La jurisprudence francophone des Cours suprêmes


recherche avancée
16/11/2022 | FRANCE | N°454908

France | France, Conseil d'État, 10ème chambre, 16 novembre 2022, 454908

Vu la procédure suivante :

Par une requête enregistrée le 24 juillet 2021 au secrétariat du contentieux du Conseil d'Etat, l'association DataRing demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ainsi que les décrets n° 2021-724 du 7 juin 2021 et n° 2021-955 du 19 juillet 2021 modifiant le décret du 1er juin 2021 ;

2°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du Code

de justice administrative.

L'association DataRing soutient que le décret attaqué :...

Vu la procédure suivante :

Par une requête enregistrée le 24 juillet 2021 au secrétariat du contentieux du Conseil d'Etat, l'association DataRing demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ainsi que les décrets n° 2021-724 du 7 juin 2021 et n° 2021-955 du 19 juillet 2021 modifiant le décret du 1er juin 2021 ;

2°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du Code de justice administrative.

L'association DataRing soutient que le décret attaqué :
- est entaché d'irrégularité faute d'avoir été précédé d'une analyse d'impact, en méconnaissance de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données, dit " RGPD ") ;
- méconnaît par l'extension des cas d'usage du " passe sanitaire " le principe de proportionnalité ;
- méconnaît par l'extension à des activités quotidiennes du " passe sanitaire " l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- méconnaît la liberté d'aller et venir garantie par les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen et par l'article 2 du protocole 4 à la convention européenne des droits de l'homme ;
- porte atteinte à la liberté de culte dès lors, en premier lieu, que le décret du 19 juillet 2021 étend l'exigence de présentation du " passe sanitaire " à un ensemble de lieux qui, sans être spécifiquement consacrés à l'exercice d'un culte, sont susceptibles d'accueillir des célébrations religieuses, et qu'en deuxième lieu, la distinction qu'il établit, s'agissant des lieux de culte, entre les activités liées à la pratique de ce culte d'une part, et, d'autre part, les autres activités pouvant être accueillies dans ces lieux, telles que les visites ou les activités culturelles, n'est pas assez précise pour être regardée comme protégeant suffisamment les premières ;
- méconnaît l'article 9-1 du RGPD qui interdit les traitements des données à caractère personnel qui révèlent des données concernant la santé des personnes ;
- autorise la délégation à une personne privée de compétences de police administrative générale ;
- méconnaît la liberté personnelle des personnes soumises au " passe sanitaire " ;
- méconnaît le principe de minimisation des données en permettant de collecter des informations sanitaires non nécessaires et proportionnées au vu de la finalité d'authentification du traitement ;
- méconnaît le principe de minimisation des données par la mise en place, sans garanties appropriées, d'une application centrale " TousAntiCovid Vérif " pour la police aux frontières en lieu et place d'une application locale sur chaque ordinateur.

Vu les autres pièces du dossier ;

Vu :
- la Constitution, et notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 2021-689 du 31 mai 2021 ;
- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,

- les conclusions de Mme Esther de Moustier, rapporteure publique ;

Considérant ce qui suit :

1. A l'expiration, le 1er juin 2021, de l'état d'urgence sanitaire qui avait été déclenché en octobre 2020 pour faire face à une reprise de l'épidémie de covid-19, l'évolution de la situation sanitaire a conduit à une modification des mesures prises pour lutter contre l'épidémie. A la date à laquelle ont été pris les décrets attaqués, étaient ainsi notamment applicables les dispositions du A du II de l'article 1er de la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire aux termes desquelles : " A compter du 2 juin 2021 et jusqu'au 30 septembre 2021 inclus, le Premier ministre peut, par décret pris sur le rapport du ministre chargé de la santé, dans l'intérêt de la santé publique et aux seules fins de lutter contre la propagation de l'épidémie de covid-19 : (...) 2° Subordonner l'accès des personnes à certains lieux, établissements ou événements impliquant de grands rassemblements de personnes pour des activités de loisirs ou des foires ou salons professionnels à la présentation soit du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, soit d'un justificatif de statut vaccinal concernant la covid-19, soit d'un certificat de rétablissement à la suite d'une contamination par la covid-19. Cette réglementation est appliquée en prenant en compte une densité adaptée aux caractéristiques des lieux, établissements ou événements concernés, y compris à l'extérieur, pour permettre de garantir la mise en œuvre de mesures de nature à prévenir les risques de propagation du virus. / Un décret détermine, après avis du comité de scientifiques mentionné à l'article L. 3131-19 du code de la santé publique, les éléments permettant d'établir le résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, le justificatif de statut vaccinal concernant la covid-19 ou le certificat de rétablissement à la suite d'une contamination par la covid-19. ". Etaient également applicables les dispositions du B du II du même article aux termes desquelles : " B. - La présentation du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, d'un justificatif de statut vaccinal concernant la covid-19 ou d'un certificat de rétablissement à la suite d'une contamination par la covid-19 dans les cas prévus au A du présent II peut se faire sur papier ou sous format numérique. / La présentation, sur papier ou sous format numérique, des documents mentionnés au premier alinéa du présent B est réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient. ".

2. Le décret du 7 juin 2021 a modifié le décret du 1er juin 2021 pris en application de cette loi, afin d'imposer la présentation du document dit " passe sanitaire " pour les déplacements mentionnés au titre 2 bis de ce décret et pour l'accès aux établissements, lieux et évènements mentionnés au chapitre 7 de son titre 4 et d'en déterminer les modalités d'utilisation. Pour les établissements, lieux et évènements énumérés au II de l'article 47-1 issu de ce décret, l'accès des personnes âgées de onze ans et plus est subordonné, lorsque ces établissements, lieux et évènements accueillent un nombre de visiteurs ou de spectateurs au moins égal à mille personnes, à la présentation de l'un des documents énumérés au I du même article, à savoir " 1° Le résultat d'un test ou examen de dépistage mentionné au 1° de l'article 2-2 réalisé moins de 48 heures avant l'accès à l'établissement, au lieu ou à l'évènement. Les seuls tests antigéniques pouvant être valablement présentés pour l'application du présent 1° sont ceux permettant la détection de la protéine N du SARS-CoV-2 ; 2° Un justificatif du statut vaccinal délivré dans les conditions mentionnées au 2° de l'article 2-2 ; 3° Un certificat de rétablissement délivré dans les conditions mentionnées au 3° de l'article 2-2 /... ". Le dernier alinéa du I de l'article 47-1 précise qu'à défaut de présentation de l'un de ces documents, l'accès à l'établissement, au lieu ou à l'évènement est refusé. Le deuxième alinéa du II de l'article 2-3 dispose : " Sont autorisés à contrôler ces justificatifs, dans les seuls cas prévus au A du II de l'article 1er de la loi du 31 mai 2021 susvisée, et dans la limite de ce qui est nécessaire au contrôle des déplacements et de l'accès aux lieux, établissements ou événements mentionnés par ce A : (...) 3° Les responsables des lieux et établissements ou les organisateurs des événements dont l'accès est subordonné à leur présentation en application du présent décret. ".

3. Le décret du 19 juillet 2021 a modifié les dispositions de l'article 47-1 du décret du 1er juin 2021 afin d'étendre à plusieurs nouvelles catégories d'établissements l'obligation de présenter les documents énumérés au I du même article, faute de quoi l'accès à ces établissements est refusé, et d'abaisser le seuil d'application de cette limitation à un seuil de 50 personnes. Les conclusions de la requête doivent être regardées comme tendant à l'annulation pour excès de pouvoir des dispositions de l'article 47-1 du décret du 1er juin 2021, dans sa rédaction modifiée par le décret du 19 juillet 2021, en ce qu'elles procèdent à l'extension de cette obligation.

4. En premier lieu, l'article 35 du RGPD prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en œuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel. Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la commission nationale de l'informatique et des libertés en application de l'article 20 de la loi du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu'elle n'aurait pas été réalisée avant la signature du décret attaqué n'est pas de nature à entacher celui-ci d'illégalité. Il s'ensuit que l'association requérante ne saurait utilement se prévaloir de la méconnaissance de l'article 35 du RGPD par les dispositions qu'elle attaque.

5. En deuxième lieu, il ressort des pièces du dossier qu'existait à la date d'entrée en vigueur du décret attaqué une forte dégradation de la situation sanitaire, liée à une diffusion accrue du variant Delta sur le territoire. Le conseil scientifique, dans son avis du 6 juillet 2021, décrivait ce variant, d'après les données anglaises, comme présentant une transmissibilité augmentée de 60 % par rapport au variant Alpha avec une sévérité au moins aussi importante. Le taux d'incidence était alors marqué par une tendance à une forte augmentation de la circulation du virus avec un taux de 84,4 / 100 000 habitants sur la période du 11 au 17 juillet 2021, soit une hausse de 111% par rapport à la période du 4 au 10 juillet et de 244 % par rapport à la période du 27 juin au 3 juillet, alors que le taux de dépistage était lui-même en augmentation de 22,4 % par rapport à la semaine du 4 au 10 juillet. Le taux de reproduction du virus était quant à lui situé entre 1,48 et 1,52 impliquant une plus grande transmission du virus par les personnes infectées. Cette forte recrudescence commençait à affecter les services hospitaliers avec une augmentation significative des entrées à l'hôpital et des admissions en services de soins critiques. Dans ces circonstances, et eu égard aux dispositions applicables au " passe sanitaire " rappelées au point 1, qui visent à limiter strictement la divulgation d'informations personnelles aux personnes habilitées à procéder aux vérifications relatives à ce document, l'association requérante n'est pas fondée à soutenir que l'atteinte à la liberté d'aller et venir, à la liberté personnelle et à la protection de la vie privée découlant de l'extension du " passe sanitaire " à l'accès à certains lieux, établissements ou événements n'était pas nécessaire, adaptée et proportionnée à l'objectif de sauvegarde de la santé publique poursuivi.

6. En troisième lieu, il ressort du texte même du décret du 1er juin 2021, et notamment de son article 47, relatif aux établissements de culte, que ces établissements demeurent ouverts au public et que leur accès n'est soumis au contrôle d'un " passe sanitaire " que pour les évènements ne présentant pas un caractère cultuel lorsqu'ils accueillent au moins 50 personnes. Contrairement à ce que soutient l'association requérante, ces dispositions n'imposent pas plus la présentation d'un " passe sanitaire " pour les activités cultuelles organisées en dehors d'un lieu spécifiquement aménagé à cet effet. Le moyen tiré de l'atteinte portée à la liberté de culte par le décret attaqué ne peut dès lors qu'être écarté.

7. En quatrième lieu, l'article 9 du RGPD interdit le traitement des données concernant la santé d'une personne physique, sauf si : " 2. / (...) g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ". Le traitement de ces données est également autorisé si " (...) i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique (...) sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel (...) ". Il résulte de l'économie générale du dispositif de certification prévu par la loi du 31 mai 2021, que celui-ci a pour unique finalité de lutter contre l'épidémie de covid-19 dans l'intérêt de la santé publique. Il résulte également des dispositions citées au point 1 que seuls les responsables des lieux et établissements ou les organisateurs des événements dont l'accès est subordonné à la présentation des justificatifs qu'ils sont habilités à contrôler ont accès aux données de santé traitées dans le cadre de ce dispositif, et que si ces données peuvent faire l'objet d'un stockage local librement mis en œuvre par la personne concernée, elles ne font l'objet d'aucune conservation par les personnes habilitées, qui n'y ont accès que dans le strict cadre de l'exercice du contrôle. Ainsi, le dispositif de certification en cause est rendu nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique et il prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, conformément aux conditions prévues par l'article 9 du RGPD. Il en résulte que le moyen tiré de la méconnaissance de ces dispositions doit être écarté.

8. En cinquième lieu, il résulte des termes mêmes de l'article 1er de la loi du 31 mai 2021 qu'il incombe à des personnes habilitées et nommément désignées de contrôler les certificats de vaccination, de test ou de rétablissement à la covid-19 permettant l'accès à certains lieux, activités ou moyens de transport. Les dispositions attaquées, qui autorisent les responsables des lieux et établissements ou les organisateurs des événements dont l'accès est subordonné à la présentation de ces justificatifs à les contrôler, dans les seuls cas prévus par la loi et dans la limite de ce qui est nécessaire au contrôle de l'accès à ces lieux, établissements ou événements, ne méconnaissent dès lors aucune obligation légale. Par ailleurs, ces dispositions se bornent à autoriser les personnels désignés par les responsables des lieux concernés à demander la présentation du " passe sanitaire ". Le refus de la personne de produire un tel document ne peut avoir pour autre conséquence que l'impossibilité pour elle d'accéder à ce lieu. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que les dispositions contestées méconnaitraient l'interdiction de déléguer une mission de police administrative à une personne privée.

9. En dernier lieu, aux termes de l'article 5 du RGPD : " 1. Les données à caractère personnel doivent être : / (...) c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) (...). ". Il résulte des dispositions applicables " au passe sanitaire " citées aux points 1 et 2 que ce dispositif vise à permettre, tout en évitant, d'une part, un traitement croisant les données issues du système d'information national de dépistage et celles contenues dans le traitement automatisé de données à caractère personnel " Vaccin Covid ", et d'autre part, la divulgation de données de santé à l'occasion du contrôle, de vérifier que la personne qui satisfait aux conditions sanitaires exigées par ce dispositif est bien celle qui souhaite accéder à l'établissement soumis à ce contrôle. Il s'ensuit que les informations sanitaires intégrées au dispositif qui ne sont pas étrangères à sa finalité et sont proportionnées, ne méconnaissent pas le principe de minimisation des données résultant de l'article 5 du RGPD. Par ailleurs, si l'association requérante soutient que la mise en place d'un serveur central dans le cadre de l'application " TousAntiCovid Vérif " en lieu et place d'un traitement local des informations méconnaît le principe de minimisation des données, ce moyen n'est pas assorti des précisions permettant d'en apprécier le bien-fondé.

10. Il résulte de tout ce qui précède que la requête de l'association DataRing doit être rejetée, y compris, par voie de conséquence, les conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.

D E C I D E :
--------------
Article 1er : La requête de l'association DataRing est rejetée.
Article 2 : La présente décision sera notifiée à l'association DataRing et au ministre de la solidarité et de la santé.
Copie en sera adressée à la Première ministre, au ministre de l'intérieur et des outre-mer et au ministre de l'économie, des finances et de la souveraineté industrielle et numérique.
Délibéré à l'issue de la séance du 14 octobre 2022 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; Mme Nathalie Escaut, conseillère d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 16 novembre 2022.

Le président :
Signé : M. Bertrand Dacosta

La rapporteure :
Signé : Mme Myriam Benlolo Carabot

La secrétaire :
Signé : Mme Naouel Adouane

Synthèse
Formation : 10ème chambre
Numéro d'arrêt : 454908
Date de la décision : 16/11/2022
Type d'affaire : Administrative
Publications
Proposition de citation : CE, 16 nov. 2022, n° 454908
Inédit au recueil Lebon
Composition du Tribunal
Rapporteur ?: Mme Myriam Benlolo Carabot
Rapporteur public ?: Mme Esther de Moustier
Origine de la décision
Date de l'import : 30/11/2022
Fonds documentaire ?: Legifrance
Identifiant ECLI : ECLI:FR:CE:2022:454908.20221116
Association des cours judiciaires suprmes francophones
Organisation internationale de la francophonie
Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie. Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie.
Logo iall 2012 website award