| France, Conseil d'État, 10ème - 9ème chambres réunies, 24 décembre 2021, 447513

Vu les procédures suivantes :

1° Sous le numéro 444513, par une requête sommaire et un mémoire complémentaire enregistrés les 16 décembre 2020 et 15 mars 2021 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme et la Section française de l'Observatoire international des prisons demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1510 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.

2° Sous le numéro 447973, par une requête enregistrée le 19 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1510 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP) ;

2°) de mettre à la charge de l'Etat la somme de 1 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

3° Sous le numéro 448059, par une requête enregistrée le 22 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1510 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP) ;

2°) d'enjoindre au ministre de l'intérieur de supprimer l'ensemble des données collectées en application du décret attaqué, sous astreinte de 1 024 euros par jour de retard ;

3°) de mettre à la charge de l'Etat la somme de 4 096 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

4° Sous le numéro 449299, par une requête sommaire et un mémoire complémentaire enregistrés le 2 février et le 3 mai 2021 au secrétariat du contentieux du Conseil d'Etat, le Conseil national des barreaux demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1510 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

5° Sous le numéro 449461, par une requête sommaire et un mémoire complémentaire enregistrés les 5 février et 5 mai 2021 au secrétariat du contentieux du Conseil d'Etat, la collectivité de Corse, M. T... AZ..., M. BP... BX..., Mme Q... C..., Mme DC..., Mme AV... DF..., Mme AK... BF..., Mme DD... CM..., M DA... BB..., M. BL... CP..., M. D... CA..., M. Y... AX..., M. AL... AW..., M. CE... P..., Mme BJ... BC..., M. A... AM..., Mme U... CB... épouse AN..., Mme CV... BH... épouse AH..., M. Z... R..., M. AG... AP..., Mme AC... H..., M. CS... CD..., Mme CK... AU... épouse AR..., Mme BK... CL..., M. CT... BS..., Mme AD... AW... épouse CN..., Mme N... M..., M. W... AY..., Mme BQ... CF..., M. L... CZ..., Mme CI... BW..., M. CY... AJ..., Mme CO... BV..., Mme BA... BB... DG..., Mme K... AS..., Mme CU... AZ..., Mme CX... G..., M.François BZ..., M. AB... BN..., M. CR... CJ..., Mme CQ... F..., M. E... BR..., Mme J... DB..., M. AF... F..., Mme B... AJ..., M. BL... BD..., M. V... O..., Mme U... BM... épouse CH..., Mme I... AI..., M. CW... AO..., Mme AA... AO..., M. AE... BG..., M. E... BT..., M. AF... AT... et Mme CG... BO... demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1510 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

Vu les autres pièces des dossiers ;

Vu :

- la Constitution, notamment son Préambule et son article 61-1 ;

- la Charte des droits fondamentaux de l'Union européenne ;

- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;

- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

- la directive n° 2016/680 du 27 avril 2016 ;

- l'ordonnance n° 58-1067 du 7 novembre 1958 ;

- le code de la légion d'honneur, de la médaille militaire et de l'ordre national du mérite ;

- le code de procédure pénale ;

- le code de la santé publique ;

- le code de la sécurité intérieure ;

- la loi n° 78-17 du 6 janvier 1978 ;

- le décret n° 93-1362 du 30 décembre 1993 ;

- le décret n° 2017-1224 du 3 août 2017 ;

- la décision n° 449461,449468,449469 du 22 juillet 2021 par laquelle le Conseil d'Etat statuant au contentieux n'a pas renvoyé au Conseil constitutionnel la question prioritaire de constitutionnalité posée par la collectivité de Corse et autres ;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. David Moreau, maître des requêtes,

- les conclusions de M. Laurent Domingo, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de la Ligue des droits de l'homme et de la Section française de l'Observatoire international des prisons, à la SCP Sevaux, Mathonnet, avocat de la confédération générale du travail et autres à la SCP Boré, Salve de Bruneton, Mégret, avocat du Conseil national des barreaux et à la SCP Spinosi, avocat de Mme CI... BW..., de M. AF... F..., de Mme B... AJ..., de M. BL... BD..., de M. V... O..., de Mme U... BM..., de Mme I... AI..., de M. CW... AO..., de Mme AA... AO..., de M. AE... BG..., de M. E... BT..., de M. AF... AT..., de Mme CG... BO..., de M. BP... BX..., de Mme CQ... F..., de M. E... BR..., de Mme J... DB..., de la Collectivité de Corse, de M. T... AZ..., de Mme Q... C..., de Mme DC..., de Mme AV... DF..., de Mme AK... BF..., de Mme DD... CM..., de M. DA... BB..., de M. BL... CP..., de M. D... CA..., de M. Y... AX..., de M. AL... AW..., de M. CY... AJ..., de Mme CO... BV..., de Mme BA... BB..., de Mme K... AS..., de Mme CU... AZ..., de Mme CX... G..., de M. BL... BZ..., de M. AB... BN..., de M. CR... CJ...,, de M. CE... P..., de Mme BJ... BC..., de M. A... AM..., de Mme U... CB..., de Mme CV... BH..., de M. Z... R..., de M. AG... AP..., de Mme AC... H..., de M. CS... CD..., de Mme CK... AU..., de Mme BK... CL..., de M. CT... BS..., de Mme AD... AW..., de Mme N... M..., de M. W... AY..., de Mme BQ... CF... et de M. L... CZ... ;

Vu la note en délibéré, enregistrée le 3 décembre 2021, présentée par l'association La Quadrature du Net ;

1. Les requêtes de la Ligue des droits de l'homme et autres, de la Confédération générale du travail et autres, de l'association La Quadrature du Net, du Conseil national des barreaux et de la collectivité de Corse et autres sont dirigées contre le même décret du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Enquêtes administratives liées à la sécurité publique " (EASP). Il y a lieu de les joindre pour statuer par une même décision.

2 Il résulte des dispositions des articles L. 114-1 et L. 114-2 du code de la sécurité intérieure que peuvent être précédés d'enquêtes administratives destinées à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées ou avec l'attribution des titres demandés, les décisions administratives de recrutement, d'affectation, de titularisation, d'autorisation, d'agrément ou d'habilitation, prévues par des dispositions législatives ou réglementaires, concernant certains emplois sensibles, relevant notamment du domaine de la sécurité, de la défense et des jeux, paris et courses, l'accès à des zones protégées en raison de l'activité qui s'y exerce, l'utilisation de matériels ou produits présentant un caractère dangereux, la délivrance, le renouvellement ou le retrait de titres et d'autorisations de séjour, l'octroi ou le maintien de la protection internationale, ainsi que les décisions de recrutement et d'affectation concernant les emplois en lien direct avec la sécurité des personnes et des biens au sein de certaines entreprises de transport. L'article L. 211-11-1 du même code prévoit également qu'une telle enquête, portant sur le point de savoir si le comportement ou les agissements de la personne sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat, est menée préalablement à la délivrance d'une autorisation d'accès à certains établissements et installations sensibles dans le cadre des grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste désignés par décret. En vertu de l'article 36 du décret du 30 décembre 1993 relatif aux déclarations de nationalité, aux décisions de naturalisation, de réintégration, de perte, de déchéance et de retrait de la nationalité française, toute demande de naturalisation ou de réintégration fait l'objet d'une enquête portant sur la conduite et le loyalisme du demandeur. Enfin, selon l'article R. 29 du code de la légion d'honneur, de la médaille militaire et de l'ordre national du mérite, la nomination et la promotion dans les ordres nationaux sont précédées d'une enquête portant sur l'honorabilité et la moralité du candidat.

3. Il résulte de l'article R. 236-1 du code de la sécurité intérieure, tel que modifié par le décret attaqué, que le traitement EASP a pour finalité de faciliter la réalisation des enquêtes administratives mentionnées au point 2, par la conservation des données issues de précédentes enquêtes relatives à une même personne, y compris celles intéressant la sûreté de l'Etat.

Sur la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net :

4. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé (...) à l'occasion d'une instance devant le Conseil d'Etat (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif d'une décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.

5. Aux termes de l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I. -Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.... ". Aux termes de l'article 31 de la loi du 6 janvier 1978 : " I.- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et : 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté. / L'avis de la commission est publié avec l'arrêté autorisant le traitement. II.- Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement (...) "

6. En premier lieu, le décret attaqué a été pris sur le fondement du II de l'article 31 de la loi du 6 janvier 1978. Par suite, les dispositions du I de cet article ne sont pas applicables au litige.

7. En second lieu, selon l'article 34 de la Constitution, la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. D'une part, les dispositions du II de l'article 31 de la loi du 6 janvier 1978 prévoient que la création des traitements qu'elles mentionnent ne peut procéder que d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL). D'autre part, la création et la mise en œuvre de ces traitements sont subordonnées au respect de l'ensemble des garanties applicables prévues par cette loi, en particulier les principes, énumérés à son article 4, de licéité, tel qu'il est précisé à son article 5, de loyauté, de limitation des finalités, de minimisation des données, d'exactitude, de limitation de la conservation, d'intégrité et de confidentialité. Leur mise en œuvre est en outre soumise au contrôle de la CNIL et peut donner lieu au prononcé des sanctions pénales mentionnées à l'article 40 de cette loi, notamment en cas de collecte et de conservation de données sensibles en-dehors des cas prévus par la loi et en l'absence de consentement exprès des intéressés, et de divulgation de données à caractère personnel à des tiers non autorisés portant atteinte à la considération ou à l'intimité de la vie privée des personnes concernées. Il résulte de l'ensemble de ces garanties que l'association La Quadrature du Net n'est pas fondée à soutenir qu'en autorisant l'autorité investie du pouvoir réglementaire à créer de tels traitements, le législateur serait resté en-deçà de sa compétence et aurait méconnu le droit au respect de la vie privée, la liberté d'expression et le droit à la liberté d'aller et venir protégés par les articles 2, 4 et 11 de la Déclaration des droits de l'homme et du citoyen. Par suite, la question de la constitutionnalité des dispositions du II de l'article 31 de la loi du 6 janvier 1978, qui n'est pas nouvelle, ne présente pas de caractère sérieux.

8. Il résulte de tout ce qui précède qu'il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net.

Sur la légalité externe du décret attaqué :

En ce qui concerne la compétence du pouvoir réglementaire :

9. D'une part, si, en vertu du a) du 5° de l'article R. 236-2 du code de la sécurité intérieure, tel que modifié par le décret attaqué, les collectivités territoriales au sein desquelles des personnes physiques ayant fait l'objet d'une enquête administrative sont susceptibles d'être mentionnées dans le traitement, dès lors qu'une telle donnée est nécessaire au regard des finalités du traitement, et sans d'ailleurs qu'une recherche automatisée soit possible à partir de cette donnée, un tel traitement n'affecte en rien la libre administration des collectivités territoriales. Le moyen tiré de l'incompétence du pouvoir réglementaire pour autoriser la collecte de telles données ne peut donc qu'être écarté.

10. D'autre part, il résulte des dispositions des articles 6 et 88 de la loi du 6 janvier 1978 que le législateur a entendu permettre, dans certaines conditions, la collecte de données sensibles concernant toute personne physique, sans prévoir de dérogation pour les élus locaux. Par la décision 22 juillet 2021 visée ci-dessus, le Conseil d'Etat n'a pas renvoyé au Conseil Constitutionnel la question prioritaire de constitutionnalité soulevée par les organisations requérantes à l'encontre de ces dispositions. Le moyen tiré de ce que le pouvoir réglementaire aurait, en permettant la collecte de données relatives aux opinions et aux activités politiques des élus locaux, empiété sur la compétence du législateur doit ainsi être écarté.

En ce qui concerne la consultation du Conseil d'Etat :

11. Il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, produite dans le cadre de l'instruction par le ministre de l'intérieur, que le décret publié, qui autorise un traitement relevant des dispositions du II de l'article 31 de la loi du 6 janvier 1978, ne contient pas de disposition qui différerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur du Conseil d'Etat. Par suite, le moyen tiré de la méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret en Conseil d'Etat doit être écarté.

En ce qui concerne l'analyse d'impact :

12. Aux termes de l'article 90 de la loi du 6 janvier 1978, applicable aux traitements relevant de la directive 2016/80 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données : " Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33 (...) ". Il résulte de ces dispositions que, lorsqu'est exigée une analyse d'impact préalablement à la création ou à la modification d'un traitement de données à caractère personnel mis en œuvre pour le compte de l'Etat relevant de ces dispositions, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la CNIL dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

13. Il ressort des finalités assignées au traitement EASP qu'il relève de la directive du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel à des fins de prévention et de détection des infractions pénales et du titre IV de la loi du 6 janvier 1978 relatif aux traitements intéressant la sûreté de l'Etat et la défense, et non du règlement du 27 avril 2016 dit règlement général sur la protection des données (" RGPD "). Par suite, il ne peut être utilement soutenu que le décret attaqué méconnaîtrait l'article 62 de la loi du 6 janvier 1978, qui régit l'analyse d'impact des seuls traitements relevant du RGPD.

14. Il ressort des pièces du dossier que l'analyse d'impact prévue par l'article 90 de la loi du 6 janvier 1978 a été transmise à la CNIL avant que celle-ci rende son avis. Par suite, l'association La Quadrature du Net n'est pas fondée à soutenir que le décret qu'elle attaque serait irrégulier en l'absence d'analyse d'impact adressée à la CNIL dans le cadre de la demande d'avis.

Sur la légalité interne du décret attaqué :

15. Aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (...) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. (...) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ; / 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ". Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

En ce qui concerne les finalités du traitement :

S'agissant de la détermination des finalités

16. En premier lieu, d'une part, l'article 4 de la loi du 6 janvier 1978 n'interdit pas qu'un traitement comporte plusieurs finalités et, d'autre part, l'article 91 de la même loi autorise expressément qu'un traitement poursuivant des finalités de sécurité publique, relevant du titre III, poursuive également des finalités ne relevant pas de ce titre.

17. En deuxième lieu, la circonstance que le traitement litigieux poursuive à la fois des finalités de protection de la sécurité publique, qui relèvent du titre III de la loi du 6 janvier 1978 pris pour la transposition de la directive du 27 avril 2016, et de protection de la sûreté de l'Etat, qui relèvent du titre IV de la même loi, n'est pas de nature à entraîner une confusion sur la nature des droits garantis aux personnes enregistrées dans le traitement ou à les priver des garanties prévues par cette directive, alors au demeurant que le deuxième alinéa de l'article R. 236-1 du code de la sécurité intérieure prévoit que les données intéressant la sûreté de l'Etat doivent faire l'objet d'une identification dans le traitement.

18. En troisième lieu, le second alinéa de l'article R. 236-1 du code de la sécurité intérieure définit les données intéressant la sûreté de l'Etat comme " celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ". Les intérêts fondamentaux de la Nation mentionnés par ces dispositions sont ceux qui sont énumérés à l'article L. 811-3 du même code. Par suite, la notion d'atteinte à la sûreté de l'Etat est suffisamment définie.

19. Il résulte de l'ensemble de ce qui précède que le moyen tiré de l'insuffisante détermination des finalités du traitement EASP doit être écarté.

S'agissant de la légitimité des finalités :

20. Si la collectivité de Corse et autres font valoir que l'article R. 841-2 du code de la sécurité intérieure prévoit déjà l'existence d'autres traitements intéressant la sûreté de l'Etat, ceux-ci ont des objets distincts de celui du traitement EASP. En particulier, si le traitement dénommé " Automatisation de la consultation centralisée de renseignements et de données " a, comme le traitement EASP, pour finalité de faciliter la réalisation d'enquêtes administratives en application des articles L. 114-1, L. 114-2 et L. 211-11-1 du même code, il ressort de l'article 5 du décret du 3 août 2017 autorisant le traitement ACCReD que celui-ci est alimenté et consulté par les agents en charge des enquêtes administratives alors qu'aux termes de l'article R. 236-6 de ce code, le traitement EASP, qui ne porte que sur le traitement des données relatives aux enquêtes administratives déjà réalisées, est consulté par les agents des services de renseignement, les agents en charge de la réalisation des enquêtes administratives pouvant seulement en être destinataires à leur demande pour les besoins de celles-ci. Par suite, le moyen tiré de l'absence de nécessité de l'extension des finalités du traitement EASP à la prévention des atteintes à la sûreté de l'Etat ne peut qu'être écarté.

En ce qui concerne les données susceptibles d'être enregistrées :

S'agissant du champ des personnes concernées :

21. D'une part, le décret attaqué n'a pas modifié le champ des personnes dont les données sont susceptibles d'être enregistrées dans le traitement EASP, y compris pour les personnes mineures, qui reste défini par l'article R. 236-1 du code de la sécurité intérieure comme incluant seulement les personnes soumises à une enquête administrative en application des dispositions énumérées par cet article.

22. D'autre part, s'il résulte du a) du 5°) de l'article R. 236-2, tel que modifié par le décret en litige, que le nom des personnes morales ou des groupements au sein desquels une personne physique a conduit des activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat peut être enregistré dans le traitement, il résulte du dernier alinéa du même article qu'une telle donnée ne peut pas faire l'objet d'une recherche automatisée. Le décret attaqué ne peut donc en tout état de cause être regardé, contrairement à ce que soutiennent plusieurs requérants, comme permettant d'assurer un suivi des personnes morales et des groupements en tant que tels.

23. Il suit de là que le moyen tiré de ce que le champ des personnes concernées par le traitement EASP serait excessif doit être écarté.

S'agissant de la collecte de données dites sensibles :

24. Aux termes du I de l'article 6 de la loi du 6 janvier 1978 : " Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ". Aux termes de l'article 88 de la même loi, applicable aux traitements relevant de la directive du 27 avril 2016 : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ".

25. L'article R. 236-3 du code de la sécurité intérieure prévoit que l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978 s'applique au traitement EASP mais que, par dérogation, l'enregistrement de données, contenues dans un rapport d'enquête, relatives à un comportement incompatible avec l'exercice des fonctions ou des missions envisagées est autorisé alors même que ce comportement aurait une motivation politique, religieuse, philosophique ou syndicale. Le décret attaqué ajoute qu'il en est de même lorsque le comportement tiendrait à la dangerosité que feraient apparaitre les données, obtenues conformément aux dispositions législatives et réglementaires en vigueur, relatives aux troubles psychologiques ou psychiatriques de l'intéressé.

26. En premier lieu, il résulte des dispositions précitées de l'article 88 de la loi du 6 janvier 1978 que la collecte des données sensibles mentionnées au I de l'article 6 de cette loi est possible à des fins de préservation de la sécurité publique, et non seulement, comme le soutiennent certains requérants, de préservation de la sûreté de l'Etat.

27. En deuxième lieu, il résulte des dispositions combinées des articles 4 et 115 de la loi du 6 janvier 1978 que des données sensibles ne peuvent être traitées dans le traitement EASP au titre de la préservation de la sûreté de l'Etat que si elles sont nécessaires à la poursuite de cette finalité. En outre, le décret attaqué n'est pas entaché d'illégalité du seul fait qu'il ne rappelle pas que le traitement des données sensibles pour les finalités relevant de la directive 2016/680 du 27 avril 2016 n'est possible qu'en cas de nécessité absolue.

28. En troisième lieu, en indiquant que l'enregistrement de données relatives à un comportement incompatible avec l'exercice des fonctions ou des missions envisagées est autorisé " alors même que ce comportement aurait une motivation politique, religieuse, philosophique ou syndicale ", l'article R. 236-3 du code de la sécurité intérieure, qui n'a pas été modifié sur ce point par le décret attaqué, se borne à autoriser la collecte de données comportementales susceptibles de révéler des opinions politiques, religieuses, philosophiques ou syndicales, mais n'a ni pour objet ni pour effet, contrairement à ce que soutiennent plusieurs requérants, de permettre l'enregistrement de ces opinions elles-mêmes.

29. En quatrième et dernier lieu, il résulte du dernier alinéa de l'article R. 236-2 et de l'article R. 236-3, d'une part, qu'aucune recherche automatisée ne peut être effectuée à partir des données sensibles et, d'autre part, que ces données ne peuvent provenir que d'un rapport d'enquête administrative, à l'exclusion de toute autre source. Eu égard, en outre, à l'ensemble des garanties fixées par les articles R. 236-4 à R. 236-10 du code de la sécurité intérieure dans leur rédaction résultant du décret attaqué, tenant notamment à la durée de conservation de ces données, aux conditions dans lesquelles les agents mentionnés à l'article R. 236-6 peuvent y accéder ou en être rendus destinataires, à la traçabilité des opérations effectuées dans le traitement et aux droits des personnes concernées définis à l'article R. 236-9, ainsi qu'à l'obligation faite par l'article R. 236-10 au directeur général de la police nationale de présenter chaque année à la CNIL un rapport sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement et indiquant les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, notamment pour ce qui concerne les données sensibles, les requérants ne sont pas fondés à soutenir que le traitement litigieux ne serait pas assorti des garanties appropriées exigées par l'article 88 de la loi du 6 janvier 1978.

S'agissant des activités au sein des personnes morales ou groupements :

30. En premier lieu, le terme " groupement ", entendu comme tout groupe organisé de personnes, est suffisamment précis.

31. En deuxième lieu, si le décret ne précise pas la nature des activités au sein des personnes morales ou groupements qui peuvent être enregistrées dans le traitement, il résulte des termes mêmes du 5° de l'article R. 236-2 du code de la sécurité intérieure qu'il ne peut s'agir que d'activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Le moyen tiré du caractère indéfini des activités concernées doit par suite être écarté.

32. En troisième et dernier lieu, pour les motifs exposés aux points 9 et 10, les moyens tirés de ce que le décret attaqué porterait atteinte au principe de libre administration des collectivités territoriales et au principe de libre exercice des mandats locaux ne peuvent qu'être écartés.

S'agissant des activités sur les réseaux sociaux :

33. En premier lieu, il résulte des termes mêmes du 5° de l'article R. 236-2 du code de la sécurité intérieure que les données relatives aux " activités sur les réseaux sociaux " mentionnées au d) de ce 5° ne peuvent être enregistrées dans le traitement que si ces activités sont susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Au sens et pour l'application de ces dispositions, les termes " réseaux sociaux " désignent les plateformes en ligne permettant aux personnes qu'elles mettent en relation de communiquer entre elles, de mettre à la disposition des autres utilisateurs des contenus tels que des textes, des images et des vidéos et d'accéder à ceux-ci. Le moyen tiré de ce que les données susceptibles d'être collectées à ce titre ne seraient pas définies de façon suffisamment claire et précise doit par suite être écarté.

34. En deuxième lieu, le décret attaqué n'a ni pour objet, ni pour effet d'autoriser la collecte automatisée sur les réseaux sociaux de données susceptibles de révéler une menace pour l'ordre public, qui constituerait un traitement distinct. Au demeurant, le traitement EASP a seulement pour finalité de conserver des enquêtes administratives déjà réalisées et ne comprend par suite aucune donnée que ses utilisateurs seraient amenés à collecter eux-mêmes.

35. En troisième lieu, l'article R. 236-2 du code de la sécurité intérieure modifié par le décret attaqué exclut expressément la collecte des mots de passe utilisés sur les services en ligne. Le moyen tiré de ce que le décret permettrait un piratage des comptes des personnes enregistrées ne peut qu'être écarté.

36. En dernier lieu, à défaut de disposition expresse en ce sens, le décret attaqué ne peut être regardé, contrairement à ce que soutiennent la Confédération générale du travail et autres, comme autorisant la collecte de données relatives aux tiers contactés sur les réseaux sociaux. Par suite, le moyen tiré du défaut d'encadrement des conditions d'enregistrement de telles données est inopérant.

S'agissant des antécédents judiciaires :

37. Aux termes du deuxième alinéa de l'article 777-3 du code de procédure pénale : " Aucun fichier ou traitement à données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnation ". En autorisant la collecte de données relatives aux " agissements susceptibles de recevoir une qualification pénale ", aux " antécédents judiciaires (nature des faits et date) ", aux " suites judiciaires " et aux " mesures administratives ou judiciaires restrictives de droits, décidées ou proposées ", l'article R. 236-2 du code de la sécurité intérieure modifié par le décret attaqué n'a pas pour objet, et ne saurait avoir légalement pour effet, d'autoriser la mention, dans le traitement EASP qui ne dépend pas du ministère de la justice, de références de jugements ou arrêts de condamnation. Par suite, le moyen tiré de la méconnaissance des dispositions précitées de l'article 777-3 du code de procédure pénale doit être écarté.

S'agissant des données de santé :

38. En premier lieu, le décret attaqué n'a pas pour objet, et ne saurait avoir légalement pour effet, d'autoriser le traitement de données de santé qui auraient été recueillies en méconnaissance du secret médical garanti par l'article L. 1110-4 du code de la santé publique.

39. En deuxième lieu, la collecte des données de santé n'est permise que dans la mesure où celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l'objet de l'enquête administrative et des conditions dont celle-ci vise à vérifier la satisfaction et, s'agissant des finalités relevant de la directive 2016/680 du 27 avril 2016, uniquement en cas de nécessité absolue. Les termes " troubles psychologiques ou psychiatriques ", " comportements auto-agressifs " et " addictions " sont par ailleurs suffisamment précis. Dans ces conditions, le moyen tiré de ce que le décret attaqué autoriserait un traitement excessif et illicite des données de santé doit être écarté.

S'agissant des autres catégories de données contestées :

40. Les données relatives aux " facteurs familiaux, sociaux et économiques ", au titre des " facteurs de fragilité ", ne peuvent être collectées que dans la mesure où elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l'objet de l'enquête administrative et des conditions dont celle-ci vise à vérifier la satisfaction. Il en va de même des données relatives aux " comportements et habitudes de vie ", " déplacements " et " pratiques sportives ", qui ne peuvent en outre se rapporter qu'à des activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Ces termes sont par ailleurs suffisamment précis. Dans ces conditions, le moyen tiré du caractère indéterminé et excessif des données susceptibles d'être collectées à ces différents titres doit être écarté.

41. Il résulte de ce qui précède que les moyens tirés de ce que la collecte des données autorisée par le décret attaqué méconnaîtrait les dispositions de la loi du 6 janvier 1978, porterait une atteinte disproportionnée au droit au respect de la vie privée garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 2 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 et les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, au droit à la liberté de pensée, de conscience et de religion garanti par l'article 9 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et aux libertés de réunion, d'association et syndicale garanties par l'article 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 2 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 et le sixième alinéa du Préambule de la Constitution de 1946, doivent être écartés.

En ce qui concerne la durée de conservation des données :

42. D'une part, la circonstance que le 8° de l'article R. 236-2 du code de la sécurité intérieure, tel que modifié par le décret attaqué, prévoit l'indication de l'enregistrement ou non de la personne concernée dans plusieurs autres traitements, dont certains ont une durée de conservation des données plus longue, n'a pas pour effet de modifier celle des données enregistrées dans le traitement EASP.

43. D'autre part, eu égard à la finalité poursuivie par le traitement EASP, qui vise à faciliter la réalisation d'enquêtes administratives en mettant à la disposition des autorités ayant besoin d'en connaître les données issues de précédentes enquêtes, la durée de conservation de cinq ans fixée à l'article R. 236-4 du code de la sécurité intérieure, laquelle est une durée maximale qui ne soustrait pas le responsable de traitement à l'obligation de procéder à l'effacement, avant cette échéance, de celles des données qui ne s'avèreraient plus nécessaires au regard de cette finalité, n'est pas excessive.

En ce qui concerne l'accès aux données et leur communication aux destinataires :

44. En premier lieu, la définition des catégories de personnes autorisées à accéder aux données du traitement EASP ou à en être destinataires est suffisamment précise et justifiée au regard de leurs attributions. La circonstance que l'accès au traitement est désormais ouvert aux agents contractuels des services du renseignement, et non plus seulement aux fonctionnaires, répond à la nécessité de prendre en compte la diversité des statuts des agents de ces services.

45. En deuxième lieu, les personnes mentionnées à l'article R. 236-6 ne sont autorisées à accéder à ou à obtenir communication des données du traitement EASP que " dans la limite du besoin d'en connaître ", en vue de la réalisation d'enquêtes administratives. Cette notion, d'ailleurs usuelle dans les actes créant des traitements de données à caractère personnel, exige que les données en cause soient nécessaires à l'exercice des attributions dévolues à l'auteur de la demande. Contrairement à ce qui est soutenu, elle n'est entachée d'aucune imprécision.

46. En troisième lieu, si le III de l'article R. 236-6 du code de la sécurité intérieure prévoit, comme il le faisait déjà avant l'intervention du décret contesté, que les agents de la police nationale ou les militaires de la gendarmerie nationale peuvent, alors même qu'ils n'exercent pas de missions de renseignement, être destinataires de données enregistrées dans le traitement, c'est à la condition, d'une part, que la communication des données s'effectue sous réserve et dans la limite du besoin d'en connaître et, d'autre part, que chaque demande, qui doit préciser l'identité du demandeur, l'objet et les motifs de la consultation, soit agréée par le responsable de service concerné, lequel doit être au nombre des personnes bénéficiant d'un accès direct au traitement en vertu du 1°, du 2° ou du 3° du I du même article.

47. En quatrième lieu, en vertu de l'article R. 236-17 du même code, toute transmission de donnée à un tiers donne lieu à un enregistrement, conservé trois ans, comprenant l'identifiant de l'auteur, la date, l'heure et le motif de l'opération, ainsi que l'identité du destinataire. Un tel enregistrement permet de contrôler que le traitement ne donne pas lieu à des transmissions abusives. En outre, aucune disposition n'exige que l'acte créant un tel traitement précise les modalités de transmission des données aux destinataires.

48. En cinquième lieu, si le 8° de l'article R. 236-2 du code de la sécurité intérieure, tel que modifié par le décret attaqué, prévoit l'indication dans le traitement EASP de l'enregistrement ou non de la personne concernée dans sept autres fichiers, il ne permet aucune mise en relation automatisée avec ces derniers. Par suite, le moyen tiré de ce que ces dispositions étendraient excessivement le champ des personnes ayant accès aux données contenues dans le traitement EASP en l'ouvrant aux utilisateurs de ces autres traitements ne peut qu'être écarté.

49. En sixième et dernier lieu, contrairement à ce qui est soutenu, l'article 7 du décret du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé " Automatisation de la consultation centralisée de renseignements et de données " n'a ni pour objet, ni pour effet d'étendre le champ des personnes ayant accès au traitement EASP en y incluant les utilisateurs de ce fichier, le décret attaqué ne modifiant pas ces dispositions.

50. Il résulte de ce qui précède que les moyens tirés de ce que le décret attaqué définirait illégalement le champ des personnes autorisées à accéder ou à se voir communiquer les données du traitement EASP et les modalités de ces opérations ne peuvent qu'être écartés.

En ce qui concerne les mises en relation avec d'autres traitements :

51. Aux termes de l'article 92 de la loi du 6 janvier 1978 applicable aux traitements relevant de la directive du 27 avril 2016 : " Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 87 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier du titre Ier et au présent titre ". Aux termes de l'article 101 de cette même loi également applicable à ces traitements : " Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données. / Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci. / Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ".

52. En premier lieu, contrairement à ce que soutient l'association La Quadrature du Net, l'article R. 236-7 du code de la sécurité intérieure relatif au journal des opérations effectuées dans le traitement n'a par lui-même ni pour objet ni pour effet d'autoriser le rapprochement du traitement EASP avec d'autres traitements.

53. En deuxième lieu, si le 8° de l'article R. 236-2 du code de la sécurité intérieure prévoit l'indication dans le traitement EASP de l'enregistrement ou non de la personne concernée dans sept autres fichiers, il ne prévoit aucune mise en relation automatisée avec ces derniers. Par suite, le moyen tiré de ce que le décret attaqué prévoirait des interconnexions non recensées dans le journal des opérations, en méconnaissance de l'article 101 de la loi du 6 janvier 1978, ne peut qu'être écarté.

54. En dernier lieu, aucune disposition du décret attaqué ne prévoit l'accès au traitement des titres électroniques sécurisés par l'intermédiaire du traitement EASP. Par suite, le moyen tiré de ce qu'une telle interconnexion méconnaît l'article 92 de la loi du 6 janvier 1978 ne peut qu'être écarté.

En ce qui concerne l'insuffisante sécurisation des données collectées :

55. L'article 121 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui imposent au responsable d'un traitement de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, sont sans incidence sur la légalité de cet acte. Par suite, le moyen tiré de l'insuffisante sécurisation des données et informations collectées dans le traitement EASP ne peut qu'être écarté.

56. Il résulte de tout ce qui précède que les conclusions de la Ligue des droits de l'homme et autres, de la Confédération générale du travail et autres, de l'association La Quadrature du Net, du Conseil national des barreaux et de la collectivité de Corse et autres, y compris celles présentées au titre au titre des dispositions de l'article L. 761-1 du code de justice administrative, doivent être rejetées.

D E C I D E :

--------------

Article 1er : Il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net.

Article 2 : Les requêtes de la Ligue des droits de l'homme et autres, de la Confédération générale du travail et autres, de l'association La Quadrature du Net, du Conseil national des barreaux et de la collectivité de Corse et autres sont rejetées.

Article 3 : La présente décision sera notifiée à la Ligue des droits de l'homme, première dénommée, pour tous les requérants de l'instance n° 447513, à la Confédération générale du travail, première dénommée, pour tous les requérants de l'instance n° 447973, à l'association La Quadrature du Net, au Conseil national des barreaux, à la collectivité de Corse, première dénommée, pour tous les requérants de l'instance n° 449061, au Premier ministre et au ministre de l'intérieur.

Délibéré à l'issue de la séance du 3 décembre 2021 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux présidant ; M. BE... AQ..., M. Frédéric Aladjidi, présidents de chambre ; Mme BU... S..., M. BY... X..., Mme B... CC..., M.Thomas Andrieu, M. Alain Seban, conseillers d'Etat ; M. David Moreau, maître des requêtes-rapporteur.

Rendu le 24 décembre 2021

Le Président :

Signé : M. Rémy Schwartz

Le rapporteur :

Signé : M. David Moreau

La secrétaire :

Signé : Mme BI... DE...