Conseil d'État
N° 404996
ECLI:FR:CECHR:2018:404996.20181018
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Vincent Villette, rapporteur
M. Edouard Crépey, rapporteur public
Lecture du jeudi 18 octobre 2018
Vu la procédure suivante :
1° Sous le n° 404996, par une requête et un mémoire en réplique, enregistrés le 14 novembre 2016 et le 15 janvier 2018 au secrétariat du contentieux du Conseil d'Etat, M. H... G...et l'association Génération Libre demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat, pour chacun des requérants, la somme de 1 500 euros au titre de l'article L. 761-1.
2° Sous le n° 405036, par une requête, enregistrée le 15 novembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. M...L...et Mme D...B...demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
3° Sous le n° 405710, par une requête, enregistrée le 6 décembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. F...K...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
4° Sous le n° 405895, par une requête, enregistrée le 13 décembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. I...J...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
5° Sous le n° 406299, par une requête et un mémoire en réplique, enregistrés le 26 décembre 2016 et le 15 novembre 2017 au secrétariat du contentieux du Conseil d'Etat, M. N... A...et M. E...C...demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
6° Sous le n° 406347, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 27 décembre 2016, 27 mars 2017 et 31 mai 2018 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne de plusieurs questions préjudicielles portant sur l'interprétation de la directive 95/46/CE du 24 octobre 1995 ;
3°) à titre subsidiaire, de procéder à une expertise sur le fondement des dispositions de l'article R. 621-1 du code de justice administrative ;
4°) de mettre à la charge de l'Etat une somme de 1 024 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
7° Sous le n° 406421, par une requête sommaire et un mémoire complémentaire, enregistrés le 29 novembre 2016 et le 29 mars 2017 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
8° Sous le n° 408359, par une requête et un mémoire en réplique, enregistrés le 24 février et le 15 novembre 2017 au secrétariat du contentieux du Conseil d'Etat, M. N... A...et M. E...C...demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir l'arrêté du 9 février 2017 portant l'application du décret n° 2016-1480 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- la Constitution et notamment ses articles 22, 34 et 37 ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 ;
- le règlement n° 2252/2004 du Conseil, du 13 décembre 2004 ;
- la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2012-410 du 27 mars 2012 ;
- le décret n° 2012-1400 du 13 décembre 2012 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Vincent Villette, maître des requêtes,
- les conclusions de M. Edouard Crépey, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la Ligue des droits de l'homme ;
Considérant ce qui suit :
1. Les requêtes de M. G...et l'association Génération Libre, de M. L... et MmeB..., de M.K..., de M.J..., de M. A...et M.C..., de l'association la Quadrature du Net et de la Ligue des droits de l'homme sont dirigées contre le même décret du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. Sous le n° 408359, MM. A...et C...demandent l'annulation pour excès de pouvoir de l'arrêté du 9 février 2017 portant l'application du décret n° 2016-1480 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. Il y a lieu de joindre l'ensemble de ces requêtes pour statuer par une seule décision.
Sur les conclusions tendant à l'annulation pour excès de pouvoir du décret du 28 octobre 2016 :
En ce qui concerne l'intervention du syndicat des avocats de France présentée sous le numéro 406347 :
2. Le syndicat des avocats de France, qui est un syndicat professionnel, ne justifie pas, à ce titre, d'un intérêt suffisant à l'annulation du décret attaqué dont l'objet est visé ci-dessus. Par ailleurs, il ne saurait utilement se prévaloir des termes généraux de ses statuts relatifs à " l'action pour la défense des droits de la défense et des libertés dans le monde " pour justifier d'un intérêt lui donnant qualité pour intervenir. Il s'ensuit que son intervention n'est pas recevable.
En ce qui concerne la légalité externe :
S'agissant de la compétence du pouvoir réglementaire :
3. En premier lieu, aux termes de l'article 34 de la Constitution : " La loi fixe les règles concernant : les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ". D'une part, aux termes de l'article 4 du décret du 30 décembre 2005 relatif aux passeports, dont les dispositions n'ont pas été modifiées par le décret litigieux : " Le passeport est délivré, sans condition d'âge, à tout Français qui en fait la demande ". D'autre part, si l'article 13 du décret attaqué modifie l'article 2 du décret du 22 octobre 1955 instituant la carte nationale d'identité, il ne modifie pas les conditions légales auxquelles est subordonnée la délivrance de ce titre. Il suit de là que le décret attaqué n'a, par conséquent, ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Les dispositions du décret attaqué pouvaient donc être adoptées par le pouvoir réglementaire sans méconnaître les dispositions précitées de l'article 34 de la Constitution.
4. En deuxième lieu, aux termes de l'article 27 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : (...) 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification des personnes physiques ". En application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat après avis motivé et publié de la Commission nationale de l'informatique et des libertés, le traitement automatisé relatif à la délivrance des passeports et des cartes nationales d'identité, sans que puisse avoir d'incidence à cet égard la circonstance que ce traitement a vocation à contenir les données de la quasi-totalité de la population française.
S'agissant de la régularité de la procédure suivie :
5. En premier lieu, il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, telle qu'elle a été produite au dossier par le ministre, que le texte publié ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur. Ainsi, aucune méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne saurait être retenue.
6. En deuxième lieu, il résulte de l'article 22 de la Constitution du 4 octobre 1958 que les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution. Les dispositions du décret attaqué ne comportent nécessairement l'intervention d'aucune mesure réglementaire ou individuelle que le ministre de l'économie et des finances, le ministre du budget, le ministre chargée du numérique et de l'innovation et le ministre de la justice seraient compétents pour signer ou contresigner. Dans ces conditions, l'absence de contreseing de ces ministres n'entache pas d'irrégularité les dispositions attaquées.
7. En troisième lieu, contrairement à ce que soutiennent les requérants, l'avis de la Commission nationale de l'informatique et des libertés a été publié au Journal Officiel de la République Française du 30 octobre 2016 soit le même jour que le décret attaqué, conformément aux dispositions de l'article 18 du décret du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, lesquelles prévoient que " Les avis motivés de la commission émis en application des articles 26 et 27 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement ".
8. En quatrième lieu, aux termes de l'article 1er du décret du 13 décembre 2012 relatif au Conseil national du numérique, la consultation de ce dernier par le Gouvernement est facultative. Il suit de là que le moyen tiré du défaut de consultation de ce Conseil ne saurait être utilement invoqué. Il en va de même du moyen tiré de ce que le décret attaqué aurait été pris à l'issue d'une procédure irrégulière, faute d'avoir été précédé d'une étude d'impact.
En ce qui concerne la légalité interne :
S'agissant de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité du droit :
9. Contrairement à ce que soutiennent les requérants, le décret attaqué, suffisamment clair et précis, ne méconnaît pas cet objectif.
S'agissant des moyens tirés de la méconnaissance des engagements internationaux de la France et des dispositions des articles 1er et 6-3° de la loi du 6 janvier 1978 :
10. L'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales stipule : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ". L'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 stipule quant à elle : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ". L'article 1er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose: " L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ". Enfin, l'article 6 de la même loi dispose: " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ".
11. Il résulte de l'ensemble de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
12. En premier lieu, l'article 1er du décret attaqué autorise le ministre de l'intérieur à mettre en oeuvre un traitement de données à caractère personnel dénommé " titres électroniques sécurisés ". Ce traitement enregistre les données à caractère personnel des personnes souhaitant se voir délivrer, ou renouveler, un passeport ou une carte nationale d'identité. Il ressort de ce même article que ce traitement n'a pour finalité que de permettre l'instruction des demandes relatives à ces titres et de prévenir et détecter leur falsification et leur contrefaçon. La création d'un tel traitement, destiné à préserver l'intégrité des données à caractère personnel nécessaires à la délivrance des titres d'identité et de voyage aux fins de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude et qui, au surplus, facilite, par la centralisation des données recueillies, les démarches des usagers, est ainsi justifiée par un motif d'intérêt général. Il suit de là que les finalités ainsi poursuivies, qui excluent toute possibilité d'identifier une personne à partir de ses données biométriques, sont au nombre de celles qui justifient qu'il puisse être porté, par la création de ce traitement centralisé de données à caractère personnel, atteinte au droit des individus au respect de leur vie privée.
13. En deuxième lieu, en vertu du I de l'article 2 du décret attaqué, les données à caractère personnel enregistrées dans le traitement automatisé sont notamment, outre celles relatives à l'état civil du titulaire du passeport ou de la carte nationale d'identité, " l'image numérisée du visage et celles des empreintes digitales qui peuvent être légalement recueillies ". Toutefois, le II de ce même article précise que " le traitement ne comporte pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage ou de l'image numérisée des empreintes digitales enregistrées dans ce traitement ". Aussi, conformément à sa finalité d'authentification, l'accès à ce traitement ne peut se faire que par l'identité du porteur du titre d'identité, à l'exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes.
14. En troisième lieu, il ressort des dispositions de l'article 3 du décret attaqué que seuls les personnels chargés de l'instruction des demandes de titres peuvent accéder aux données contenues dans le traitement automatisé litigieux. Les agents, mentionnés à l'article 5 du décret attaqué, chargés des missions de recherche et de contrôle de l'identité des personnes au sein des services de la police nationale, de la gendarmerie nationale et des douanes ne peuvent légalement y accéder qu'aux fins de vérifier, en cas de doute, la validité ou l'authenticité d'un passeport ou d'une carte nationale d'identité. Si des agents chargés de la prévention et de la répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme ont également accès, sous certaines conditions, à ces données, l'article 4 du décret attaqué prévoit qu'ils ne peuvent pas accéder aux images numérisées des empreintes digitales. Dans ces conditions, la consultation des empreintes digitales contenues dans le traitement informatisé ne peut servir qu'à confirmer que la personne présentant une demande de renouvellement d'un passeport ou d'une carte nationalité d'identité est bien celle à laquelle ce titre a été initialement délivré ou à s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport et, lorsqu'il aura été mis en oeuvre, dans celui de la carte nationale d'identité. Enfin, les personnes ayant accès à ces données, aux seules fins d'authentification du titulaire du titre, sont limitativement déterminées. A cet égard, l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document.
15. En quatrième lieu, la durée de conservation des données à caractère personnel est limitée à quinze ans lorsque le passeport est délivré à un majeur et à dix ans lorsqu'il est délivré à un mineur. Si cette durée de conservation est rallongée, dans les deux cas, de cinq ans lorsque les données sont recueillies à l'occasion d'une demande relative à une carte nationale d'identité, ce délai supplémentaire est justifié par la durée de validité plus longue de ce titre. A l'expiration de ces délais, les données enregistrées sont supprimées.
16. En cinquième lieu, l'article 38 de la loi du 6 janvier 1978 dispose : " Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. (...) Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement ". Si l'article 12 du décret attaqué dispose quant à lui que le demandeur du titre ne peut exercer, à l'égard des données qui font l'objet du traitement en cause, le droit d'opposition ouvert au premier alinéa de l'article 38 précité, conformément à ce que prévoit le troisième alinéa de cet article, les articles 10 et 11 de ce décret prévoient en revanche qu'il est informé des données nominatives qui ont été recueillies et qu'il peut exercer le droit d'accès et le droit de rectification dans les conditions fixées aux articles 39 et 40 de la loi du 6 janvier 1978.
17. Il résulte de ce qui précède, que la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé. Il en va ainsi quel que soit l'âge des personnes, dès lors que la prise de deux empreintes, nécessaires à l'établissement d'un passeport ou d'une carte nationale d'identité, ne porte aucune atteinte aux droits spécifiques des mineurs.
S'agissant des moyens tirés de la méconnaissance du droit de l'Union européenne :
18. En premier lieu, par son arrêt du 16 avril 2015 W.P. Willems et autres (C-446/12 à C-449/12), la Cour de justice de l'Union européenne a dit pour droit, d'une part, que le règlement n° 2252/2004 du Conseil, du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres n'est pas applicable aux cartes d'identités délivrées par un Etat membre à ses ressortissants, d'autre part, que ce règlement " doit être interprété en ce sens qu'il n'oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage, un tel aspect ne relevant pas du champ d'application dudit règlement ". Il suit de là que les requérants ne sauraient utilement invoquer le règlement du 13 décembre 2014 à l'encontre du décret attaqué, qui autorise la création d'un traitement automatisé de données ne relevant pas du champ d'application de ce règlement.
19. En second lieu, pour les motifs énoncés aux points 12 à 17 de la présente décision, le décret attaqué ne méconnaît, en tout état de cause, ni les dispositions de l'article 6, paragraphe 1, sous c), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, aux termes desquelles " les Etats membres prévoient que les données à caractère personnel doivent être (...) c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ", ni celles des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, respectivement relatifs au droit au respect de la vie privée et familiale et au droit à la protection des données à caractère personnel.
20. Enfin et en tout état de cause, ne peuvent être utilement invoqués à l'encontre du décret attaqué les moyens tirés de ce qu'il méconnaîtrait les dispositions des articles 9 et 35 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dont l'article 99 prévoit qu'il n'est applicable qu'à partir du 25 mai 2018.
S'agissant des autres moyens :
21. En premier lieu, si l'article 2 de la loi du 27 mars 2012 énumère les données contenues dans le composant électronique sécurisé que comportent la carte nationale d'identité et le passeport, ces dispositions n'ont ni pour objet, ni pour effet, de déterminer les données qui peuvent être enregistrées dans le traitement autorisé par le décret attaqué. Il suit de là que le fait que l'article 2 du décret attaqué prévoit l'enregistrement, dans ce traitement, de données qui ne sont pas contenues dans le composant électronique sécurisé ne saurait méconnaître l'article 2 de la loi du 27 mars 2012.
22. En deuxième lieu, si l'article 34 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui sont relatives aux obligations du responsable du traitement dans le fonctionnement de ce dernier, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte réglementaire portant création du traitement automatisé dont la légalité n'est pas susceptible d'être affectée par les conditions dans lesquelles ce traitement sera mis en oeuvre. Dans ces conditions, le moyen tiré de l'erreur de fait qu'aurait commise le ministre de l'intérieur en omettant de prendre en compte " la réalité de l'insécurité permanente " induite par le traitement litigieux ne peut qu'être écarté.
23. En dernier lieu, le détournement de pouvoir allégué n'est pas établi.
Sur les conclusions tendant à l'annulation de l'arrêté du 9 février 2017 :
24. Pour les mêmes motifs que ceux précédemment exposés à l'occasion de l'examen des requêtes dirigées contre le décret du 28 octobre 2016, les moyens tirés de l'erreur de fait et de l'erreur de droit au regard du droit au respect de la vie privée dont l'arrêté attaqué serait entaché ne peuvent qu'être écartés. Il en va de même du moyen tiré de l'annulation par voie de conséquence de celle du décret du 28 octobre 2016.
25. Aucune disposition législative ou réglementaire n'imposait que l'arrêté attaqué soit précédé d'une étude d'impact et le détournement de pouvoir allégué n'est pas établi.
26. Il résulte de tout ce qui précède, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle ni qu'il soit besoin, d'une part, d'ordonner une expertise en application des dispositions de l'article R. 621-1 du code de justice administrative et, d'autre part, de se prononcer sur les fins de non-recevoir opposées en défense par le ministre de l'intérieur, que les requérants ne sont pas fondés à demander l'annulation pour excès de pouvoir du décret et de l'arrêté qu'ils attaquent. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise, à ce titre, à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : L'intervention du syndicat des avocats de France n'est pas admise.
Article 2 : Les requêtes de M. G...et l'association Génération Libre, de M. L...et Mme B..., de M.K..., de M.J..., de MM. A...etC..., de l'association La Quadrature du Net et de la ligue des droits de l'homme sont rejetées.
Article 3 : La présente décision sera notifiée à M. H... G..., à l'association Génération libre, à M. M... L..., à Mme D...B..., à M. F... K..., à M. I...J..., à Louis-GeorgesA..., à M. E...C..., à l'association La Quadrature du Net, à la Ligue des droits de l'homme, au Premier ministre et au ministre de l'intérieur.
N° 404996
ECLI:FR:CECHR:2018:404996.20181018
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Vincent Villette, rapporteur
M. Edouard Crépey, rapporteur public
Lecture du jeudi 18 octobre 2018
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
1° Sous le n° 404996, par une requête et un mémoire en réplique, enregistrés le 14 novembre 2016 et le 15 janvier 2018 au secrétariat du contentieux du Conseil d'Etat, M. H... G...et l'association Génération Libre demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat, pour chacun des requérants, la somme de 1 500 euros au titre de l'article L. 761-1.
2° Sous le n° 405036, par une requête, enregistrée le 15 novembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. M...L...et Mme D...B...demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
3° Sous le n° 405710, par une requête, enregistrée le 6 décembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. F...K...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
4° Sous le n° 405895, par une requête, enregistrée le 13 décembre 2016 au secrétariat du contentieux du Conseil d'Etat, M. I...J...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
....................................................................................
5° Sous le n° 406299, par une requête et un mémoire en réplique, enregistrés le 26 décembre 2016 et le 15 novembre 2017 au secrétariat du contentieux du Conseil d'Etat, M. N... A...et M. E...C...demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
6° Sous le n° 406347, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 27 décembre 2016, 27 mars 2017 et 31 mai 2018 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne de plusieurs questions préjudicielles portant sur l'interprétation de la directive 95/46/CE du 24 octobre 1995 ;
3°) à titre subsidiaire, de procéder à une expertise sur le fondement des dispositions de l'article R. 621-1 du code de justice administrative ;
4°) de mettre à la charge de l'Etat une somme de 1 024 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
7° Sous le n° 406421, par une requête sommaire et un mémoire complémentaire, enregistrés le 29 novembre 2016 et le 29 mars 2017 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
8° Sous le n° 408359, par une requête et un mémoire en réplique, enregistrés le 24 février et le 15 novembre 2017 au secrétariat du contentieux du Conseil d'Etat, M. N... A...et M. E...C...demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir l'arrêté du 9 février 2017 portant l'application du décret n° 2016-1480 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
2°) de mettre à la charge de l'Etat la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- la Constitution et notamment ses articles 22, 34 et 37 ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 ;
- le règlement n° 2252/2004 du Conseil, du 13 décembre 2004 ;
- la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2012-410 du 27 mars 2012 ;
- le décret n° 2012-1400 du 13 décembre 2012 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Vincent Villette, maître des requêtes,
- les conclusions de M. Edouard Crépey, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la Ligue des droits de l'homme ;
Considérant ce qui suit :
1. Les requêtes de M. G...et l'association Génération Libre, de M. L... et MmeB..., de M.K..., de M.J..., de M. A...et M.C..., de l'association la Quadrature du Net et de la Ligue des droits de l'homme sont dirigées contre le même décret du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. Sous le n° 408359, MM. A...et C...demandent l'annulation pour excès de pouvoir de l'arrêté du 9 février 2017 portant l'application du décret n° 2016-1480 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. Il y a lieu de joindre l'ensemble de ces requêtes pour statuer par une seule décision.
Sur les conclusions tendant à l'annulation pour excès de pouvoir du décret du 28 octobre 2016 :
En ce qui concerne l'intervention du syndicat des avocats de France présentée sous le numéro 406347 :
2. Le syndicat des avocats de France, qui est un syndicat professionnel, ne justifie pas, à ce titre, d'un intérêt suffisant à l'annulation du décret attaqué dont l'objet est visé ci-dessus. Par ailleurs, il ne saurait utilement se prévaloir des termes généraux de ses statuts relatifs à " l'action pour la défense des droits de la défense et des libertés dans le monde " pour justifier d'un intérêt lui donnant qualité pour intervenir. Il s'ensuit que son intervention n'est pas recevable.
En ce qui concerne la légalité externe :
S'agissant de la compétence du pouvoir réglementaire :
3. En premier lieu, aux termes de l'article 34 de la Constitution : " La loi fixe les règles concernant : les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ". D'une part, aux termes de l'article 4 du décret du 30 décembre 2005 relatif aux passeports, dont les dispositions n'ont pas été modifiées par le décret litigieux : " Le passeport est délivré, sans condition d'âge, à tout Français qui en fait la demande ". D'autre part, si l'article 13 du décret attaqué modifie l'article 2 du décret du 22 octobre 1955 instituant la carte nationale d'identité, il ne modifie pas les conditions légales auxquelles est subordonnée la délivrance de ce titre. Il suit de là que le décret attaqué n'a, par conséquent, ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Les dispositions du décret attaqué pouvaient donc être adoptées par le pouvoir réglementaire sans méconnaître les dispositions précitées de l'article 34 de la Constitution.
4. En deuxième lieu, aux termes de l'article 27 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : (...) 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification des personnes physiques ". En application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat après avis motivé et publié de la Commission nationale de l'informatique et des libertés, le traitement automatisé relatif à la délivrance des passeports et des cartes nationales d'identité, sans que puisse avoir d'incidence à cet égard la circonstance que ce traitement a vocation à contenir les données de la quasi-totalité de la population française.
S'agissant de la régularité de la procédure suivie :
5. En premier lieu, il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, telle qu'elle a été produite au dossier par le ministre, que le texte publié ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur. Ainsi, aucune méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne saurait être retenue.
6. En deuxième lieu, il résulte de l'article 22 de la Constitution du 4 octobre 1958 que les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution. Les dispositions du décret attaqué ne comportent nécessairement l'intervention d'aucune mesure réglementaire ou individuelle que le ministre de l'économie et des finances, le ministre du budget, le ministre chargée du numérique et de l'innovation et le ministre de la justice seraient compétents pour signer ou contresigner. Dans ces conditions, l'absence de contreseing de ces ministres n'entache pas d'irrégularité les dispositions attaquées.
7. En troisième lieu, contrairement à ce que soutiennent les requérants, l'avis de la Commission nationale de l'informatique et des libertés a été publié au Journal Officiel de la République Française du 30 octobre 2016 soit le même jour que le décret attaqué, conformément aux dispositions de l'article 18 du décret du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, lesquelles prévoient que " Les avis motivés de la commission émis en application des articles 26 et 27 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement ".
8. En quatrième lieu, aux termes de l'article 1er du décret du 13 décembre 2012 relatif au Conseil national du numérique, la consultation de ce dernier par le Gouvernement est facultative. Il suit de là que le moyen tiré du défaut de consultation de ce Conseil ne saurait être utilement invoqué. Il en va de même du moyen tiré de ce que le décret attaqué aurait été pris à l'issue d'une procédure irrégulière, faute d'avoir été précédé d'une étude d'impact.
En ce qui concerne la légalité interne :
S'agissant de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité du droit :
9. Contrairement à ce que soutiennent les requérants, le décret attaqué, suffisamment clair et précis, ne méconnaît pas cet objectif.
S'agissant des moyens tirés de la méconnaissance des engagements internationaux de la France et des dispositions des articles 1er et 6-3° de la loi du 6 janvier 1978 :
10. L'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales stipule : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ". L'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 stipule quant à elle : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ". L'article 1er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose: " L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ". Enfin, l'article 6 de la même loi dispose: " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ".
11. Il résulte de l'ensemble de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
12. En premier lieu, l'article 1er du décret attaqué autorise le ministre de l'intérieur à mettre en oeuvre un traitement de données à caractère personnel dénommé " titres électroniques sécurisés ". Ce traitement enregistre les données à caractère personnel des personnes souhaitant se voir délivrer, ou renouveler, un passeport ou une carte nationale d'identité. Il ressort de ce même article que ce traitement n'a pour finalité que de permettre l'instruction des demandes relatives à ces titres et de prévenir et détecter leur falsification et leur contrefaçon. La création d'un tel traitement, destiné à préserver l'intégrité des données à caractère personnel nécessaires à la délivrance des titres d'identité et de voyage aux fins de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude et qui, au surplus, facilite, par la centralisation des données recueillies, les démarches des usagers, est ainsi justifiée par un motif d'intérêt général. Il suit de là que les finalités ainsi poursuivies, qui excluent toute possibilité d'identifier une personne à partir de ses données biométriques, sont au nombre de celles qui justifient qu'il puisse être porté, par la création de ce traitement centralisé de données à caractère personnel, atteinte au droit des individus au respect de leur vie privée.
13. En deuxième lieu, en vertu du I de l'article 2 du décret attaqué, les données à caractère personnel enregistrées dans le traitement automatisé sont notamment, outre celles relatives à l'état civil du titulaire du passeport ou de la carte nationale d'identité, " l'image numérisée du visage et celles des empreintes digitales qui peuvent être légalement recueillies ". Toutefois, le II de ce même article précise que " le traitement ne comporte pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage ou de l'image numérisée des empreintes digitales enregistrées dans ce traitement ". Aussi, conformément à sa finalité d'authentification, l'accès à ce traitement ne peut se faire que par l'identité du porteur du titre d'identité, à l'exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes.
14. En troisième lieu, il ressort des dispositions de l'article 3 du décret attaqué que seuls les personnels chargés de l'instruction des demandes de titres peuvent accéder aux données contenues dans le traitement automatisé litigieux. Les agents, mentionnés à l'article 5 du décret attaqué, chargés des missions de recherche et de contrôle de l'identité des personnes au sein des services de la police nationale, de la gendarmerie nationale et des douanes ne peuvent légalement y accéder qu'aux fins de vérifier, en cas de doute, la validité ou l'authenticité d'un passeport ou d'une carte nationale d'identité. Si des agents chargés de la prévention et de la répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme ont également accès, sous certaines conditions, à ces données, l'article 4 du décret attaqué prévoit qu'ils ne peuvent pas accéder aux images numérisées des empreintes digitales. Dans ces conditions, la consultation des empreintes digitales contenues dans le traitement informatisé ne peut servir qu'à confirmer que la personne présentant une demande de renouvellement d'un passeport ou d'une carte nationalité d'identité est bien celle à laquelle ce titre a été initialement délivré ou à s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport et, lorsqu'il aura été mis en oeuvre, dans celui de la carte nationale d'identité. Enfin, les personnes ayant accès à ces données, aux seules fins d'authentification du titulaire du titre, sont limitativement déterminées. A cet égard, l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document.
15. En quatrième lieu, la durée de conservation des données à caractère personnel est limitée à quinze ans lorsque le passeport est délivré à un majeur et à dix ans lorsqu'il est délivré à un mineur. Si cette durée de conservation est rallongée, dans les deux cas, de cinq ans lorsque les données sont recueillies à l'occasion d'une demande relative à une carte nationale d'identité, ce délai supplémentaire est justifié par la durée de validité plus longue de ce titre. A l'expiration de ces délais, les données enregistrées sont supprimées.
16. En cinquième lieu, l'article 38 de la loi du 6 janvier 1978 dispose : " Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. (...) Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement ". Si l'article 12 du décret attaqué dispose quant à lui que le demandeur du titre ne peut exercer, à l'égard des données qui font l'objet du traitement en cause, le droit d'opposition ouvert au premier alinéa de l'article 38 précité, conformément à ce que prévoit le troisième alinéa de cet article, les articles 10 et 11 de ce décret prévoient en revanche qu'il est informé des données nominatives qui ont été recueillies et qu'il peut exercer le droit d'accès et le droit de rectification dans les conditions fixées aux articles 39 et 40 de la loi du 6 janvier 1978.
17. Il résulte de ce qui précède, que la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé. Il en va ainsi quel que soit l'âge des personnes, dès lors que la prise de deux empreintes, nécessaires à l'établissement d'un passeport ou d'une carte nationale d'identité, ne porte aucune atteinte aux droits spécifiques des mineurs.
S'agissant des moyens tirés de la méconnaissance du droit de l'Union européenne :
18. En premier lieu, par son arrêt du 16 avril 2015 W.P. Willems et autres (C-446/12 à C-449/12), la Cour de justice de l'Union européenne a dit pour droit, d'une part, que le règlement n° 2252/2004 du Conseil, du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres n'est pas applicable aux cartes d'identités délivrées par un Etat membre à ses ressortissants, d'autre part, que ce règlement " doit être interprété en ce sens qu'il n'oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage, un tel aspect ne relevant pas du champ d'application dudit règlement ". Il suit de là que les requérants ne sauraient utilement invoquer le règlement du 13 décembre 2014 à l'encontre du décret attaqué, qui autorise la création d'un traitement automatisé de données ne relevant pas du champ d'application de ce règlement.
19. En second lieu, pour les motifs énoncés aux points 12 à 17 de la présente décision, le décret attaqué ne méconnaît, en tout état de cause, ni les dispositions de l'article 6, paragraphe 1, sous c), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, aux termes desquelles " les Etats membres prévoient que les données à caractère personnel doivent être (...) c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ", ni celles des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, respectivement relatifs au droit au respect de la vie privée et familiale et au droit à la protection des données à caractère personnel.
20. Enfin et en tout état de cause, ne peuvent être utilement invoqués à l'encontre du décret attaqué les moyens tirés de ce qu'il méconnaîtrait les dispositions des articles 9 et 35 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dont l'article 99 prévoit qu'il n'est applicable qu'à partir du 25 mai 2018.
S'agissant des autres moyens :
21. En premier lieu, si l'article 2 de la loi du 27 mars 2012 énumère les données contenues dans le composant électronique sécurisé que comportent la carte nationale d'identité et le passeport, ces dispositions n'ont ni pour objet, ni pour effet, de déterminer les données qui peuvent être enregistrées dans le traitement autorisé par le décret attaqué. Il suit de là que le fait que l'article 2 du décret attaqué prévoit l'enregistrement, dans ce traitement, de données qui ne sont pas contenues dans le composant électronique sécurisé ne saurait méconnaître l'article 2 de la loi du 27 mars 2012.
22. En deuxième lieu, si l'article 34 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui sont relatives aux obligations du responsable du traitement dans le fonctionnement de ce dernier, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte réglementaire portant création du traitement automatisé dont la légalité n'est pas susceptible d'être affectée par les conditions dans lesquelles ce traitement sera mis en oeuvre. Dans ces conditions, le moyen tiré de l'erreur de fait qu'aurait commise le ministre de l'intérieur en omettant de prendre en compte " la réalité de l'insécurité permanente " induite par le traitement litigieux ne peut qu'être écarté.
23. En dernier lieu, le détournement de pouvoir allégué n'est pas établi.
Sur les conclusions tendant à l'annulation de l'arrêté du 9 février 2017 :
24. Pour les mêmes motifs que ceux précédemment exposés à l'occasion de l'examen des requêtes dirigées contre le décret du 28 octobre 2016, les moyens tirés de l'erreur de fait et de l'erreur de droit au regard du droit au respect de la vie privée dont l'arrêté attaqué serait entaché ne peuvent qu'être écartés. Il en va de même du moyen tiré de l'annulation par voie de conséquence de celle du décret du 28 octobre 2016.
25. Aucune disposition législative ou réglementaire n'imposait que l'arrêté attaqué soit précédé d'une étude d'impact et le détournement de pouvoir allégué n'est pas établi.
26. Il résulte de tout ce qui précède, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle ni qu'il soit besoin, d'une part, d'ordonner une expertise en application des dispositions de l'article R. 621-1 du code de justice administrative et, d'autre part, de se prononcer sur les fins de non-recevoir opposées en défense par le ministre de l'intérieur, que les requérants ne sont pas fondés à demander l'annulation pour excès de pouvoir du décret et de l'arrêté qu'ils attaquent. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise, à ce titre, à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : L'intervention du syndicat des avocats de France n'est pas admise.
Article 2 : Les requêtes de M. G...et l'association Génération Libre, de M. L...et Mme B..., de M.K..., de M.J..., de MM. A...etC..., de l'association La Quadrature du Net et de la ligue des droits de l'homme sont rejetées.
Article 3 : La présente décision sera notifiée à M. H... G..., à l'association Génération libre, à M. M... L..., à Mme D...B..., à M. F... K..., à M. I...J..., à Louis-GeorgesA..., à M. E...C..., à l'association La Quadrature du Net, à la Ligue des droits de l'homme, au Premier ministre et au ministre de l'intérieur.