| France, Conseil d'État, Formation spécialisée, 03 juin 2021, 426195

Vu la procédure suivante :

Par une requête et un mémoire complémentaire, enregistrés les 11 décembre 2018 et 3 janvier 2019 au secrétariat du contentieux du Conseil d'Etat, M. B... A... demande au Conseil d'Etat :

1°) d'annuler les décisions, révélées par les courriers de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) des 11 octobre et 16 novembre 2018, par lesquelles la ministre des armées lui a refusé l'accès aux données susceptibles de le concerner figurant respectivement dans les fichiers de la direction du renseignement et de la sécurité de la défense (DRSD) et de la direction générale de la sécurité extérieure (DGSE) ;

2°) d'enjoindre à la ministre de lui communiquer les données le concernant figurant dans ces fichiers et de faire droit, le cas échéant, à la demande de rectification et/ou suppression de ces données ;

3°) de mettre à la charge de la ministre des armées les entiers dépens ainsi qu'une somme de 3 000 euros au titre de l'article L 761-1 du code de justice administrative.

Vu les autres pièces du dossier ;

Vu :

- la Constitution, notamment son Préambule ;

- la Convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

- la recommandation R (87) 15 du Comité des ministres du Conseil de l'Europe du 17 septembre 1987 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police ;

- le code de la sécurité intérieure ;

- la loi n° 78-17 du 6 janvier 1978 ;

- le décret n° 2005-1309 du 20 octobre 2005 ;

- le décret n° 2019-536 du 29 mai 2019 ;

- le code de justice administrative ;

Après avoir convoqué à une séance à huis-clos, d'une part, M. B... A..., et d'autre part, la ministre des armées et la Commission nationale de l'informatique et des libertés, qui ont été mis à même de prendre la parole avant les conclusions ;

Et après avoir entendu en séance :

- le rapport de M. Thomas Andrieu, conseiller d'Etat ;

- et, hors la présence des parties, les conclusions de Mme Cécile Barrois de Sarigny, rapporteure publique ;

Considérant ce qui suit :

1. En vertu des dispositions de l'article 41 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, applicables à la procédure en cause et désormais reprises à l'article 118 de la même loi, et des dispositions de l'article 88 du décret susvisé du 20 octobre 2005, applicables à la procédure en cause et reprises désormais à l'article 143 du décret susvisé du 29 mai 2019, lorsqu'un traitement intéresse la sûreté de l'Etat ou la défense, les demandes tendant à l'exercice du droit d'accès, de rectification ou d'effacement sont adressées à la Commission nationale de l'informatique et des libertés (CNIL). Celle-ci désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Lorsque la Commission constate, en accord avec le responsable du traitement, que la communication de données qui y sont contenues, ou l'information selon laquelle le traitement ne contient aucune donnée concernant le demandeur, ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données ou cette information peuvent être communiquées au requérant. Dans le cas contraire, la Commission se borne à notifier au requérant qu'il a été procédé aux vérifications nécessaires, sans autre précision, avec la mention des voies et délais de recours.

2. En vertu de l'article 31 de la loi du 6 janvier 1978, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé de la CNIL, publié avec l'arrêté autorisant le traitement. Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 de la même loi doivent être autorisés par décret en Conseil d'Etat pris après avis motivé de la Commission, publié avec ce décret. Un décret en Conseil d'Etat peut dispenser de publication l'acte réglementaire autorisant la mise en oeuvre de ces traitements ; le sens de l'avis émis par la CNIL est alors publié avec ce décret.

3. L'article L. 841-2 du code de la sécurité intérieure prévoit que le Conseil d'Etat est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en oeuvre de l'article 41 devenu l'article 118 de la loi du 6 janvier 1978, pour les traitements ou parties de traitements intéressant la sûreté de l'Etat dont la liste est fixée par décret en Conseil d'Etat. En vertu de l'article R. 841-2 du même code, figurent notamment au nombre de ces traitements le fichier de la direction générale de la sécurité extérieure (DGSE) et le fichier de la direction du renseignement et de la sécurité de la défense (DRSD).

4. L'article L. 773-8 du code de justice administrative dispose que, lorsqu'elle traite des requêtes relatives à la mise en oeuvre de l'article 41 devenu l'article 118 de la loi du 6 janvier 1978 : " la formation de jugement se fonde sur les éléments contenus, le cas échéant, dans le traitement sans les révéler ni révéler si le requérant figure ou non dans le traitement. Toutefois, lorsqu'elle constate que le traitement ou la partie de traitement faisant l'objet du litige comporte des données à caractère personnel le concernant qui sont inexactes, incomplètes, équivoques ou périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite, elle en informe le requérant, sans faire état d'aucun élément protégé par le secret de la défense nationale. Elle peut ordonner que ces données soient, selon les cas, rectifiées, mises à jour ou effacées. Saisie de conclusions en ce sens, elle peut indemniser le requérant ". L'article R. 773-20 du même code précise que : " Le défendeur indique au Conseil d'Etat, au moment du dépôt de ses mémoires et pièces, les passages de ses productions et, le cas échéant, de celles de la Commission nationale de contrôle des techniques de renseignement, qui sont protégés par le secret de la défense nationale. /Les mémoires et les pièces jointes produits par le défendeur et, le cas échéant, par la Commission nationale de contrôle des techniques de renseignement sont communiqués au requérant, à l'exception des passages des mémoires et des pièces qui, soit comportent des informations protégées par le secret de la défense nationale, soit confirment ou infirment la mise en oeuvre d'une technique de renseignement à l'égard du requérant, soit divulguent des éléments contenus dans le traitement de données, soit révèlent que le requérant figure ou ne figure pas dans le traitement. /Lorsqu'une intervention est formée, le président de la formation spécialisée ordonne, s'il y a lieu, que le mémoire soit communiqué aux parties, et à la Commission nationale de contrôle des techniques de renseignement, dans les mêmes conditions et sous les mêmes réserves que celles mentionnées à l'alinéa précédent ".

5. Il ressort des pièces du dossier que M. B... A... a saisi la CNIL afin de pouvoir accéder aux données susceptibles de le concerner figurant dans les traitements automatisés de données à caractère personnel mis en oeuvre par la DRSD et la DGSE La Commission a désigné, en application de l'article 41 de la loi du 6 janvier 1978, alors applicable, un membre pour mener toutes investigations utiles et faire procéder, le cas échéant, aux modifications nécessaires. Par deux lettres des 11 octobre et 16 novembre 2018, la présidente de la Commission a informé M. A... qu'il avait été procédé à l'ensemble des vérifications demandées pour chacun des deux fichiers en cause et que la procédure était terminée, sans lui apporter d'autres informations. M. A... demande l'annulation du refus, révélé par ce courrier, du ministre de la défense, de lui donner accès aux données susceptibles de le concerner et figurant dans les fichiers litigieux et d'enjoindre à la ministre de les lui communiquer et de faire droit, le cas échéant, à la demande de rectification et/ou suppression de ces données.

6. M. A... soutient en premier lieu que le refus de lui communiquer les informations figurant dans les fichiers DRSD et DGSE aurait dû être motivé en application des dispositions des articles 1er et 3 de la loi n° 79-587 du 11 juillet 1979 relative à la motivation des actes administratifs et à l'amélioration des relations entre l'administration et le public. Toutefois, si ces dispositions, aujourd'hui reprises à l'article L. 211-2 du code des relations entre le public et l'administration, exigent que soient motivées les décisions individuelles restreignant l'exercice des libertés publiques, l'article L. 211-6 du même code précise qu'il n'est pas pour autant dérogé aux textes législatifs interdisant la divulgation ou la publication de faits couverts par le secret. Or, le second alinéa de l'article 118 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose que " Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant. " Il résulte de ces dispositions que lorsque le responsable du traitement s'oppose à la communication des données, la décision de refus n'a en tout état de cause pas à être motivée, dès lors qu'une telle motivation remettrait en cause les finalités du fichier et, le cas échéant, la sûreté de l'Etat.

7. M. A... soutient en deuxième lieu que la ministre a commis une erreur de droit, faute d'avoir recherché si certaines de ces informations n'auraient pu lui être communiquées sans qu'il soit porté atteinte aux fins assignées à ce fichier, à la sûreté de l'Etat, à la défense ou à la sécurité publique. Il résulte toutefois des dispositions citées au point précédent que la ministre, par le refus de communication qu'il oppose, doit être regardé comme ayant nécessairement vérifié si la communication de ces informations porterait atteinte aux intérêts mentionnés. Il appartient en revanche au Conseil d'Etat, saisi en sa formation spécialisée, de vérifier l'existence de ces informations et, le cas échéant, leur caractère nécessaire, adéquat et proportionné et, enfin, si leur communication ne serait pas contraire aux fins assignées à ce fichier, à la sûreté de l'Etat, à la défense ou à la sécurité publique.

8. M. A... soutient en troisième lieu que le refus de communiquer opposé par l'administration viole les dispositions de l'article 15 de la Déclaration des droits de l'homme et du citoyen. Il résulte toutefois de ce qui vient d'être dit que le refus de communiquer opposé par l'administration, qu'il soit justifié ou non, est fondé sur les dispositions précitées de l'article 118 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La conformité de ces dispositions législatives à l'article 15 de la Déclaration des droits de l'homme et du citoyen ne peut s'examiner que dans le cadre d'une question prioritaire de constitutionnalité. Toutefois, faute d'avoir été introduite par mémoire distinct dans les formes prescrites par l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel et l'article R* 771-13 du code de justice administrative, cette question est irrecevable.

9. M. A... soutient en quatrième lieu que le refus de communiquer viole l'article 8, c) de la Convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, relatif au droit d'obtenir, le cas échéant, la rectification ou l'effacement des données les concernant. Toutefois, ce droit est en tout état de cause garanti pour tout fichier par l'article 4 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et les dispositions du code de justice administrative citées au point 4 garantissent un contrôle effectif par la formation spécialisée du Conseil d'Etat sur le respect par l'administration de ces garanties. Au surplus, l'article 9 de cette Convention stipule qu'il peut être dérogé à l'article 8 " lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique : / a) à la protection de la sécurité de l'Etat (...) " et la déclaration faite par le Gouvernement français lors de la signature de cette convention, le 28 janvier 1981, précise que " Le Gouvernement de la République française déclare qu'à l'article 9, paragraphe 2(a), il interprète les termes "Sécurité de l'Etat" comme signifiant "Sûreté de l'Etat". " Enfin, si M. A... invoque par ailleurs la recommandation R (87) 15 du Comité des ministres du Conseil de l'Europe du 17 septembre 1987 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, cette recommandation est, en tout de cause, dépourvue de portée normative.

10. M. A... soutient en cinquième lieu que le refus de communiquer viole le protocole n° 4 à la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, en tant qu'il entrave la liberté d'aller et venir de l'intéressé. Toutefois, M. A... ne peut utilement se prévaloir d'une violation de la liberté d'aller et venir au soutien de conclusions relatives à la protection de ses données personnelles, qui relève d'autres stipulations conventionnelles.

11. Enfin, la ministre des armées et la CNIL ont communiqué au Conseil d'Etat, dans les conditions prévues à l'article R. 773-20 du code de justice administrative, les éléments susceptibles d'être relatifs à la situation de l'intéressé. Le ministre a, en outre, communiqué l'acte réglementaire créant les fichiers litigieux.

12. Il appartient à la formation spécialisée, créée par l'article L. 773-2 du code de justice administrative précité, saisie de conclusions dirigées contre le refus de communiquer les données relatives à une personne qui allègue être mentionnée dans un fichier figurant à l'article R. 841-2 du code de la sécurité intérieure, de vérifier, au vu des éléments qui lui ont été communiqués hors la procédure contradictoire, si le requérant figure ou non dans le fichier litigieux. Dans l'affirmative, il lui appartient d'apprécier si les données y figurant sont pertinentes au regard des finalités poursuivies par ce fichier, adéquates et proportionnées. Pour ce faire, elle peut relever d'office tout moyen ainsi que le prévoit l'article L. 773-5 du code de justice administrative. Lorsqu'il apparaît soit que le requérant n'est pas mentionné dans le fichier litigieux soit que les données à caractère personnel le concernant qui y figurent ne sont entachées d'aucune illégalité, la formation de jugement rejette les conclusions du requérant sans autre précision. Dans le cas où des informations relatives au requérant figurent dans le fichier litigieux et apparaissent entachées d'illégalité soit que les données à caractère personnel le concernant sont inexactes, incomplètes, équivoques ou périmées soit que leur collecte, leur utilisation, leur communication ou leur consultation est interdite, elle en informe le requérant sans faire état d'aucun élément protégé par le secret de la défense nationale. Cette circonstance, le cas échéant relevée d'office par le juge dans les conditions prévues à l'article R. 773-21 du code de justice administrative, implique nécessairement que l'autorité gestionnaire du fichier rétablisse la légalité en effaçant ou en rectifiant, dans la mesure du nécessaire, les données illégales. Dans pareil cas, doit être annulée la décision implicite refusant de procéder à un tel effacement ou à une telle rectification.

13. La formation spécialisée a procédé à l'examen des deux actes réglementaires autorisant la création des fichiers litigieux ainsi que des éléments fournis par la ministre et par la CNIL, laquelle a effectué les diligences qui lui incombent dans le respect des règles de compétence et de procédure applicables. Il résulte de cet examen, qui s'est déroulé selon les modalités décrites au point précédent, qui n'ont révélé aucune illégalité en ce qui concerne le fichier de la DGSE, que les conclusions de M. A... relatives à ce fichier doivent être rejetées. Il résulte en revanche de cet examen que le fichier de la direction du renseignement et de la sécurité de la défense contient, eu égard aux finalités qu'il poursuit, des données non pertinentes et périmées concernant M. A.... Par suite, il y a lieu d'ordonner l'effacement de ces données et, dans les circonstances de l'espèce, de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.

D E C I D E :

--------------

Article 1er : Il est enjoint à la ministre des armées de procéder à l'effacement des données concernant M. B... A... contenues dans le traitement de données personnelles de la direction du renseignement et de la sécurité de la défense.

Article 2 : Une somme de 3 000 euros est mise à la charge de l'Etat au titre de l'article L. 761-1 du code de justice administrative.

Article 3 : Le surplus des conclusions de la requête est rejeté.

Article 4 : La présente décision sera notifiée à M. B... A... et à la ministre des armées.

Copie en sera adressée à la Commission nationale de l'informatique et des libertés.