Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Dans le cadre d'une activité régulière, les personnes physiques et les personnes morales peuvent être contraintes de défendre leurs intérêts en justice, notamment pour obtenir la réparation d'un préjudicie subi. Pour faire valoir leurs droits, elles peuvent ainsi être amenées à préparer et à gérer des contentieux.
Dans certains cas, en particulier au sein des personnes morales, il est souvent nécessaire de mettre en œuvre un traitement de données à caractère personnel pour atteindre cet objectif légitime.
Les traitements de données à caractère personnel mis en œuvre pour préparer et gérer des contentieux sont, par nature, susceptibles de porter sur des données relatives à des infractions et condamnations pénales, ou sur des mesures de sûreté.
Il y a par conséquent lieu de faire application des dispositions du 3° du I de l'article 25 de la loi du 6 janvier 1978 modifiée qui prévoient que les traitements, automatisés ou non automatisés, portant sur des données à caractère personnel relatives aux infractions, condamnations ou mesures de sûreté, ne peuvent être mis en œuvre qu'après une autorisation de la commission.
La commission relève, à cet égard, que les personnes morales et les personnes physiques sont fondées, en application de l'article 9 de la loi du 6 janvier 1978 modifiée et de la décision n° 2004-499 DC du 29 juillet 2004 du Conseil constitutionnel, à traiter de telles données en qualité de victime d'une infraction. Par une réserve d'interprétation, le Conseil a en effet estimé que la déclaration d'inconstitutionnalité du 3° de l'article 9 de la loi du 6 janvier 1978 modifiée ne saurait être interprétée comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale, s'agissant des infractions dont elle a été victime.
En application des dispositions du II de l'article 25 de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel mis en œuvre par les personnes physiques et les personnes morales à des fins de préparation et de gestion de contentieux sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.