Vu la procédure suivante :
1° Sous le n° 406664, par une requête et un mémoire en réplique, enregistrés le 7 janvier 2017 et le 19 mars 2018 au secrétariat du contentieux du Conseil d'Etat, l'association nationale des supporters demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-954 du 28 décembre 2016 précisant les modalités de mise en oeuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif ;
2°) de mettre à la charge de l'Etat une somme de 2 500 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le n° 407112, par une requête et un mémoire en réplique, enregistrés le 23 janvier 2017 et le 19 mars 2018 au secrétariat du contentieux du Conseil d'Etat, l'association Tigers demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-954 du 28 décembre 2016 précisant les modalités de mise en oeuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif ;
2°) de mettre à la charge de l'Etat une somme de 2 500 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
3° Sous le n° 407200, par une requête et un mémoire en réplique, enregistrés le 25 janvier 2017 et le 19 mars 2018 au secrétariat du contentieux du Conseil d'Etat, l'association de défense et d'assistance juridique des intérêts des supporters demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-954 du 28 décembre 2016 précisant les modalités de mise en oeuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif ;
2°) de mettre à la charge de l'Etat une somme de 2 500 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
4° Sous le n° 407244, par une requête et un mémoire en réplique, enregistrés le 26 janvier 2017 et le 19 mars 2018 au secrétariat du contentieux du Conseil d'Etat, l'association Lutte pour un football populaire demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2016-954 du 28 décembre 2016 précisant les modalités de mise en oeuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif ;
2°) de mettre à la charge de l'Etat une somme de 2 500 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- le code du sport ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2016-564 du 10 mai 2016 ;
- la décision du Conseil constitutionnel n° 2017-637 QPC du 16 juin 2017 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Vincent Villette, rapporteur,
- les conclusions de M. Edouard Crépey, rapporteur public ;
Considérant ce qui suit :
1. Les requêtes de l'association nationale des supporters, de l'association Tigers, de l'association de défense et d'assistance juridique des intérêts des supporters et de l'association Lutte pour un football populaire sont dirigées contre le même acte. Il y a lieu de les joindre pour statuer par une seule décision.
2. Les associations requérantes demandent l'annulation pour excès de pouvoir du décret du 28 décembre 2016 précisant les modalités de mise en oeuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif, qui crée les articles R. 332-14 à R. 332-20 au sein du code du sport. Ces traitements sont prévus par l'article L. 332-1 du code du sport, dont les deux derniers alinéas, créés par l'article 1er de la loi du 10 mai 2016 renforçant le dialogue avec les supporters et la lutte contre le hooliganisme, disposent que : " aux fins de contribuer à la sécurité des manifestations sportives, les organisateurs de ces manifestations peuvent refuser ou annuler la délivrance de titres d'accès à ces manifestations ou en refuser l'accès aux personnes qui ont contrevenu ou contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations. / A cet effet, les organisateurs peuvent établir un traitement automatisé de données à caractère personnel relatives aux manquements énoncés à l'avant-dernier alinéa du présent article, dans des conditions fixées par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ".
Sur le moyen tiré de la méconnaissance de l'article 32 de la loi du 6 janvier 1978 :
3. En premier lieu, aux termes du I de l'article 32 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : / 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; / 3° Du caractère obligatoire ou facultatif des réponses ; / 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; / 5° Des destinataires ou catégories de destinataires des données ; / 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ; / 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; / 8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée (...) ". Le III de ce même article prévoit que lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
4. D'une part, ni l'article précité ni aucune disposition législative ou réglementaire ni aucun principe n'impose que l'enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies.
5. D'autre part, les dispositions de l'article R. 332-18, créé par le décret attaqué, prévoient les informations qui doivent être fournies aux personnes concernées par les traitements dont il détermine les modalités de mise en oeuvre. Les éléments d'information énumérés à cette occasion respectent les exigences fixées par les dispositions précitées du I de l'article 32 de la loi du 6 janvier 1978. En premier lieu, cet article pouvait légalement prévoir que l'information est apportée aux personnes concernées par " affichage, envoi ou remise d'un document, ou par tout autre moyen équivalent ". En deuxième lieu, il prévoit, contrairement à ce qui est soutenu, que les personnes concernées sont informées des " destinataires des données ". Enfin, il prévoit que les personnes concernées sont informées des modalités d'exercice de leurs droits, afin d'être mises en mesure d'exercer, le cas échéant, leurs droits d'accès et de rectification prévus par les articles 39 et 40 de cette même loi. Il suit de là que le moyen doit être écarté.
Sur le moyen tiré de la méconnaissance de l'article 25 de la loi du 6 janvier 1978 :
6. L'article 25 de la loi du 6 janvier 1978 prévoit que les traitements portant sur des données " relatives aux infractions, condamnations ou mesures de sûreté " doivent être mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés. Toutefois, les données susceptibles de figurer dans les traitements en cause qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 créé par le décret attaqué, relatives à des manquements " aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives " sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Il s'ensuit que le moyen tiré de ce que les traitements en cause auraient dû être soumis au régime d'autorisation par l'article R. 332-20 du code du sport créé par le décret attaqué doit être écarté.
Sur le moyen tiré de la méconnaissance de l'article 34 de la loi du 6 janvier 1978 :
7. Aux termes du premier alinéa de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, relatives aux obligations des responsables des traitements dans le fonctionnement de ces derniers, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte précisant les modalités de mise en oeuvre de ces traitements.
Sur les moyens tirés de la méconnaissance des dispositions des articles 1er et 6 de la loi du 6 janvier 1978 :
8. En premier lieu, si les associations requérantes soutiennent que le décret méconnaît l'exigence, posée par l'article 6 de la loi du 6 janvier 1978, de caractère adéquat, pertinent et non excessif des traitement mis en oeuvre du fait de l'existence d'autres traitements permettant d'atteindre les mêmes finalités, l'autorisation donnée aux organisateurs de manifestations sportives à but lucratif de mettre en oeuvre des traitements automatisés de données à caractère personnel relatives aux manquements aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations découle de la loi et non du décret, qui se borne à préciser les modalités d'application de celle-ci. Un tel moyen ne peut donc qu'être écarté. Il en va de même du moyen tiré de ce que les motifs d'enregistrement dans ces traitements seraient trop imprécis en l'absence de définition des conditions générales de vente et des règlements intérieurs, ces motifs découlant de la loi elle-même.
9. En deuxième lieu, l'article R. 332-15 du code du sport créé par le décret attaqué prévoit que seules " les personnes chargées de la sécurité sous l'autorité de l'organisateur de manifestations sportives à but lucratif " peuvent enregistrer les données dans les traitements en cause. Contrairement à ce que soutiennent les associations requérantes, le décret attaqué n'autorise pas ces personnes à enregistrer, dans ces traitements, des données qui leur seraient transmises par des autorités administratives ou judiciaires. Ainsi, les personnes concernées sont informées des conditions dans lesquelles leurs données peuvent être collectées.
10. En troisième lieu, l'article R. 332-16 du code du sport créé par le décret attaqué prévoit une durée de conservation de dix-huit mois pour les données et informations à caractère personnel enregistrées dans les traitements en cause, qui correspond également à la durée maximale des mesures pouvant être prises par les organisateurs concernés. D'une part, cette durée maximale de conservation court dès l'enregistrement des données. D'autre part, à l'issue de ce délai, les données relatives tant aux motifs de l'enregistrement qu'à la nature des mesures prises sont effacées automatiquement des traitements, quand bien même la personne concernée ferait encore l'objet d'une décision de la part du responsable de traitement visant à l'empêcher d'accéder à son enceinte sportive. Enfin, lorsque la décision prise par le responsable de traitement cesse de produire ses effets à l'égard de la personne concernée avant le terme de cette durée maximale, les données afférentes sont supprimées. Dès lors, compte tenu des finalités des traitements en cause, cette durée n'est pas excessive. Il en va de même de la durée maximale de trois ans prévue, à l'article R. 332-19 du code du sport créé par le décret attaqué, pour la conservation des informations relatives aux consultations, dans la mesure où ces informations permettent de vérifier, notamment en cas de contrôle des membres de la Commission nationale de l'informatique et des libertés sur le fondement de l'article 44 de la loi du 6 janvier 1978, que seules les personnes mentionnées au I de l'article R. 332-17 du même code accèdent aux traitements en cause.
11. Enfin, dès lors qu'aucun texte ni aucun principe ne fait obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs, les dispositions créées par le décret attaqué ne revêtent pas un caractère disproportionné au seul motif qu'elles n'interdisent pas l'enregistrement, dans les traitements litigieux, de données à caractère personnel relatives à des mineurs.
En ce qui concerne la transmission des données à caractère personnel :
12. L'article 6 de la loi du 6 janvier 1978 prévoit que : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) / 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (...) ". Il résulte de ces dispositions que, pour être compatible avec les finalités d'un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement.
13. En premier lieu, le II de l'article R. 332-17 du code du sport créé par le décret attaqué prévoit que peuvent être destinataires, dans le cadre de leurs attributions et dans la limite du besoin d'en connaître, de tout ou partie des données et informations contenues dans les traitements litigieux, d'une part, en vertu du 5°, certains employés des fédérations sportives délégataires et des ligues professionnelles et, d'autre part, en vertu des 1° à 4°, des agents du service central du renseignement (SCRT) et de la division nationale de lutte contre le hooliganisme (DNLH) de la direction centrale de la sécurité publique (DSCP), des agents des directions départementales de la sécurité publique, des fonctionnaires de la préfecture de police relevant de la direction de la sécurité de proximité de l'agglomération parisienne, de la direction de l'ordre public et de la circulation et de la direction du renseignement ainsi que des militaires des groupements de gendarmerie départementale, des régions de gendarmerie et de la sous-direction de l'anticipation opérationnelle (SDAO) de la direction générale de la gendarmerie nationale. D'une part, ainsi qu'il résulte des termes mêmes du décret attaqué, ces différentes personnes n'ont pas un accès direct aux données personnelles figurant dans les traitements en cause, ainsi d'ailleurs que l'a relevé la Commission nationale de l'informatique et des libertés dans sa délibération du 15 décembre 2016 portant avis sur le projet de décret, mais sont seulement susceptibles d'être destinataires de certaines d'entre elles à l'initiative des responsables de traitement, lesquels ne sont d'ailleurs pas tenus de donner suite à d'éventuelles demandes de leur part. D'autre part, la transmission des données à certains employés des fédérations sportives délégataires et des ligues professionnelles peut être regardée comme nécessaire à la poursuite, par ces destinataires, des finalités du traitement, dès lors que ces fédérations et ligues sont susceptibles d'organiser des manifestations sportives à but lucratif dans le cadre de compétitions. S'agissant des destinataires mentionnés au 1° à 4°, une telle transmission n'est légalement possible, au vu de la finalité des traitements en cause, que dans le seul but que les services destinataires contribuent, dans le cadre de leurs attributions, à la sécurité des manifestations sportives, en garantissant effectivement le respect des refus d'accès aux enceintes sportives opposés par les organisateurs de manifestations sportives. Elle ne saurait en revanche s'effectuer dans le but de fournir aux services de police et de gendarmerie des éléments au soutien d'éventuelles mesures d'interdiction de stade, ni à des fins de police judiciaire. Par ailleurs, ainsi que le précise ce même article, ces différents destinataires doivent être individuellement désignés et dûment habilités par leur hiérarchie, afin de limiter cette transmission aux seules personnes dont les missions participent effectivement des finalités poursuivies par les traitements en cause. Il s'ensuit que la transmission des données à caractère personnel prévue par le II de l'article R. 332-17 du code du sport n'excède pas ce qui est nécessaire pour permettre aux destinataires de poursuivre les finalités des traitements.
14. En deuxième lieu, contrairement à ce que soutiennent les associations requérantes, la transmission des données à caractère personnel n'a pas, par elle-même, à être autorisée par la loi.
15. Enfin, la circonstance que les destinataires des données à caractère personnel ne respecteraient pas les différentes obligations fixées par la loi du 6 janvier 1978 est, en tout état de cause, sans incidence sur la légalité du décret attaqué, qui n'a ni pour objet ni pour effet de définir les modalités de mise en oeuvre des traitements automatisés qui pourraient résulter de ces éventuelles transmissions.
Sur le moyen tiré du défaut de base légale dont serait entaché le décret attaqué :
16. Par sa décision n° 2017-637 QPC du 16 juin 2017, le Conseil constitutionnel a déclaré conformes à la Constitution les dispositions de l'article L. 332-1 du code du sport. Par suite, le moyen tiré de ce que le décret aurait été pris pour l'application de dispositions législatives contraires à la Constitution doit être écarté.
17. Il résulte de tout ce qui précède que les associations requérantes ne sont pas fondées à demander l'annulation du décret qu'elles attaquent. Leurs conclusions présentées au titre des dispositions de l'article L. 761-1 du code de justice administrative ne peuvent, par suite, qu'être rejetées.
D E C I D E :
--------------
Article 1er : Les requêtes de l'association nationale des supporters, de l'association Tigers, de l'association de défense et d'assistance juridique des intérêts des supporters et de l'association Lutte pour un football populaire sont rejetées.
Article 2 : La présente décision sera notifiée à l'association nationale des supporters, à l'association Tigers, à l'association de défense et d'assistance juridique des intérêts des supporters, à l'association Lutte pour un football populaire, au ministre d'Etat, ministre de l'intérieur et au Premier ministre.
Copie en sera adressée à la Commission nationale de l'informatique et des libertés.