Vu la procédure suivante :
Par une requête sommaire et deux mémoires complémentaires, enregistrés le 4 octobre 2017, le 4 janvier 2018 et le 24 avril 2018 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2017-1224 du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé " Automatisation de la consultation centralisée de renseignements et de données " (ACCReD) ;
2°) de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la charte des droits fondamentaux de l'Union européenne ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le code de la sécurité intérieure ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2017-1224 du 3 août 2017 ;
- le décret n° 2007-914 du 15 mai 2007 ;
- la décision du Conseil d'Etat, statuant au contentieux, n° 414827 du 21 février 2018 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Paul-François Schira, auditeur,
- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la Ligue des droits de l'homme ;
Considérant ce qui suit :
1. Aux termes de l'article L. 114-1 du code de la sécurité intérieure : " Les décisions administratives de recrutement, d'affectation, de titularisation, d'autorisation, d'agrément ou d'habilitation, prévues par des dispositions législatives ou réglementaires, concernant soit les emplois publics participant à l'exercice des missions de souveraineté de l'Etat, soit les emplois publics ou privés relevant du domaine de la sécurité ou de la défense, soit les emplois privés ou activités privées réglementées relevant des domaines des jeux, paris et courses, soit l'accès à des zones protégées en raison de l'activité qui s'y exerce, soit l'utilisation de matériels ou produits présentant un caractère dangereux, peuvent être précédées d'enquêtes administratives destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées. / Ces enquêtes peuvent donner lieu à la consultation de traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'exception des fichiers d'identification. / II. - Il peut également être procédé à de telles enquêtes administratives en vue de s'assurer que le comportement des personnes physiques ou morales concernées n'est pas devenu incompatible avec les fonctions ou missions exercées, l'accès aux lieux ou l'utilisation des matériels ou produits au titre desquels les décisions administratives mentionnées au I ont été prises. / [...] ". Aux termes de l'article L. 114-2 du même code : " Les décisions de recrutement et d'affectation concernant les emplois en lien direct avec la sécurité des personnes et des biens au sein d'une entreprise de transport public de personnes ou d'une entreprise de transport de marchandises dangereuses soumise à l'obligation d'adopter un plan de sûreté peuvent être précédées d'enquêtes administratives destinées à vérifier que le comportement des personnes intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées. [...] L'enquête peut donner lieu à la consultation du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'exception des fichiers d'identification. [...] ". Aux termes de l'article L. 211-11-1 du même code : " Les grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste sont désignés par décret. Ce décret désigne également les établissements et les installations qui accueillent ces grands événements ainsi que leur organisateur. / L'accès de toute personne, à un autre titre que celui de spectateur ou de participant, à tout ou partie des établissements et installations désignés par le décret mentionné au premier alinéa est soumis à autorisation de l'organisateur pendant la durée de cet événement et de sa préparation. L'organisateur recueille au préalable l'avis de l'autorité administrative rendu à la suite d'une enquête administrative qui peut donner lieu à la consultation, selon les règles propres à chacun d'eux, de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978relative à l'informatique, aux fichiers et aux libertés, à l'exception des fichiers d'identification. Un avis défavorable ne peut être émis que s'il ressort de l'enquête administrative que le comportement ou les agissements de la personne sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat. / Un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés fixe les modalités d'application du présent article, notamment la liste des fichiers mentionnés au deuxième alinéa pouvant faire l'objet d'une consultation, les catégories de personnes concernées et les garanties d'information ouvertes à ces personnes. " La Ligue des droits de l'homme demande l'annulation pour excès de pouvoir du décret du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé " Automatisation de la consultation centralisée de renseignements et de données " (ACCReD).
Sur la légalité externe du décret attaqué :
2. Il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, produite au dossier par le ministre, que le décret du 2 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé " Automatisation de la consultation centralisée de renseignements et de données " (ACCReD) ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur. Il s'ensuit que le moyen tiré de la méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret doit être écarté.
Sur la légalité interne du décret attaqué :
4. Aux termes de l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / 1° Les données sont collectées et traitées de manière loyale et licite (...) ; / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (...) ; / 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ".
5. Il résulte de l'ensemble des textes précités que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
6. L'article 1er du décret attaqué autorise le ministre de l'intérieur à mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour finalité de faciliter la réalisation des enquêtes administratives en application des articles L. 114-1, L. 114-2 et L. 211-11-1 du code de la sécurité intérieure citées au point 1, et d'exploiter les informations recueillies dans ce cadre, afin d'éclairer la prise de décisions administratives relatives aux emplois concernant la souveraineté de l'Etat, la sécurité publique, la défense ou l'accès à certains sites ou certaines activités sensibles, de décisions de recrutement ou d'affectation relatifs aux emplois en lien direct avec la sécurité des personnes et des biens dans les entreprises de transport public de personnes ou de transport de marchandises dangereuses et de décisions d'autorisation d'accès aux bâtiments et installations accueillant de grands évènements exposés à un risque exceptionnel de menace terroriste. Ce traitement permet, d'une part, la consultation automatique et, le cas échéant, simultanée de certains fichiers et, d'autre part, la collecte, le traitement et la conservation de certaines données issues, soit de ces consultations, soit de l'enquête elle-même.
En ce qui concerne le périmètre des fichiers consultables au moyen du traitement " ACCReD " :
7. Il résulte des dispositions combinées du I de l'article 5 et du I de l'article 7 du décret attaqué que si le traitement qu'il autorise permet de procéder à la consultation automatique et, le cas échéant, simultanée de sept traitements de données à caractère personnel, cette consultation est effectuée aux seules fins de vérifier si l'identité de la personne concernée par l'enquête administrative y est ou non enregistrée. Par ailleurs, le service national des enquêtes administratives de sécurité et le commandement spécialisé pour la sécurité nucléaire peuvent seulement interroger les services autorisés à mettre en oeuvre les traitements automatisés de données à caractère personnel dénommés " CRISTINA " et " GESTEREXT ". S'agissant des neuf traitements visés à l'article 7, les services précités ne peuvent recueillir les éléments qui s'y trouvent que dans la limite du besoin d'en connaître pour la conduite de l'enquête administrative dont ils ont la charge et des droits définis à leur bénéfice par l'acte réglementaire en autorisant la mise en oeuvre. Enfin, la consultation du traitement " FSPRT ", et l'interrogation des traitements " CRISTINA " et " GESTEREXT " sont exclues pour les besoins des enquêtes administratives relevant de l'article L. 114-1 du code de la sécurité intérieure et relatives à certains emplois privés ainsi qu'à certaines activités privées réglementées, dont la liste est fixée au III de l'article 7 du décret attaqué. Dans ces conditions, le périmètre des fichiers consultables n'excède pas, compte tenu des limites dans lesquelles s'effectue leur consultation et eu égard aux finalités qu'il poursuit, ce qui est nécessaire au bon fonctionnement du traitement autorisé par le décret attaqué.
En ce qui concerne la collecte de données sensibles :
8. Aux termes de l'article 8 de la loi du 6 janvier 1978 : " I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. (...) / IV. - (...) ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et soit autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26, soit déclarés dans les conditions prévues au V de l'article 22. "
9. Si l'article 3 du décret attaqué autorise, par dérogation à l'interdiction posée par le I de l'article 8 de la loi du 6 janvier 1978 précitée et dans les conditions prévues au IV de cet article, la collecte de données se rapportant à des opinions politiques, philosophiques ou religieuses, il exclut de cette dérogation les données relatives aux origines des personnes concernées par les enquêtes administratives. Par ailleurs, il n'autorise, sous le contrôle de la Commission nationale informatique et libertés et du juge de l'excès de pouvoir, la collecte et le traitement que des données indispensables à l'appréciation, dans le cadre et pour les besoins de ces enquêtes, de la compatibilité du comportement des personnes qu'elles visent avec l'exercice des fonctions ou des missions envisagées ou de l'atteinte que ce comportement pourrait porter à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat. Enfin, la collecte de telles données n'a pas pour objet et ne saurait avoir pour effet, ainsi que le rappelle le dernier alinéa de l'article 3 du décret attaqué, de rendre possible la sélection, à partir des caractéristiques recueillies, d'une catégorie spécifique de personnes. Dans ces conditions, le décret attaqué ne porte pas une atteinte disproportionnée, au regard de la finalité du traitement qu'il crée, à la liberté, au droit au respect de la vie privée et familiale ni à la liberté de pensée, de conscience et de religion.
En ce qui concerne la durée de conservation des données collectées :
10. Le premier alinéa de l'article 4 du décret attaqué prévoit que la conservation, dans le traitement " ACCReD ", des données et informations à caractère personnel, relatives à la demande d'avis ou de décision, à l'identité de la personne faisant l'objet de l'enquête et au résultat de cette enquête est limitée à cinq ans à compter de leur enregistrement. Son second alinéa prévoit que la conservation, dans le traitement " ACCReD ", des données et informations à caractère personnel issues des neufs traitements dont il autorise la consultation ou l'interrogation n'est possible que jusqu'à l'expiration du délai de recours contentieux dirigé contre l'avis ou la décision qui clôt l'enquête administrative ou, en cas de recours, jusqu'à ce qu'il ait été définitivement statué sur le litige. L'article 6 du décret attaqué garantit le respect effectif, sous le contrôle de la Commission nationale informatique et libertés et du juge de l'excès de pouvoir, de ces durées en prévoyant que toute opération de création, consultation, modification et suppression des données et informations du traitement " ACCReD " fait l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Dans ces conditions, le décret attaqué n'a pas autorisé la conservation des données collectées pour une durée excédant ce qui est nécessaire aux finalités du traitement qu'il autorise.
En ce qui concerne les destinataires des données et informations collectées dans le traitement " ACCReD " :
11. Si le 3° du II de l'article 5 du décret attaqué prévoit que le préfet de département du lieu d'exercice de l'emploi, de la mission ou de la fonction ou du lieu de l'établissement, de l'installation ou de la zone ayant justifié la conduite d'une enquête administrative peut être destinataire de tout ou partie des données et informations mentionnées dans le traitement qu'il autorise, il limite cette communication au seul sens de l'avis ou de la décision prise à l'issue de cette enquête et la subordonne au strict besoin d'en connaître dans le cadre de ses missions de protection de l'ordre et de la sécurité publics. Dans ces conditions, le décret attaqué n'autorise pas un accès aux données collectées excédant ce qui est nécessaire aux finalités poursuivies par le traitement dont il autorise la création.
12. Il résulte de tout ce qui précède que la Ligue des droits de l'homme n'est pas fondée à demander l'annulation pour excès de pouvoir du décret du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé " Automatisation de la consultation centralisée de renseignements et de données " (ACCReD). Sa requête, y compris les conclusions présentées au titre de l'article L. 761-1 du code de justice administrative, doit donc être rejetée.
D E C I D E :
--------------
Article 1er : La requête de la Ligue des droits de l'homme est rejetée.
Article 2 : La présente décision sera notifiée à la Ligue des droits de l'homme, au Premier ministre et au ministre d'Etat, ministre de l'intérieur.
