Conseil d'État
N° 447970
ECLI:FR:CEORD:2021:447970.20210104
Inédit au recueil Lebon
Juge des référés
SCP SEVAUX, MATHONNET ; SCP SPINOSI, SUREAU, avocats
Lecture du lundi 4 janvier 2021
Vu la procédure suivante :
Par une requête, enregistrée le 19 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative :
1°) d'ordonner la suspension de l'exécution du décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " ;
2°) de mettre à la charge de l'Etat le versement à chacun des requérants d'une somme de 1 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Ils soutiennent que :
- ils justifient d'un intérêt pour agir contre ce décret ;
- la condition d'urgence est remplie dès lors que l'exécution du décret porte une atteinte grave et immédiate au droit au respect de la vie privée des personnes, eu égard au caractère personnel des données collectées, à leur extrême sensibilité, au périmètre des motifs d'enregistrement dans le traitement, au caractère excessif de la durée maximale de conservation de ces données et à l'absence d'impératifs justifiant la mise en oeuvre de ce décret ;
- il existe un doute sérieux quant à la légalité du décret contesté ;
- le décret n'a pas fait l'objet d'une consultation régulière de la commission nationale de l'informatique et des libertés, le décret adopté n'étant pas celui qui a été soumis à la commission et comportant des éléments nouveaux sur la collecte des données relatives aux opinions politiques, aux convictions philosophiques, religieuses ou à une appartenance syndicale et sur la mise en oeuvre d'un dispositif d'interrogation par la photographie qui exigeaient une nouvelle consultation ;
- le décret n'a pas fait l'objet d'une consultation régulière du Conseil d'Etat, faute de toute justification permettant de s'assurer que le décret est conforme au projet de décret soumis par le Gouvernement au Conseil d'Etat ou à la minute de la section du Conseil d'Etat qui l'a examiné ;
- le décret n'a pas été précédé d'une analyse d'impact du dispositif permettant d'effectuer une recherche à partir des photographies enregistrées dans le traitement, en méconnaissance de l'article 27 de la directive n° 2016/860 du 27 avril 2016 ;
- le décret porte une atteinte disproportionnée au droit au respect de la vie privée et à la liberté d'opinion, de conscience et de religion et méconnaît les dispositions de l'article 4 de la loi du 6 janvier 1978 eu égard, en premier lieu, à l'absence de finalité claire et légitime du traitement de données contesté, en deuxième lieu, au caractère inadéquat et non pertinent des données collectées, en troisième lieu, au périmètre excessivement étendu de l'accès aux données et, en dernier lieu, au caractère excessif de la durée de conservation des données ;
- le traitement ne présente pas de finalité claire et légitime en raison, en premier lieu, du cumul de deux finalités distinctes de prévention des atteintes à la sécurité publique et de prévention des atteintes à la sûreté de l'Etat et de la confusion qui en résulte, les règles de mise en oeuvre du traitement ne distinguant pas l'une ou l'autre des deux finalités poursuivies, et, en deuxième lieu, du fait de l'existence d'autres traitements dédiés à la sûreté de l'Etat ;
- les données collectées ne sont ni pertinentes, en raison de l'autorisation de collecter des données sensibles sans opérer de distinction selon la finalité poursuivie, ni adéquates, en raison d'une définition trop imprécise et de la possibilité de collecter des données relatives aux opinions politiques et aux convictions philosophiques, religieuses et syndicales, des données de santé révélant une dangerosité ou une vulnérabilité particulière ou portant sur des troubles psychologiques, des données relatives aux identifiants utilisés sur les réseaux sociaux et aux activités sur les réseaux sociaux, des données relatives aux antécédents judiciaires, aux suites judiciaires et aux mesures administratives ou judiciaires restrictives de droits, décidées ou proposées, en méconnaissance des dispositions de l'article 777-3 du code de procédure pénale, et le décret prévoit un périmètre excessif des données collectées en raison de l'étendue des personnes concernées par la collecte ;
- le périmètre de l'accès aux données est excessivement étendu en permettant l'accès aux données aux forces de l'ordre alors mêmes qu'elles ne seraient dotées d'aucune mission de renseignement sans garanties suffisantes ;
- la durée de conservation des données présente un caractère excessif, la durée de conservation étant identique selon que la personne représente une menace pour la sécurité publique ou la sûreté de l'Etat ou qu'elle figure dans le traitement du fait de sa qualité de victime ou de tiers entretenant des contacts fréquents avec une personne représentant une menace, cette durée courant à compter de l'intervention du dernier évènement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat, le décret ne distinguant d'ailleurs pas selon la finalité poursuivie et le décret permettant le rapprochement avec d'autres traitements ayant une durée de conservation encore plus longue ;
- le décret méconnaît les dispositions de l'article 98 de la loi du 6 janvier 1978 et les stipulations de l'article 6 de la directive du 27 avril 2016 en raison de l'absence de distinction selon la gravité de la menace présentée par l'individu ;
- le décret méconnaît l'article 88 de la loi du 6 janvier 1978, l'article 1er de la Constitution, le droit au respect de la vie privée et la liberté de pensée, de conscience et de religion en autorisant la collecte de données sensibles relevant de l'article 6 de la loi du 6 janvier 1978 sans, d'une part, soumettre la collecte de ces données à une nécessité absolue et, d'autre part, l'assortir de garanties appropriées.
Par un mémoire en défense, enregistré le 22 décembre 2020, le ministre de l'intérieur conclut au rejet de la requête. Il soutient que la condition d'urgence n'est pas remplie et qu'aucun des moyens n'est de nature à créer un doute sérieux quant à la légalité des dispositions contestées.
Par un mémoire en intervention, enregistré le 22 décembre 2020, l'association " La Quadrature du Net " conclut à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres. Elle soutient que :
- le 2° de l'article 3 du décret attaqué a été pris en violation du II de l'article 31 de la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés ne s'étant pas prononcée sur cette modification ;
- le décret méconnaît le 2° de l'article 4 de la loi du 6 janvier 1978 dès lors que sa finalité n'est ni déterminée, ni explicite, ni légitime ;
- le décret méconnaît le 3° de l'article 4 de la loi du 6 janvier 1978 en prévoyant que peuvent être désormais fichées les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec la personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat ainsi que les victimes des agissements de cette dernière ;
- le décret méconnaît les stipulations de l'article 3 de la Convention des Nations-Unies du 20 novembre 1989 relative aux droits de l'enfant en permettant la collecte de données de mineurs de moins de treize ans qui font partie de l'entourage de personnes représentant une menace ou de leurs victimes ;
- le décret méconnaît les articles 4 et 88 de la loi du 6 janvier 1978 en autorisant le traitement de données personnelles inadéquates et non pertinentes au regard des finalités pour lesquelles elles sont traitées et non limitées à ce qui est absolument nécessaire en prévoyant la collecte, la conservation et le traitement de données relatives à des opinions politiques, des convictions philosophique, religieuses ou à une appartenance syndicale, de données de santé révélant une dangerosité particulière ou de données relatives aux activités sur les réseaux sociaux ;
- le décret méconnaît l'article 92 de la loi du 6 janvier 1978 en instaurant des opérations de rapprochements avec d'autres fichiers dont la nécessité et la proportionnalité à l'objectif poursuivi font défaut et en instaurant des opérations d'interconnexion et de rapprochement avec le traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité et avec le traitement des antécédents judiciaires ;
- le décret méconnaît l'article 101 de la loi du 6 janvier 1978 en instaurant des opérations d'interconnexion sans prévoir un enregistrement de ces dernières dans un journal d'opérations ;
- le décret méconnaît l'article 88 de la loi du 6 janvier 1978 en ne prévoyant pas de garanties appropriées pour les droits et libertés des personnes concernées pour le traitement de données relatives à des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ;
- le décret méconnaît le 5° de l'article 4 de la loi du 6 janvier 1978 en prévoyant une conservation de données personnelles pendant une durée excédant ce qui est nécessaire au regard des finalités pour lesquelles ces données sont traitées.
Par un mémoire en intervention, enregistré le 23 décembre 2020, la Ligue des droits de l'Homme et la Section française de l'Observatoire international des prisons concluent à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres, aux moyens de laquelle elles s'associent.
Par un mémoire en intervention, enregistré le 23 décembre 2020, le Syndicat national des journalistes conclut à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres et à ce qu'une somme de 2 000 euros soit mise à la charge de l'Etat au titre de l'article L. 761-1 du code de justice administrative. Il soutient que :
- le décret porte atteinte à la liberté syndicale en permettant la collecte de données relatives aux activités publiques ou au sein de groupements ou de personnes morales et la collecte de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ;
- le décret porte atteinte à la vie privée en élargissant les données pouvant être collectées en permettant notamment la collecte de données relatives aux pratiques sportives, syndicales et aux éléments de santé ;
- le décret méconnaît l'article 1er de la Constitution en permettant la collecte de données sur l'origine géographique, sur les pratiques et comportements religieux ou sur les pratiques syndicales ;
- le décret porte une atteinte grave et manifestement illégale à la liberté d'association en étendant les données collectées aux personnes morales, en permettant la collecte de données relatives aux activités publiques ou au sein de groupements ou de personnes morales et la collecte de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ;
- le décret porte une atteinte grave et manifestement illégale au droit à la liberté individuelle en permettant une collecte inédite de données personnelles ;
- le décret porte une atteinte grave et manifestement illégale au pluralisme de l'expression des opinions comme corollaire de la liberté de la presse ;
- le décret porte une atteinte grave et manifestement illégale au secret des sources.
La requête a été communiquée au Premier ministre, qui n'a pas produit d'observations.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment ses articles 8 à 11 ;
- la convention relative aux droits de l'enfant, notamment son article 3 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de procédure pénale ;
- le code de la sécurité intérieure ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir convoqué à une audience publique, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France, d'autre part, le Premier ministre et le ministre de l'intérieur ;
Ont été entendus lors de l'audience publique du 23 décembre 2020, à 15 heures :
- Me Mathonnet, avocat au Conseil d'Etat et à la Cour de cassation, avocat de la Confédération générale du travail, de la Confédération générale du travail - Force ouvrière, de la Fédération syndicale unitaire, de l'Union syndicale Solidaires, du Syndicat de la magistrature, du Syndicat des avocats de France, du Groupe d'information et de soutien des immigré.e.s et de l'Union nationale des étudiants de France ;
- le secrétaire général de la Confédération générale du travail ;
- le secrétaire général de la Confédération générale du travail - Force ouvrière ;
- la représentante du ministre de l'intérieur ;
à l'issue de laquelle le juge des référés a clos l'instruction.
Considérant ce qui suit :
1. Aux termes du premier alinéa de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision ".
2. La Confédération générale du travail et autres demandent au juge des référés du Conseil d'Etat, sur le fondement de l'article L. 521-1 du code de justice administrative, d'ordonner la suspension de l'exécution du décret du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives aux traitements de données à caractère personnel dénommés " Prévention des atteintes à la sécurité publique ".
3. L'association " La Quadrature du Net ", la Ligue des droits de l'homme et son co-intervenant et le Syndicat national des journalistes justifient d'un intérêt suffisant pour intervenir au soutien des requêtes.
4. Aux termes de l'article 6 de la loi du 6 janvier 1978 : " I. Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. / II. Les exceptions à l'interdiction mentionnée au I sont fixées dans les conditions prévues par le 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi. / III. De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés suivant les modalités prévues au II de l'article 31 et à l'article 32 ". Aux termes de l'article 31 de la loi du 6 janvier 1978 : " (...) II. Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement (...) ". Aux termes de l'article 90 de la même loi, applicable aux traitements de données à caractère personnel relevant de la directive 2016/680 du 27 avril 2016 : " Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en oeuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33 ".
5. En premier lieu, il résulte de la copie de la minute de la section de l'intérieur du Conseil d'Etat, produite dans le cadre de l'instruction par le ministre de l'intérieur, que le décret publié ne contient pas de disposition qui différerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur du Conseil d'Etat. Par suite, le moyen tiré de la méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne peut être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret contesté.
6. En deuxième lieu, il résulte de l'instruction que la Commission nationale de l'informatique et des libertés a été saisie d'une demande d'avis sur ce décret, une étude d'impact devant être transmise avec ce projet de décret qui portait sur des données mentionnées au I de l'article 6 de la loi du 6 janvier 1978 en application de l'article 90 de cette même loi. Il résulte de l'avis du 25 juin 2020 rendue par la Commission nationale de l'informatique et des libertés que cette dernière a été consultée sur la possibilité d'effectuer une recherche à partir de la photographie. Il résulte, en revanche, de l'instruction, et notamment d'un communiqué de presse de la Commission nationale de l'informatique et des libertés du 11 décembre 2020, que cette dernière n'a pas été consultée sur la modification apportée par l'article 3 du décret contesté à l'article R. 236-13 du code de la sécurité intérieure pour autoriser, par dérogation à l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978, la conservation et le traitement de données relatives " A des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ". Ces dispositions n'ont toutefois ni pour objet, ni pour effet de permettre d'enregistrer d'autres catégories de données que celles prévues à l'article R. 236-12 du même en application de l'article 2 du décret litigieux, dont il n'est pas contesté qu'il a été soumis à la Commission. Elles mettent en cohérence la rédaction de l'article R. 236-13, qui permettait déjà le traitement de données relatives " A des activités politiques, philosophiques, religieuses ou syndicales ", avec les dispositions du I de l'article 6 de la loi du 6 janvier 1978. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que les moyens tirés de l'irrégularité de la consultation de la Commission nationale et de l'absence d'étude d'impact soient de nature à faire naître un doute sur la légalité du décret.
7. En troisième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (...) ".
8. L'article 1er du décret litigieux modifie les dispositions de l'article R. 236-11 du code de la sécurité intérieure pour ajouter au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique ", qui a pour finalité la prévention des atteintes à la sécurité publique, une finalité de prévention des atteintes à la sûreté de l'Etat. A la suite des observations de la Commission nationale de l'informatique et des libertés, il précise que ce traitement a notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles " de porter atteinte à l'intégrité du territoire ou de ces institutions ". Les finalités ainsi assignées au traitement apparaissent légitimes et énoncées de manière suffisamment précise. Si les requérants soutiennent que le traitement ne répondrait pas à des finalités claires et légitimes en raison du cumul de deux finalités distinctes et de la confusion qui en résulterait, le décret précise, à la suite des observations de la Commission nationale de l'informatique et des libertés, que les données intéressant la sûreté de l'Etat sont celles qui révèlent des activités " susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts " et que " ces données font l'objet d'une identification dans le traitement ", permettant ainsi de distinguer de manière précise au sein du traitement les données traitées pour des finalités relevant de la prévention des atteintes à la sécurité publique ou pour des finalités relevant de la prévention des atteintes à la sûreté de l'Etat. La circonstance que d'autres traitements intéressant la sûreté nationale seraient déjà autorisés par des actes réglementaires ne saurait, par elle-même, être regardée comme de nature à faire naître un doute sérieux sur la légalité du décret contesté. Par suite, le moyen tiré de ce que le traitement litigieux ne répondrait pas à des finalités déterminées, explicites et légitimes n'apparaît pas, en l'état de l'instruction, de nature à créer un doute sérieux sur la légalité du décret attaqué.
9. En quatrième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ". Aux termes de l'article 88 de la même loi, applicable aux traitements relevant de la directive 2016/680 du 27 avril 2016 : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ".
10. Ainsi qu'il a été dit au point 6, si l'article 3 du décret litigieux modifie l'article R. 236-13 du code de la sécurité intérieure pour prévoir, par dérogation à l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978, la collecte, la conservation et le traitement de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale ou à des données de santé révélant une dangerosité particulière, ces dispositions n'ont ni pour objet, ni pour effet de permettre de collecter d'autres catégories de données que celles prévues à l'article 2 du décret contesté. L'article R. 236-12 du code de la sécurité intérieure, dans sa rédaction issue de l'article 2 du décret contesté, prévoit que les données ne peuvent être enregistrées que dans la stricte mesure où elles sont nécessaires à la poursuite des finalités du traitement. Il précise que seules les activités " susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat " pourront donner lieu à l'enregistrement de données sur des activités publiques ou au sein de groupements ou de personnes morales ou des activités sur les réseaux sociaux, ce qui interdit notamment un enregistrement de personnes dans le traitement fondé sur une simple appartenance syndicale. Il convient également de relever, comme l'a fait valoir l'administration devant le juge des référés, que la possibilité d'enregistrer des données relatives aux activités susceptibles de porter atteinte à la sécurité publique sur les réseaux ne pourra provenir que de données collectées individuellement et manuellement. L'article R. 236-12 du code de la sécurité intérieure précise également que les données relatives aux troubles psychologiques ou psychiatriques susceptibles de révéler des facteurs de dangerosité ne peuvent être collectées que si elles sont obtenues conformément aux dispositions législatives et réglementaires en vigueur ce qui assure à la fois l'adéquation des données collectées et le respect du secret médical. Il convient de relever, à cet égard, que les données relatives aux addictions ou aux comportements auto-agressifs, également invoquées par les requérants, ne comportent normalement pas de motivation médicale. L'article R. 236-13 du code de la sécurité intérieure prévoit, par ailleurs, qu'il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles mentionnées au I de l'article 6 de la loi du 6 janvier 1978 contenues dans le traitement. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que le traitement de ces données dans le traitement ne répondrait pas à une nécessité absolue au regard des finalités de prévention des risques d'atteinte à la sécurité publique et ne serait pas assorti de garanties appropriées. Par suite, ne sauraient également être regardés comme de nature à faire naître un doute sérieux sur la légalité du décret contesté les moyens tirés de ce que le décret porterait une atteinte disproportionnée à la liberté d'opinion, de conscience et de religion, qu'il méconnaîtrait l'article 1er de la Constitution et qu'il porterait atteinte à la liberté syndicale, à la liberté d'association, au pluralisme des expressions comme corollaire de la liberté de la presse ou à la protection du secret des sources.
11. En cinquième lieu, à la suite des observations de la Commission nationale de l'informatique et des libertés, l'article 2 du décret précise la nature des données qui peuvent être collectées au titre des identifiants utilisés sur les réseaux sociaux, qui ne peuvent être regardés comme des données relatives à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale, en indiquant qu'il s'agit des pseudonymes, sites ou réseaux concernés et autres identifiants techniques à l'exclusion des mots de passe. Le moyen tiré de ce que ces données ne seraient ni adéquates, ni pertinentes et excessives au regard des finalités du traitement en cause n'apparaît pas, en l'état de l'instruction, comme de nature à faire naître un doute sérieux sur la légalité du décret contesté.
12. En sixième lieu, l'article R. 236-12 du code de la sécurité intérieure prévoyait, avant l'intervention du décret contesté, la collecte de données concernant les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne enregistrée dans ce traitement. L'article 2 du décret contesté prévoit également que peuvent être enregistrées dans le traitement dénommé " prévention des atteintes à la sécurité publique " des données concernant les victimes des agissements d'une personne pouvant porter atteinte à la sécurité publique ou la sûreté de l'Etat. Il fixe la liste des données concernant les personnes physiques entretenant ou ayant entretenu de telles relations directes et non fortuites et les victimes qui peuvent être enregistrées dans le traitement et prévoit qu'elles ne peuvent être collectées que " dans la stricte mesure où ces données sont nécessaires pour assurer le suivi d'une personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat ". Ces dispositions ne permettent ainsi de collecter ces données que si elles sont pertinentes au regard du motif de suivi de cette personne et uniquement dans le cadre de ce suivi. Il résulte d'ailleurs de l'avis de la Commission nationale de l'informatique et des libertés et des précisions données par l'administration à l'audience que ces données ne feront pas l'objet de fiches propres pour les victimes et les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat mais de notes d'information annexées aux fiches des personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Par suite, le moyen tiré de ce que le décret étendrait de manière excessive le périmètre des données collectées en raison de l'étendue des personnes concernées par la collecte n'apparaît pas de nature, en l'état de l'instruction, à créer un doute sérieux sur la légalité du décret litigieux.
13. En septième lieu, aux termes du deuxième alinéa de l'article 777-3 du code de procédure pénale : " Aucun fichier ou traitement à données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnation ". Comme l'a relevé la Commission nationale de l'informatique et des libertés dans son avis du 25 juin 2020, si l'article 2 du projet de décret permet la collecte de données relatives aux " agissements susceptibles de recevoir une qualification pénale ", aux " antécédents judiciaires (nature des faits et date) ", aux " suites judiciaires " et aux " mesures administratives ou judiciaires restrictives de droits, décidées ou proposées ", cette collecte ne pourra porter sur des jugements ou des arrêts de condamnation conformément aux dispositions de l'article 777-3 du code de procédure pénale.
14. En huitième lieu, l'article R. 236-16 du code de la sécurité intérieure prévoyait déjà, avant l'intervention du décret contesté, que les personnels de la police nationale ou les militaires de la gendarmerie nationale pouvaient, sans avoir un accès direct au traitement, être destinataires de données enregistrées dans celui-ci sur demande expresse, précisant l'identité du demandeur, l'objet et les motifs de la consultation. L'article 4 étend la liste des personnes pouvant avoir communication des données mentionnées dans le traitement aux personnes ayant autorité sur les services ou unités ayant un accès aux données enregistrées dans le traitement, aux procureurs de la République et, sur autorisation expresse, aux agents d'un service de la police nationale ou d'une unité de gendarmerie nationale chargés d'une mission de renseignement et aux agents des services de renseignement mentionnés aux articles R. 811-1 et R. 811-2 du code de la sécurité intérieure. La possibilité d'être destinataire de ces données " dans la limite du besoin d'en connaître " apparaît suffisamment encadrée dès lors qu'elle renvoie ainsi aux finalités du traitement. Par suite, ne saurait être regardé, en l'état de l'instruction, comme de nature à faire naître un doute sérieux sur la légalité du décret contesté le moyen tiré du périmètre excessivement étendu de l'accès aux données.
15. En neuvième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. (...) ".
16. L'article 4 du décret contesté ne modifie pas la durée de conservation des données qui ne peuvent être conservées plus de dix ans après l'intervention du dernier évènement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat ayant donné lieu à un enregistrement. Cette durée s'appliquait déjà aux données concernant les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne enregistrée dans ce traitement. La circonstance que le décret litigieux permettrait le rapprochement avec d'autres traitements ayant une durée de conservation des données plus longue ne modifie pas la durée de conservation des données enregistrées dans le traitement. Cette durée de dix ans n'apparaît pas, en l'état de l'instruction, excessive au regard des finalités du traitement. Par suite, le moyen tiré de ce que le décret attaqué instituerait une durée de conservation ayant un caractère excessif ne peut être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret.
17. Il résulte de ce qui précède que le moyen tiré de ce que le décret attaqué porterait une atteinte disproportionnée au droit au respect de la vie privée au regard de l'absence de finalité claire et légitime, du caractère inadéquat et non pertinent des données collectées, du périmètre excessivement étendu de l'accès aux données et du caractère excessif de la durée de conservation des données n'est pas de nature, en l'état de l'instruction, à faire naître un doute sérieux sur la légalité du décret attaqué.
18. En dixième lieu, l'article 5 du décret contesté ne limite l'interdiction d'enregistrer des données concernant de mineurs de moins de treize ans qu'aux données relatives aux personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et non aux données concernant des mineurs en relation directe et non fortuite avec ces personnes ou victimes de leurs agissements. Les stipulations de l'article 3-1 de la Convention des Nations-Unies relative aux droits de l'enfant ne font pas obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à un mineur. Il résulte de ce qui a été dit au point 12 que ces données ne peuvent être collectées que dans le cadre du suivi des personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et ne peuvent donner lieu à l'établissement d'une " fiche propre " pour le mineur concerné. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que la collecte de ces données serait de nature à faire naître un doute sérieux sur la légalité du décret contesté.
19. En onzième lieu, aux termes de l'article 98 de la loi du 6 janvier 1978, pris pour la transposition de l'article 6 de la directive n°2016/680 du 27 avril 2016 : " Le responsable de traitement établit, dans la mesure du possible et le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que : / 1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ; / 2° Les personnes reconnues coupables d'une infraction pénale ; / 3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ; / 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l'une des personnes mentionnées aux 1° et 2 ". Ces dispositions n'imposent pas d'établir, au sein d'un même traitement, une distinction des données suivant la gravité des infractions. Et il résulte de ce qui a été dit au point 12 que le décret litigieux prévoit une distinction claire entre les données personnelles concernant les personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et les données personnelles concernant les personnes avec lesquelles elles entretiennent ou ont entrenu des relations directes et non fortuites ou leurs victimes. Dans ces conditions, ne saurait être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret contesté le moyen tiré de ce qu'il méconnaîtrait les dispositions de l'article 98 de la loi du 6 janvier 1978 et les stipulations de l'article 6 de la directive 2016/680 du 27 avril 2016.
20. En douzième lieu, aux termes de l'article 92 de la loi du 6 janvier 1978 applicable aux traitements relevant de la directive 2016/680 du 27 avril 2016 : " Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 87 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier du titre Ier et au présent titre ". Aux termes de l'article 101 de cette même loi également applicable à ces traitements : " Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données. / Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci. / Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ".
21. La circonstance que l'article 7 du décret litigieux prévoit l'enregistrement des opérations de rapprochement avec d'autres traitements et que son article 2 définit les données intéressant la sûreté de l'Etat enregistrées dans le traitement comme celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ne saurait faire regarder, par elle-même, le décret comme instaurant des opérations de rapprochement méconnaissant les dispositions des articles 92. De la même manière, la circonstance que le décret prévoit l'indication de l'enregistrement ou non de la personne dans six traitements ne saurait le faire regarder comme instaurant des opérations d'interconnexion entre le traitement et ces traitements sans enregistrement dans le journal des opérations en méconnaissance de l'article 101 de la loi du 6 janvier 1978. Des tels moyens ne peuvent, par suite, être regardés comme de nature à faire naître un doute sérieux sur la légalité du décret.
22. Aucun des moyens n'apparaît donc de nature, en l'état de l'instruction, à faire naître un doute sérieux sur la légalité du décret attaqué. Les conclusions aux fins de suspension de son exécution doivent, par suite, être rejetées.
23. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'il soit fait droit aux conclusions de la requête et de l'intervention du Syndicat national des journalistes à ce titre.
O R D O N N E :
------------------
Article 1er : L'intervention de l'association " La Quadrature du Net ", de la Ligue des droits de l'homme et son co-intervenant et du Syndicat national des journalistes est admise.
Article 2 : La requête de la Confédération générale du travail et autres et les conclusions du Syndicat national des journalistes présentées au titre de l'article L. 761-1 sont rejetées.
Article 3 : La présente ordonnance sera notifiée à la Confédération générale du travail, première requérante dénommée, au ministre de l'intérieur, à l'association Quadrature du net, à la Ligue des droits de l'homme et au Syndicat national des journalistes.
Copie en sera adressée au Premier ministre.
N° 447970
ECLI:FR:CEORD:2021:447970.20210104
Inédit au recueil Lebon
Juge des référés
SCP SEVAUX, MATHONNET ; SCP SPINOSI, SUREAU, avocats
Lecture du lundi 4 janvier 2021
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête, enregistrée le 19 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative :
1°) d'ordonner la suspension de l'exécution du décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " ;
2°) de mettre à la charge de l'Etat le versement à chacun des requérants d'une somme de 1 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Ils soutiennent que :
- ils justifient d'un intérêt pour agir contre ce décret ;
- la condition d'urgence est remplie dès lors que l'exécution du décret porte une atteinte grave et immédiate au droit au respect de la vie privée des personnes, eu égard au caractère personnel des données collectées, à leur extrême sensibilité, au périmètre des motifs d'enregistrement dans le traitement, au caractère excessif de la durée maximale de conservation de ces données et à l'absence d'impératifs justifiant la mise en oeuvre de ce décret ;
- il existe un doute sérieux quant à la légalité du décret contesté ;
- le décret n'a pas fait l'objet d'une consultation régulière de la commission nationale de l'informatique et des libertés, le décret adopté n'étant pas celui qui a été soumis à la commission et comportant des éléments nouveaux sur la collecte des données relatives aux opinions politiques, aux convictions philosophiques, religieuses ou à une appartenance syndicale et sur la mise en oeuvre d'un dispositif d'interrogation par la photographie qui exigeaient une nouvelle consultation ;
- le décret n'a pas fait l'objet d'une consultation régulière du Conseil d'Etat, faute de toute justification permettant de s'assurer que le décret est conforme au projet de décret soumis par le Gouvernement au Conseil d'Etat ou à la minute de la section du Conseil d'Etat qui l'a examiné ;
- le décret n'a pas été précédé d'une analyse d'impact du dispositif permettant d'effectuer une recherche à partir des photographies enregistrées dans le traitement, en méconnaissance de l'article 27 de la directive n° 2016/860 du 27 avril 2016 ;
- le décret porte une atteinte disproportionnée au droit au respect de la vie privée et à la liberté d'opinion, de conscience et de religion et méconnaît les dispositions de l'article 4 de la loi du 6 janvier 1978 eu égard, en premier lieu, à l'absence de finalité claire et légitime du traitement de données contesté, en deuxième lieu, au caractère inadéquat et non pertinent des données collectées, en troisième lieu, au périmètre excessivement étendu de l'accès aux données et, en dernier lieu, au caractère excessif de la durée de conservation des données ;
- le traitement ne présente pas de finalité claire et légitime en raison, en premier lieu, du cumul de deux finalités distinctes de prévention des atteintes à la sécurité publique et de prévention des atteintes à la sûreté de l'Etat et de la confusion qui en résulte, les règles de mise en oeuvre du traitement ne distinguant pas l'une ou l'autre des deux finalités poursuivies, et, en deuxième lieu, du fait de l'existence d'autres traitements dédiés à la sûreté de l'Etat ;
- les données collectées ne sont ni pertinentes, en raison de l'autorisation de collecter des données sensibles sans opérer de distinction selon la finalité poursuivie, ni adéquates, en raison d'une définition trop imprécise et de la possibilité de collecter des données relatives aux opinions politiques et aux convictions philosophiques, religieuses et syndicales, des données de santé révélant une dangerosité ou une vulnérabilité particulière ou portant sur des troubles psychologiques, des données relatives aux identifiants utilisés sur les réseaux sociaux et aux activités sur les réseaux sociaux, des données relatives aux antécédents judiciaires, aux suites judiciaires et aux mesures administratives ou judiciaires restrictives de droits, décidées ou proposées, en méconnaissance des dispositions de l'article 777-3 du code de procédure pénale, et le décret prévoit un périmètre excessif des données collectées en raison de l'étendue des personnes concernées par la collecte ;
- le périmètre de l'accès aux données est excessivement étendu en permettant l'accès aux données aux forces de l'ordre alors mêmes qu'elles ne seraient dotées d'aucune mission de renseignement sans garanties suffisantes ;
- la durée de conservation des données présente un caractère excessif, la durée de conservation étant identique selon que la personne représente une menace pour la sécurité publique ou la sûreté de l'Etat ou qu'elle figure dans le traitement du fait de sa qualité de victime ou de tiers entretenant des contacts fréquents avec une personne représentant une menace, cette durée courant à compter de l'intervention du dernier évènement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat, le décret ne distinguant d'ailleurs pas selon la finalité poursuivie et le décret permettant le rapprochement avec d'autres traitements ayant une durée de conservation encore plus longue ;
- le décret méconnaît les dispositions de l'article 98 de la loi du 6 janvier 1978 et les stipulations de l'article 6 de la directive du 27 avril 2016 en raison de l'absence de distinction selon la gravité de la menace présentée par l'individu ;
- le décret méconnaît l'article 88 de la loi du 6 janvier 1978, l'article 1er de la Constitution, le droit au respect de la vie privée et la liberté de pensée, de conscience et de religion en autorisant la collecte de données sensibles relevant de l'article 6 de la loi du 6 janvier 1978 sans, d'une part, soumettre la collecte de ces données à une nécessité absolue et, d'autre part, l'assortir de garanties appropriées.
Par un mémoire en défense, enregistré le 22 décembre 2020, le ministre de l'intérieur conclut au rejet de la requête. Il soutient que la condition d'urgence n'est pas remplie et qu'aucun des moyens n'est de nature à créer un doute sérieux quant à la légalité des dispositions contestées.
Par un mémoire en intervention, enregistré le 22 décembre 2020, l'association " La Quadrature du Net " conclut à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres. Elle soutient que :
- le 2° de l'article 3 du décret attaqué a été pris en violation du II de l'article 31 de la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés ne s'étant pas prononcée sur cette modification ;
- le décret méconnaît le 2° de l'article 4 de la loi du 6 janvier 1978 dès lors que sa finalité n'est ni déterminée, ni explicite, ni légitime ;
- le décret méconnaît le 3° de l'article 4 de la loi du 6 janvier 1978 en prévoyant que peuvent être désormais fichées les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec la personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat ainsi que les victimes des agissements de cette dernière ;
- le décret méconnaît les stipulations de l'article 3 de la Convention des Nations-Unies du 20 novembre 1989 relative aux droits de l'enfant en permettant la collecte de données de mineurs de moins de treize ans qui font partie de l'entourage de personnes représentant une menace ou de leurs victimes ;
- le décret méconnaît les articles 4 et 88 de la loi du 6 janvier 1978 en autorisant le traitement de données personnelles inadéquates et non pertinentes au regard des finalités pour lesquelles elles sont traitées et non limitées à ce qui est absolument nécessaire en prévoyant la collecte, la conservation et le traitement de données relatives à des opinions politiques, des convictions philosophique, religieuses ou à une appartenance syndicale, de données de santé révélant une dangerosité particulière ou de données relatives aux activités sur les réseaux sociaux ;
- le décret méconnaît l'article 92 de la loi du 6 janvier 1978 en instaurant des opérations de rapprochements avec d'autres fichiers dont la nécessité et la proportionnalité à l'objectif poursuivi font défaut et en instaurant des opérations d'interconnexion et de rapprochement avec le traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité et avec le traitement des antécédents judiciaires ;
- le décret méconnaît l'article 101 de la loi du 6 janvier 1978 en instaurant des opérations d'interconnexion sans prévoir un enregistrement de ces dernières dans un journal d'opérations ;
- le décret méconnaît l'article 88 de la loi du 6 janvier 1978 en ne prévoyant pas de garanties appropriées pour les droits et libertés des personnes concernées pour le traitement de données relatives à des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ;
- le décret méconnaît le 5° de l'article 4 de la loi du 6 janvier 1978 en prévoyant une conservation de données personnelles pendant une durée excédant ce qui est nécessaire au regard des finalités pour lesquelles ces données sont traitées.
Par un mémoire en intervention, enregistré le 23 décembre 2020, la Ligue des droits de l'Homme et la Section française de l'Observatoire international des prisons concluent à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres, aux moyens de laquelle elles s'associent.
Par un mémoire en intervention, enregistré le 23 décembre 2020, le Syndicat national des journalistes conclut à ce qu'il soit fait droit à la requête de la Confédération générale du travail et autres et à ce qu'une somme de 2 000 euros soit mise à la charge de l'Etat au titre de l'article L. 761-1 du code de justice administrative. Il soutient que :
- le décret porte atteinte à la liberté syndicale en permettant la collecte de données relatives aux activités publiques ou au sein de groupements ou de personnes morales et la collecte de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ;
- le décret porte atteinte à la vie privée en élargissant les données pouvant être collectées en permettant notamment la collecte de données relatives aux pratiques sportives, syndicales et aux éléments de santé ;
- le décret méconnaît l'article 1er de la Constitution en permettant la collecte de données sur l'origine géographique, sur les pratiques et comportements religieux ou sur les pratiques syndicales ;
- le décret porte une atteinte grave et manifestement illégale à la liberté d'association en étendant les données collectées aux personnes morales, en permettant la collecte de données relatives aux activités publiques ou au sein de groupements ou de personnes morales et la collecte de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ;
- le décret porte une atteinte grave et manifestement illégale au droit à la liberté individuelle en permettant une collecte inédite de données personnelles ;
- le décret porte une atteinte grave et manifestement illégale au pluralisme de l'expression des opinions comme corollaire de la liberté de la presse ;
- le décret porte une atteinte grave et manifestement illégale au secret des sources.
La requête a été communiquée au Premier ministre, qui n'a pas produit d'observations.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment ses articles 8 à 11 ;
- la convention relative aux droits de l'enfant, notamment son article 3 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de procédure pénale ;
- le code de la sécurité intérieure ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir convoqué à une audience publique, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France, d'autre part, le Premier ministre et le ministre de l'intérieur ;
Ont été entendus lors de l'audience publique du 23 décembre 2020, à 15 heures :
- Me Mathonnet, avocat au Conseil d'Etat et à la Cour de cassation, avocat de la Confédération générale du travail, de la Confédération générale du travail - Force ouvrière, de la Fédération syndicale unitaire, de l'Union syndicale Solidaires, du Syndicat de la magistrature, du Syndicat des avocats de France, du Groupe d'information et de soutien des immigré.e.s et de l'Union nationale des étudiants de France ;
- le secrétaire général de la Confédération générale du travail ;
- le secrétaire général de la Confédération générale du travail - Force ouvrière ;
- la représentante du ministre de l'intérieur ;
à l'issue de laquelle le juge des référés a clos l'instruction.
Considérant ce qui suit :
1. Aux termes du premier alinéa de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision ".
2. La Confédération générale du travail et autres demandent au juge des référés du Conseil d'Etat, sur le fondement de l'article L. 521-1 du code de justice administrative, d'ordonner la suspension de l'exécution du décret du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives aux traitements de données à caractère personnel dénommés " Prévention des atteintes à la sécurité publique ".
3. L'association " La Quadrature du Net ", la Ligue des droits de l'homme et son co-intervenant et le Syndicat national des journalistes justifient d'un intérêt suffisant pour intervenir au soutien des requêtes.
4. Aux termes de l'article 6 de la loi du 6 janvier 1978 : " I. Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. / II. Les exceptions à l'interdiction mentionnée au I sont fixées dans les conditions prévues par le 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi. / III. De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés suivant les modalités prévues au II de l'article 31 et à l'article 32 ". Aux termes de l'article 31 de la loi du 6 janvier 1978 : " (...) II. Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement (...) ". Aux termes de l'article 90 de la même loi, applicable aux traitements de données à caractère personnel relevant de la directive 2016/680 du 27 avril 2016 : " Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en oeuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33 ".
5. En premier lieu, il résulte de la copie de la minute de la section de l'intérieur du Conseil d'Etat, produite dans le cadre de l'instruction par le ministre de l'intérieur, que le décret publié ne contient pas de disposition qui différerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur du Conseil d'Etat. Par suite, le moyen tiré de la méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne peut être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret contesté.
6. En deuxième lieu, il résulte de l'instruction que la Commission nationale de l'informatique et des libertés a été saisie d'une demande d'avis sur ce décret, une étude d'impact devant être transmise avec ce projet de décret qui portait sur des données mentionnées au I de l'article 6 de la loi du 6 janvier 1978 en application de l'article 90 de cette même loi. Il résulte de l'avis du 25 juin 2020 rendue par la Commission nationale de l'informatique et des libertés que cette dernière a été consultée sur la possibilité d'effectuer une recherche à partir de la photographie. Il résulte, en revanche, de l'instruction, et notamment d'un communiqué de presse de la Commission nationale de l'informatique et des libertés du 11 décembre 2020, que cette dernière n'a pas été consultée sur la modification apportée par l'article 3 du décret contesté à l'article R. 236-13 du code de la sécurité intérieure pour autoriser, par dérogation à l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978, la conservation et le traitement de données relatives " A des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ". Ces dispositions n'ont toutefois ni pour objet, ni pour effet de permettre d'enregistrer d'autres catégories de données que celles prévues à l'article R. 236-12 du même en application de l'article 2 du décret litigieux, dont il n'est pas contesté qu'il a été soumis à la Commission. Elles mettent en cohérence la rédaction de l'article R. 236-13, qui permettait déjà le traitement de données relatives " A des activités politiques, philosophiques, religieuses ou syndicales ", avec les dispositions du I de l'article 6 de la loi du 6 janvier 1978. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que les moyens tirés de l'irrégularité de la consultation de la Commission nationale et de l'absence d'étude d'impact soient de nature à faire naître un doute sur la légalité du décret.
7. En troisième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (...) ".
8. L'article 1er du décret litigieux modifie les dispositions de l'article R. 236-11 du code de la sécurité intérieure pour ajouter au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique ", qui a pour finalité la prévention des atteintes à la sécurité publique, une finalité de prévention des atteintes à la sûreté de l'Etat. A la suite des observations de la Commission nationale de l'informatique et des libertés, il précise que ce traitement a notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles " de porter atteinte à l'intégrité du territoire ou de ces institutions ". Les finalités ainsi assignées au traitement apparaissent légitimes et énoncées de manière suffisamment précise. Si les requérants soutiennent que le traitement ne répondrait pas à des finalités claires et légitimes en raison du cumul de deux finalités distinctes et de la confusion qui en résulterait, le décret précise, à la suite des observations de la Commission nationale de l'informatique et des libertés, que les données intéressant la sûreté de l'Etat sont celles qui révèlent des activités " susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts " et que " ces données font l'objet d'une identification dans le traitement ", permettant ainsi de distinguer de manière précise au sein du traitement les données traitées pour des finalités relevant de la prévention des atteintes à la sécurité publique ou pour des finalités relevant de la prévention des atteintes à la sûreté de l'Etat. La circonstance que d'autres traitements intéressant la sûreté nationale seraient déjà autorisés par des actes réglementaires ne saurait, par elle-même, être regardée comme de nature à faire naître un doute sérieux sur la légalité du décret contesté. Par suite, le moyen tiré de ce que le traitement litigieux ne répondrait pas à des finalités déterminées, explicites et légitimes n'apparaît pas, en l'état de l'instruction, de nature à créer un doute sérieux sur la légalité du décret attaqué.
9. En quatrième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ". Aux termes de l'article 88 de la même loi, applicable aux traitements relevant de la directive 2016/680 du 27 avril 2016 : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ".
10. Ainsi qu'il a été dit au point 6, si l'article 3 du décret litigieux modifie l'article R. 236-13 du code de la sécurité intérieure pour prévoir, par dérogation à l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978, la collecte, la conservation et le traitement de données relatives à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale ou à des données de santé révélant une dangerosité particulière, ces dispositions n'ont ni pour objet, ni pour effet de permettre de collecter d'autres catégories de données que celles prévues à l'article 2 du décret contesté. L'article R. 236-12 du code de la sécurité intérieure, dans sa rédaction issue de l'article 2 du décret contesté, prévoit que les données ne peuvent être enregistrées que dans la stricte mesure où elles sont nécessaires à la poursuite des finalités du traitement. Il précise que seules les activités " susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat " pourront donner lieu à l'enregistrement de données sur des activités publiques ou au sein de groupements ou de personnes morales ou des activités sur les réseaux sociaux, ce qui interdit notamment un enregistrement de personnes dans le traitement fondé sur une simple appartenance syndicale. Il convient également de relever, comme l'a fait valoir l'administration devant le juge des référés, que la possibilité d'enregistrer des données relatives aux activités susceptibles de porter atteinte à la sécurité publique sur les réseaux ne pourra provenir que de données collectées individuellement et manuellement. L'article R. 236-12 du code de la sécurité intérieure précise également que les données relatives aux troubles psychologiques ou psychiatriques susceptibles de révéler des facteurs de dangerosité ne peuvent être collectées que si elles sont obtenues conformément aux dispositions législatives et réglementaires en vigueur ce qui assure à la fois l'adéquation des données collectées et le respect du secret médical. Il convient de relever, à cet égard, que les données relatives aux addictions ou aux comportements auto-agressifs, également invoquées par les requérants, ne comportent normalement pas de motivation médicale. L'article R. 236-13 du code de la sécurité intérieure prévoit, par ailleurs, qu'il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles mentionnées au I de l'article 6 de la loi du 6 janvier 1978 contenues dans le traitement. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que le traitement de ces données dans le traitement ne répondrait pas à une nécessité absolue au regard des finalités de prévention des risques d'atteinte à la sécurité publique et ne serait pas assorti de garanties appropriées. Par suite, ne sauraient également être regardés comme de nature à faire naître un doute sérieux sur la légalité du décret contesté les moyens tirés de ce que le décret porterait une atteinte disproportionnée à la liberté d'opinion, de conscience et de religion, qu'il méconnaîtrait l'article 1er de la Constitution et qu'il porterait atteinte à la liberté syndicale, à la liberté d'association, au pluralisme des expressions comme corollaire de la liberté de la presse ou à la protection du secret des sources.
11. En cinquième lieu, à la suite des observations de la Commission nationale de l'informatique et des libertés, l'article 2 du décret précise la nature des données qui peuvent être collectées au titre des identifiants utilisés sur les réseaux sociaux, qui ne peuvent être regardés comme des données relatives à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale, en indiquant qu'il s'agit des pseudonymes, sites ou réseaux concernés et autres identifiants techniques à l'exclusion des mots de passe. Le moyen tiré de ce que ces données ne seraient ni adéquates, ni pertinentes et excessives au regard des finalités du traitement en cause n'apparaît pas, en l'état de l'instruction, comme de nature à faire naître un doute sérieux sur la légalité du décret contesté.
12. En sixième lieu, l'article R. 236-12 du code de la sécurité intérieure prévoyait, avant l'intervention du décret contesté, la collecte de données concernant les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne enregistrée dans ce traitement. L'article 2 du décret contesté prévoit également que peuvent être enregistrées dans le traitement dénommé " prévention des atteintes à la sécurité publique " des données concernant les victimes des agissements d'une personne pouvant porter atteinte à la sécurité publique ou la sûreté de l'Etat. Il fixe la liste des données concernant les personnes physiques entretenant ou ayant entretenu de telles relations directes et non fortuites et les victimes qui peuvent être enregistrées dans le traitement et prévoit qu'elles ne peuvent être collectées que " dans la stricte mesure où ces données sont nécessaires pour assurer le suivi d'une personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat ". Ces dispositions ne permettent ainsi de collecter ces données que si elles sont pertinentes au regard du motif de suivi de cette personne et uniquement dans le cadre de ce suivi. Il résulte d'ailleurs de l'avis de la Commission nationale de l'informatique et des libertés et des précisions données par l'administration à l'audience que ces données ne feront pas l'objet de fiches propres pour les victimes et les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat mais de notes d'information annexées aux fiches des personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Par suite, le moyen tiré de ce que le décret étendrait de manière excessive le périmètre des données collectées en raison de l'étendue des personnes concernées par la collecte n'apparaît pas de nature, en l'état de l'instruction, à créer un doute sérieux sur la légalité du décret litigieux.
13. En septième lieu, aux termes du deuxième alinéa de l'article 777-3 du code de procédure pénale : " Aucun fichier ou traitement à données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnation ". Comme l'a relevé la Commission nationale de l'informatique et des libertés dans son avis du 25 juin 2020, si l'article 2 du projet de décret permet la collecte de données relatives aux " agissements susceptibles de recevoir une qualification pénale ", aux " antécédents judiciaires (nature des faits et date) ", aux " suites judiciaires " et aux " mesures administratives ou judiciaires restrictives de droits, décidées ou proposées ", cette collecte ne pourra porter sur des jugements ou des arrêts de condamnation conformément aux dispositions de l'article 777-3 du code de procédure pénale.
14. En huitième lieu, l'article R. 236-16 du code de la sécurité intérieure prévoyait déjà, avant l'intervention du décret contesté, que les personnels de la police nationale ou les militaires de la gendarmerie nationale pouvaient, sans avoir un accès direct au traitement, être destinataires de données enregistrées dans celui-ci sur demande expresse, précisant l'identité du demandeur, l'objet et les motifs de la consultation. L'article 4 étend la liste des personnes pouvant avoir communication des données mentionnées dans le traitement aux personnes ayant autorité sur les services ou unités ayant un accès aux données enregistrées dans le traitement, aux procureurs de la République et, sur autorisation expresse, aux agents d'un service de la police nationale ou d'une unité de gendarmerie nationale chargés d'une mission de renseignement et aux agents des services de renseignement mentionnés aux articles R. 811-1 et R. 811-2 du code de la sécurité intérieure. La possibilité d'être destinataire de ces données " dans la limite du besoin d'en connaître " apparaît suffisamment encadrée dès lors qu'elle renvoie ainsi aux finalités du traitement. Par suite, ne saurait être regardé, en l'état de l'instruction, comme de nature à faire naître un doute sérieux sur la légalité du décret contesté le moyen tiré du périmètre excessivement étendu de l'accès aux données.
15. En neuvième lieu, aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. (...) ".
16. L'article 4 du décret contesté ne modifie pas la durée de conservation des données qui ne peuvent être conservées plus de dix ans après l'intervention du dernier évènement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat ayant donné lieu à un enregistrement. Cette durée s'appliquait déjà aux données concernant les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec une personne enregistrée dans ce traitement. La circonstance que le décret litigieux permettrait le rapprochement avec d'autres traitements ayant une durée de conservation des données plus longue ne modifie pas la durée de conservation des données enregistrées dans le traitement. Cette durée de dix ans n'apparaît pas, en l'état de l'instruction, excessive au regard des finalités du traitement. Par suite, le moyen tiré de ce que le décret attaqué instituerait une durée de conservation ayant un caractère excessif ne peut être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret.
17. Il résulte de ce qui précède que le moyen tiré de ce que le décret attaqué porterait une atteinte disproportionnée au droit au respect de la vie privée au regard de l'absence de finalité claire et légitime, du caractère inadéquat et non pertinent des données collectées, du périmètre excessivement étendu de l'accès aux données et du caractère excessif de la durée de conservation des données n'est pas de nature, en l'état de l'instruction, à faire naître un doute sérieux sur la légalité du décret attaqué.
18. En dixième lieu, l'article 5 du décret contesté ne limite l'interdiction d'enregistrer des données concernant de mineurs de moins de treize ans qu'aux données relatives aux personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et non aux données concernant des mineurs en relation directe et non fortuite avec ces personnes ou victimes de leurs agissements. Les stipulations de l'article 3-1 de la Convention des Nations-Unies relative aux droits de l'enfant ne font pas obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à un mineur. Il résulte de ce qui a été dit au point 12 que ces données ne peuvent être collectées que dans le cadre du suivi des personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et ne peuvent donner lieu à l'établissement d'une " fiche propre " pour le mineur concerné. Dans ces conditions, il n'apparaît pas, en l'état de l'instruction, que la collecte de ces données serait de nature à faire naître un doute sérieux sur la légalité du décret contesté.
19. En onzième lieu, aux termes de l'article 98 de la loi du 6 janvier 1978, pris pour la transposition de l'article 6 de la directive n°2016/680 du 27 avril 2016 : " Le responsable de traitement établit, dans la mesure du possible et le cas échéant, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que : / 1° Les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ; / 2° Les personnes reconnues coupables d'une infraction pénale ; / 3° Les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale ; / 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l'une des personnes mentionnées aux 1° et 2 ". Ces dispositions n'imposent pas d'établir, au sein d'un même traitement, une distinction des données suivant la gravité des infractions. Et il résulte de ce qui a été dit au point 12 que le décret litigieux prévoit une distinction claire entre les données personnelles concernant les personnes pouvant porter atteinte à la sécurité publique ou à la sûreté de l'Etat et les données personnelles concernant les personnes avec lesquelles elles entretiennent ou ont entrenu des relations directes et non fortuites ou leurs victimes. Dans ces conditions, ne saurait être regardé comme de nature à faire naître un doute sérieux sur la légalité du décret contesté le moyen tiré de ce qu'il méconnaîtrait les dispositions de l'article 98 de la loi du 6 janvier 1978 et les stipulations de l'article 6 de la directive 2016/680 du 27 avril 2016.
20. En douzième lieu, aux termes de l'article 92 de la loi du 6 janvier 1978 applicable aux traitements relevant de la directive 2016/680 du 27 avril 2016 : " Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 87 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier du titre Ier et au présent titre ". Aux termes de l'article 101 de cette même loi également applicable à ces traitements : " Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données. / Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci. / Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ".
21. La circonstance que l'article 7 du décret litigieux prévoit l'enregistrement des opérations de rapprochement avec d'autres traitements et que son article 2 définit les données intéressant la sûreté de l'Etat enregistrées dans le traitement comme celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ne saurait faire regarder, par elle-même, le décret comme instaurant des opérations de rapprochement méconnaissant les dispositions des articles 92. De la même manière, la circonstance que le décret prévoit l'indication de l'enregistrement ou non de la personne dans six traitements ne saurait le faire regarder comme instaurant des opérations d'interconnexion entre le traitement et ces traitements sans enregistrement dans le journal des opérations en méconnaissance de l'article 101 de la loi du 6 janvier 1978. Des tels moyens ne peuvent, par suite, être regardés comme de nature à faire naître un doute sérieux sur la légalité du décret.
22. Aucun des moyens n'apparaît donc de nature, en l'état de l'instruction, à faire naître un doute sérieux sur la légalité du décret attaqué. Les conclusions aux fins de suspension de son exécution doivent, par suite, être rejetées.
23. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'il soit fait droit aux conclusions de la requête et de l'intervention du Syndicat national des journalistes à ce titre.
O R D O N N E :
------------------
Article 1er : L'intervention de l'association " La Quadrature du Net ", de la Ligue des droits de l'homme et son co-intervenant et du Syndicat national des journalistes est admise.
Article 2 : La requête de la Confédération générale du travail et autres et les conclusions du Syndicat national des journalistes présentées au titre de l'article L. 761-1 sont rejetées.
Article 3 : La présente ordonnance sera notifiée à la Confédération générale du travail, première requérante dénommée, au ministre de l'intérieur, à l'association Quadrature du net, à la Ligue des droits de l'homme et au Syndicat national des journalistes.
Copie en sera adressée au Premier ministre.