l’une des commissions permanentes des deux assemblées. La CNIL ne peut donc pas publier le contenu de sa délibération de sa propre initiative.

En revanche, la CNIL n’a pas été saisie de l’article 13 du projet, qui permet aux services de renseignement des ministères de la défense, de l’intérieur, de l’économie et du ministère en charge du budget d’accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les hébergeurs. Concrètement, la réquisition de données de connexion dans un cadre d’enquête administrative pourra être effectuée pour :

– la recherche de renseignements intéressant la sécurité nationale,
– la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
– la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.

Outre cette extension des finalités et des destinataires, le projet de loi permet également, dans ces conditions, l’accès aux données de connexion en temps réel, et, par voie de conséquence, notamment, la géolocalisation des terminaux mobiles (smartphones, etc.) des personnes en temps réel.

La CNIL, si elle n’a pas été consultée sur ce point, a été auditionnée par les Commissions des lois et de la Défense du Sénat. Elle a notamment eu l’occasion de demander, au minimum, le renforcement des garanties accordées aux personnes. Le Sénat a, à cet égard, modifié le régime juridique de la géolocalisation en lui appliquant le régime des interceptions de sécurité. Cette modification a été adoptée en Commission par l’Assemblée Nationale à l’occasion de l’examen du texte en première lecture.

Enfin, la CNIL dispose de la compétence de contrôle a priori et a posteriori de ces traitements et devra donc se prononcer sur les actes réglementaires créant les traitements projetés et pourra réaliser des contrôles sur place inopinés afin de s’assurer du respect des libertés individuelles.