| France, Conseil d'État, 10ème - 9ème chambres réunies, 24 décembre 2021, 447515

Vu les procédures suivantes :

1° Sous le numéro 447515, par une requête sommaire et un mémoire complémentaire enregistrés les 16 décembre 2020 et 15 mars 2021 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme et la Section française de l'Observatoire international des prisons demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.

2° Sous le numéro 444969, par une requête enregistrée le 19 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l'Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d'information et de soutien des immigré.e.s et l'Union nationale des étudiants de France demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP) ;

2°) de mettre à la charge de l'Etat la somme de 1 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

3° Sous le numéro 448048, par une requête enregistrée le 22 décembre 2020 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP) ;

2°) d'enjoindre au ministre de l'intérieur de supprimer l'ensemble des données collectées en application du décret attaqué, sous astreinte de 1 024 euros par jour de retard ;

3°) de mettre à la charge de l'Etat la somme de 4 096 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

4° Sous le numéro 449300, par une requête sommaire et un mémoire complémentaire enregistrés le 2 février et le 3 mai 2021 au secrétariat du contentieux du Conseil d'Etat, le Conseil national des barreaux demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

5° Sous le numéro 449468, par une requête sommaire et un mémoire complémentaire enregistrés les 5 février et 5 mai 2021 au secrétariat du contentieux du Conseil d'Etat, la collectivité de Corse, M. V... BB..., M. BR... BZ..., Mme S... D..., Mme DE..., Mme AX... DH..., Mme AM... BH..., Mme DF... CO..., M. DC... BD..., M. BN... CR..., M. E... CC..., M. AA... AZ..., M. AN... AY..., M. CG... R..., Mme BL... BE..., M. B... AO..., Mme W... CD... épouse AP..., Mme CX... BJ... épouse AJ..., M. AB... T..., M. AI... AR..., Mme AE... J..., M. CU... CF..., Mme CM... AW... épouse AT..., Mme BM... CN..., M. CV... BU..., Mme AF... AY... épouse CP..., Mme P... O..., M. Y... BA..., Mme BS... CH..., M. N... DB..., Mme CK... BY..., M. DA... AL..., Mme CQ... BX..., Mme BC... BD... DI..., Mme M... AU..., Mme CW... BB..., Mme CZ... H..., M.François CB..., M. AD... BP..., M. CT... CL..., Mme CS... G..., M. F... BT..., Mme L... DD..., M. AH... G..., Mme C... AL..., M. BN... BF..., M. X... Q..., Mme W... BO... épouse CJ..., Mme K... AK..., M. CY... AQ..., Mme AC... AQ..., M. AG... BI..., M. F... BV..., M. AH... AV... et Mme CI... BQ... demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP) ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros à verser à chacun des requérants au titre des dispositions de l'article L. 761-1 du code de justice administrative.

....................................................................................

Vu les autres pièces du dossier ;

Vu :

- la Constitution, notamment son Préambule et son article 61-1 ;

- la Charte des droits fondamentaux de l'Union européenne ;

- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;

- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

- la directive n° 2016/680 du 27 avril 2016 ;

- l'ordonnance n° 58-1067 du 7 novembre 1958 ;

- le code de procédure pénale ;

- le code de la santé publique ;

- le code de la sécurité intérieure ;

- la loi n° 78-17 du 6 janvier 1978 ;

- le décret n° 2017-1224 du 3 août 2017 ;

- la décision n° 449461,449468,449469 du 22 juillet 2021 par laquelle le Conseil d'Etat statuant au contentieux n'a pas renvoyé au Conseil constitutionnel la question prioritaire de constitutionnalité posée par la collectivité de Corse et autres ;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. David Moreau, maître des requêtes,

- les conclusions de M. Laurent Domingo, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de la Ligue des droits de l'homme et de la Section française de l'Observatoire international des prisons, à la SCP Sevaux, Mathonnet, avocat de la Confédération générale du travail et autres à la SCP Boré, Salve de Bruneton, Mégret, avocat du Conseil national des barreaux et à la SCP Spinosi, avocat de la Collectivité de Corse, de M. V... BB..., de Mme S... D..., de Mme DE..., de Mme AX... DH..., de Mme AM... BH..., de Mme DF... CO..., de M. DC... BD..., de M. BN... CR..., de M. E... CC..., de M. AA... AZ..., de M. AN... AY..., de M. DA... AL..., de Mme CQ... BX..., de Mme BC... BD..., de Mme M... AU..., de Mme CW... BB..., de Mme CZ... H..., de M. BN... CB..., de M. AD... BP..., de M. CT... CL..., de M. CG... R..., de Mme BL... BE..., de M. B... AO..., de Mme W... CD..., de Mme CX... BJ..., de M. AB... T..., de M. AI... AR..., de Mme AE... J..., de M. CU... CF..., de Mme CM... AW..., de Mme BM... CN..., de M. CV... BU..., de Mme AF... AY..., de Mme P... O..., de M. Y... BA..., de Mme BS... CH..., de M. N... DB..., de Mme CK... BY..., de M. AH... G..., de Mme C... AL..., de M. BN... BF..., de M. X... Q..., de Mme W... BO..., de Mme K... AK..., de M. CY... AQ..., de Mme AC... AQ..., de M. AG... BI..., de M. F... BV..., de M. AH... AV..., de Mme CI... BQ..., de M. BR... BZ..., de Mme CS... G..., de M. F... BT... et de Mme L... DD... ;

Vu la note en délibéré, enregistrée le 3 décembre 2021, présentée par l'association La Quadrature du Net ;

1. Les requêtes de la Ligue des droits de l'homme et autres, de la Confédération générale du travail et autres, de l'association La Quadrature du Net, du Conseil national des barreaux et de la collectivité de Corse et autres sont dirigées contre le même décret du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé " Prévention des atteintes à la sécurité publique " (PASP). Il y a lieu de les joindre pour statuer par une même décision.

2. Il résulte de l'article R. 236-11 du code de la sécurité intérieure, tel que modifié par le décret attaqué, que le traitement PASP a pour finalité de recueillir, de conserver et d'analyser les informations qui concernent des personnes physiques ou morales ainsi que des groupements dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique ou à la sûreté de l'Etat.

Sur la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net :

3. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé (...) à l'occasion I... instance devant le Conseil d'Etat (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif I... décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.

4. Aux termes de l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés: " I. Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique... ". Aux termes de l'article 31 de la même loi : " I.- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et : 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté. / L'avis de la commission est publié avec l'arrêté autorisant le traitement. II.- Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement (...) " ;

5. En premier lieu, le décret attaqué a été pris sur le fondement du II de l'article 31 de la loi du 6 janvier 1978. Par suite, les dispositions du I de cet article ne sont pas applicables au litige.

6. En second lieu, selon l'article 34 de la Constitution, la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. I... part, les dispositions du II de l'article 31 de la loi du 6 janvier 1978 prévoient que la création des traitements qu'elles mentionnent ne peut procéder que d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL). D'autre part, la création et la mise en œuvre de ces traitements sont subordonnées au respect de l'ensemble des garanties applicables prévues par cette loi, en particulier les principes, énumérés à son article 4, de licéité, tel qu'il est précisé à son article 5, de loyauté, de limitation des finalités, de minimisation des données, d'exactitude, de limitation de la conservation, d'intégrité et de confidentialité. Leur mise en œuvre est en outre soumise au contrôle de la CNIL et peut donner lieu au prononcé des sanctions pénales mentionnées à l'article 40 de cette loi, notamment en cas de collecte et de conservation de données sensibles en-dehors des cas prévus par la loi et en l'absence de consentement exprès des intéressés, et de divulgation de données à caractère personnel à des tiers non autorisés portant atteinte à la considération ou à l'intimité de la vie privée des personnes concernées. Il résulte de l'ensemble de ces garanties que l'association La Quadrature du Net n'est pas fondée à soutenir qu'en autorisant l'autorité investie du pouvoir réglementaire à créer de tels traitements, le législateur serait resté en-deçà de sa compétence et aurait méconnu le droit au respect de la vie privée, la liberté d'expression et le droit à la liberté d'aller et venir protégés par les articles 2, 4 et 11 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789. Par suite, la question de la constitutionnalité des dispositions du II de l'article 31 de la loi du 6 janvier 1978, qui n'est pas nouvelle, ne présente pas de caractère sérieux.

7. Il résulte de tout ce qui précède qu'il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net.

Sur la légalité externe du décret attaqué :

En ce qui concerne la compétence du pouvoir réglementaire :

8. I... part, si, en tant qu'il permet de traiter des informations concernant des personnes morales, l'article R. 236-11 du code de la sécurité intérieure tel que modifié par le décret attaqué permet l'enregistrement de certaines données concernant des collectivités territoriales, une telle possibilité n'affecte en rien la libre administration de ces dernières. Par suite, le moyen tiré de l'incompétence du pouvoir réglementaire pour autoriser le traitement de telles données ne peut qu'être écarté.

9. D'autre part, il résulte des dispositions des articles 6 et 88 de la loi du 6 janvier 1978 que le législateur a entendu permettre, dans certaines conditions, la collecte de données sensibles concernant toute personne physique, sans prévoir de dérogation pour les élus locaux. Par la décision 22 juillet 2021 visée ci-dessus, le Conseil d'Etat n'a pas renvoyé au Conseil Constitutionnel la question prioritaire de constitutionnalité soulevée par les organisations requérantes à l'encontre de ces dispositions. Le moyen tiré de ce que le pouvoir réglementaire aurait, en permettant la collecte de données relatives aux opinions et aux activités politiques des élus locaux, méconnu le champ de sa compétence doit ainsi être écarté.

En ce qui concerne la consultation du Conseil d'Etat :

10. Il résulte de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat, qui intéressent la sûreté de l'Etat ou la sécurité publique, et qui portent sur des données dites sensibles mentionnées au I de l'article 6 de la même loi sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la CNIL.

11. Il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, produite dans le cadre de l'instruction par le ministre de l'intérieur, que le décret publié, qui autorise un traitement relevant des dispositions mentionnées au point précédent, ne contient pas de disposition qui différerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l'intérieur du Conseil d'Etat. Par suite, le moyen tiré de la méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret en Conseil d'Etat doit être écarté.

En ce qui concerne la consultation de la CNIL :

12. L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exprimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

13. I... part, aux termes de l'article 6 de la loi du 6 janvier 1978 : " I.- Il est interdit de traiter des données à caractère personnel qui révèlent (...) les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter (...) des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé (...) III.- (...) ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés suivant les modalités prévues au II de l'article 31 et à l'article 32 ".

14. Dans sa rédaction antérieure au décret attaqué, l'article R. 236-13 du code de la sécurité intérieure, dont le premier alinéa interdit en principe le traitement des données dites sensibles mentionnées au I de l'article 6 de la loi de 1978 dans le fichier PASP, permettait de déroger à cette interdiction pour les données relatives, I... part, au 1°, à des signes physiques particuliers et objectifs comme éléments de signalement des personnes et, d'autre part, au 2°, à des " activités politiques, philosophiques, religieuses ou syndicales ". Le décret attaqué a, I... part, remplacé les dispositions du 2° par une référence aux données relatives à " des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale " et, d'autre part, ajouté au 3° une nouvelle dérogation portant sur les " données de santé révélant une dangerosité particulière ".

15. Il ressort des pièces du dossier que l'article 3 du projet de décret soumis à la CNIL se bornait à prévoir l'ajout de ce 3° à l'article R. 236-13 du code de la sécurité intérieure et que celle-ci n'a pas été consultée sur la modification du 2° de l'article R. 236-13 qui résulte du 2° de l'article 3 du décret attaqué. Il est vrai que, comme le soutient le ministre de l'intérieur, les dispositions de l'article R. 236-13 n'ont pas pour objet ou pour effet d'étendre les catégories de données susceptibles d'être enregistrées dans le traitement PASP telles qu'elles sont énumérées à l'article R. 236-12 mais seulement de permettre le traitement des données sensibles qu'elles mentionnent au sein de ces catégories.

16. Toutefois, le 2° de l'article R. 236-13 dans sa rédaction résultant du décret attaqué a pour effet d'autoriser le traitement de données, relevant des catégories énumérées à l'article R. 236-12, qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales au sens du 2° de l'article R. 236-13 dans sa rédaction antérieure. Dans son avis du 11 juin 2009 rendu sur la version antérieure de ces dispositions, la CNIL avait relevé " avec intérêt " que " la notion d'activités, notion objective car fondée sur des actes a été substituée à celle, plus subjective, d'opinions politiques, philosophiques, religieuses ou syndicales ". Elle marquait ainsi l'importance, pour elle, de la différence entre la collecte de données relatives aux activités et celle de données relatives aux opinions. L'extension du champ des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevait une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. D'ailleurs, dans un avis rendu public en date du 20 décembre 2020, postérieur au décret attaqué, la CNIL a fait état de la différence entre les notions d'activités et d'opinions et de ce qu'elle n'avait pas été consultée sur cette modification par rapport au projet de décret qui lui avait été soumis. Il suit de là que le 2° de l'article 3 du décret attaqué doit être annulé.

17. D'autre part, si le décret attaqué a abrogé le dernier alinéa de l'article R. 236-12 du code de la sécurité intérieure qui prévoyait que le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie, il n'a pas pour autant eu pour effet d'autoriser la mise en œuvre de traitements portant sur des données biométriques aux fins d'identifier une personne physique de manière unique, dès lors que l'article R. 236-13 du même code interdit expressément le traitement de telles données sensibles dans le traitement PASP. Le moyen tiré de ce que la CNIL aurait dû être consultée sur la création d'un " gabarit biométrique " par le décret attaqué ne peut donc qu'être écarté.

En ce qui concerne l'analyse d'impact :

18. Aux termes de l'article 90 de la loi du 6 janvier 1978, applicable aux traitements relevant de la directive 2016/80 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données : " Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33 (...) ". Il résulte de ces dispositions que, lorsqu'est exigée une analyse d'impact préalablement à la création ou à la modification d'un traitement de données à caractère personnel mis en œuvre pour le compte de l'Etat relevant de ces dispositions, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la CNIL dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

19. I... part, eu égard aux finalités assignées au traitement PASP, ce dernier relève de la directive du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel à des fins de prévention et de détection des infractions pénales et du titre IV de la loi du 6 janvier 1978 relatif aux traitements intéressant la sûreté de l'Etat et la défense, et non du règlement du 27 avril 2016 dit règlement général sur la protection des données (" RGPD "). Par suite, il ne peut être utilement soutenu que le décret attaqué méconnaîtrait l'article 62 de la loi du 6 janvier 1978, qui régit l'analyse d'impact des seuls traitements relevant du RGPD.

20. D'autre part, il ressort des pièces du dossier que l'analyse d'impact prévue par l'article 90 de la loi informatique a été transmise à la CNIL avant que celle-ci rende son avis. Par suite, l'association La Quadrature du Net n'est pas fondée à soutenir que le décret qu'elle attaque serait irrégulier en l'absence d'analyse d'impact adressée à la CNIL dans le cadre de la demande d'avis.

Sur la légalité interne du décret attaqué :

21. Aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (...) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. (...) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ; / 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ". Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

En ce qui concerne les finalités du traitement :

S'agissant de la détermination des finalités

22. En premier lieu, I... part, l'article 4 de la loi du 6 janvier 1978 n'interdit pas qu'un traitement comporte plusieurs finalités et, d'autre part, l'article 91 de la même loi autorise expressément qu'un traitement poursuivant des finalités de sécurité publique, relevant du titre III, poursuive également des finalités ne relevant pas de ce titre.

23. En deuxième lieu, la circonstance que le traitement litigieux poursuive à la fois des finalités de protection de la sécurité publique, qui relèvent du titre III de la loi du 6 janvier 1978 pris pour la transposition de la directive du 27 avril 2016, et de protection de la sûreté de l'Etat, qui relèvent du titre IV de la même loi, n'est pas de nature à entraîner une confusion sur la nature des droits garantis aux personnes enregistrées dans le traitement ou à les priver des garanties prévues par cette directive, alors au demeurant que le dernier alinéa de l'article R. 236-11 du code de la sécurité intérieure prévoit que les données intéressant la sûreté de l'Etat doivent faire l'objet I... identification dans le traitement.

24. En troisième lieu, le dernier alinéa de l'article R. 236-11 du code de la sécurité intérieure définit les données intéressant la sûreté de l'Etat comme " celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ". Les intérêts fondamentaux de la Nation mentionnés par ces dispositions sont ceux qui sont énumérés à l'article L. 811-3 du même code. Par suite, la notion d'atteinte à la sûreté de l'Etat est suffisamment définie.

25. Il résulte de l'ensemble de ce qui précède que le moyen tiré de l'insuffisante détermination des finalités du traitement PASP doit être écarté.

S'agissant de la légitimité des finalités :

26. Si plusieurs requérants font valoir que l'article R. 841-2 du code de la sécurité intérieure prévoit déjà l'existence d'autres traitements intéressant la sûreté de l'Etat, ceux-ci ont des objets distincts de celui du traitement PASP. En particulier, le traitement dénommé " Automatisation de la consultation centralisée de renseignements et de donnés " a pour finalité de faciliter la réalisation d'enquêtes administratives en application des articles L. 114-1, L. 114-2 et L. 211-11-1 du code de la sécurité intérieure et n'est alimenté et consulté que par les agents en charge de ces enquêtes. De même, le fichier des personnes recherchées, autorisé par le décret n° 2010-569, ne porte que sur les personnes recherchées pour un des motifs énoncés à l'article 2 de ce décret, alors que le traitement PASP permet d'enregistrer des données relatives à des personnes qui, sans être recherchées, sont susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Par suite, le moyen tiré de l'absence de nécessité de l'extension des finalités du traitement PASP à la prévention des atteintes à la sûreté de l'Etat ne peut qu'être écarté.

En ce qui concerne les données susceptibles d'être enregistrées :

S'agissant du champ des personnes concernées :

27. En premier lieu, si les II et IV de l'article R. 236-12 du code de la sécurité intérieure tel que modifié par le décret en litige permettent l'enregistrement de données concernant des personnes physiques entretenant ou ayant entretenu des relations directes et non fortuites avec la personne physique, la personne morale ou le groupement faisant l'objet du suivi, ces dispositions prévoient expressément que cette collecte ne peut se faire que " dans la stricte mesure où ces données sont nécessaires pour le suivi de la personne concernée ", ce qui implique qu'elles soient pertinentes au regard du motif d'enregistrement de cette personne dans le traitement. De la même façon, si le III du même article permet l'enregistrement de données concernant les victimes des agissements de la personne suivie, c'est " dans la stricte mesure où ces données sont nécessaires à la protection des intérêts de la victime et à la prévention de la réitération de faits par la personne concernée ". Le IV du même article doit être interprété sous la même réserve s'agissant des données des victimes des personnes morales ou groupements précédemment mentionnés. Enfin, eu égard aux finalités assignées au traitement par l'article R. 236-11 du code de la sécurité intérieure, les tiers mentionnés dans le traitement ne sauraient faire l'objet en cette qualité de fiches propres et aucune recherche automatisée n'est légalement possible à partir des données les concernant.

28. En deuxième lieu, le décret attaqué n'a pas pour objet, et ne saurait avoir légalement pour effet, d'autoriser le traitement de données de santé qui auraient été recueillies en méconnaissance du secret médical garanti par l'article L. 1110-4 du code de la santé publique ou du secret des correspondances entre les avocats et leurs clients. Dès lors, le moyen tiré de ce que le décret attaqué violerait ces secrets du seul fait qu'il n'exclut pas du champ des tiers pouvant être mentionnés dans le traitement les professionnels de santé et les avocats contactés par la personne suivie doit être écarté.

29. En troisième lieu, si l'une des associations requérantes fait valoir que les dispositions de l'article R. 236-12 permettent l'enregistrement de données concernant, en qualité de tiers, tous les mineurs, sans âge minimum, aucune stipulation conventionnelle, notamment pas celles des articles 3-1 et 16 de la convention relative aux droits de l'enfant, ni aucune disposition législative ou réglementaire ni aucun principe ne fait obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs. A... outre, ainsi qu'il a été dit au point 27, les mineurs autres que les personnes suivies ne font pas l'objet de fiches propres et aucune recherche automatisée n'est légalement possible à partir des données les concernant.

30. Il résulte de l'ensemble de ces éléments que les dispositions de l'article R. 236-12 du code de la sécurité intérieure autorisant la collecte de données concernant des tiers ne sont pas entachées d'illégalité.

S'agissant de la collecte de données sensibles :

31. Aux termes de l'article 6 de la loi du 6 janvier 1978 : " I.- Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ". Aux termes de l'article 88 de la même loi, applicable aux traitements relevant de la directive du 27 avril 2016 : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ".

32. L'article R. 236-13 du code de la sécurité intérieure prévoit que l'interdiction prévue au I de l'article 6 de la loi du 6 janvier 1978 s'applique au traitement PASP mais que, par dérogation, l'enregistrement de données relatives à des opinions politiques, des convictions philosophiques ou religieuse ou à une appartenance syndicale, ainsi qu'à des données de santé révélant une dangerosité particulière est autorisé.

33. En premier lieu, il résulte des dispositions précitées de l'article 88 de la loi du 6 janvier 1978 que la collecte de données sensibles est possible à des fins de préservation de la sécurité publique, et non seulement, comme le soutiennent certains requérants, de préservation de la sûreté de l'Etat.

34. En deuxième lieu, les dispositions de l'article R. 236-13 n'ont pas pour objet ou pour effet d'étendre les catégories de données susceptibles d'être enregistrées dans le traitement PASP telles qu'elles sont énumérées à l'article R. 236-12, mais seulement de permettre le traitement des données sensibles qu'elles mentionnent au sein de ces catégories.

35. En troisième lieu, contrairement à ce qui est soutenu, les dispositions du 3° de l'article R. 236-13 du code de la sécurité intérieure n'ont ni pour objet ni pour effet d'autoriser la collecte de toute donnée de santé.

36. En quatrième lieu, il résulte des dispositions combinées des articles 4 et 115 de la loi du 6 janvier 1978 que des données sensibles ne peuvent être traitées dans le traitement PASP au titre de la préservation de la sûreté de l'Etat que si elles sont nécessaires à la poursuite de cette finalité. En outre, le décret attaqué n'est pas entaché d'illégalité du seul fait qu'il ne rappelle pas que le traitement des données sensibles pour les finalités relevant de la directive du 27 avril 2016 n'est possible qu'en cas de nécessité absolue.

37. En cinquième et dernier lieu, il résulte du dernier alinéa de l'article R. 236-13 qu'aucune recherche automatisée n'est possible à partir des données sensibles. Eu égard, en outre, à l'ensemble des garanties fixées par les articles R. 236-14 à R. 236-20 du code de la sécurité intérieure dans leur rédaction résultant du décret attaqué, tenant notamment à la durée de conservation de ces données, aux conditions dans lesquels les agents mentionnés à l'article R. 236-16 peuvent y accéder ou en être rendus destinataires, à la traçabilité des opérations effectuées dans le traitement et aux droits des personnes concernées définis à l'article R. 236-19, ainsi qu'à l'obligation faite par l'article R. 236-20 au directeur général de la police nationale de présenter chaque année à la CNIL un rapport sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement et indiquant les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, notamment pour ce qui concerne les données sensibles, les requérants ne sont pas fondés à soutenir que le traitement litigieux ne serait pas assorti des garanties appropriées exigées par l'article 88 de la loi du 6 janvier 1978.

38. Il résulte de ce qui précède que le décret attaqué ne méconnaît ni les dispositions de cet article 88, ni le droit au respect de la vie privée, en tant qu'il prévoit la collecte de certaines données sensibles.

S'agissant des activités au sein des personnes morales ou groupements :

39. En premier lieu, le terme " groupement ", entendu comme tout groupe organisé de personnes, est suffisamment précis.

40. En deuxième lieu, si le décret ne précise pas la nature des activités au sein des personnes morales ou groupements qui peuvent être enregistrées dans le traitement, il résulte des termes mêmes du 5° de l'article R. 236-12 du code de la sécurité intérieure qu'il ne peut s'agir que d'activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Le moyen tiré du caractère indéfini des activités concernées doit par suite écarté.

41. En troisième lieu, si, en tant qu'il permet de traiter des informations concernant des personnes morales, l'article R. 236-11 du code de la sécurité intérieure tel que modifié par le décret attaqué permet l'enregistrement de données concernant les collectivités territoriales, une telle possibilité n'est pas, en elle-même, de nature à porter atteinte au principe constitutionnel de libre administration des collectivités territoriales.

42. En dernier lieu, il résulte des dispositions des articles 6 et 88 de la loi du 6 janvier 1978 que le législateur a entendu permettre, dans certaines conditions, la collecte de données sensibles concernant toute personne physique, sans prévoir de dérogation pour les élus locaux. La question prioritaire de constitutionnalité soulevée par les organisations requérantes à l'encontre de ces dispositions n'a pas été renvoyée au Conseil constitutionnel. Par suite, le moyen tiré de ce que le pouvoir réglementaire aurait, en permettant la collecte de données relatives aux opinions et aux activités politiques des élus locaux, porté atteinte au principe constitutionnel de libre exercice des mandats locaux doit, en tout état de cause, être écarté.

S'agissant des activités sur les réseaux sociaux :

43. En premier lieu, il résulte des termes mêmes du 5° de l'article R. 236-12 du code de la sécurité intérieure que les données relatives aux " activités sur les réseaux sociaux " mentionnées au d) de ce 5° ne peuvent être enregistrées dans le traitement que si ces activités sont susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'Etat. Au sens et pour l'application de ces dispositions, les termes " réseaux sociaux " désignent les plateformes en ligne permettant aux personnes qu'elles mettent en relation de communiquer entre elles, de mettre à la disposition des autres utilisateurs des contenus tels que des textes, des images et des vidéos et d'accéder à ceux-ci. Le moyen tiré de ce que les données susceptibles d'être collectées à ce titre ne seraient pas définies de façon suffisamment claire et précise doit par suite être écarté.

44. En deuxième lieu, le décret attaqué n'a ni pour objet, ni pour effet d'autoriser la collecte automatisée sur les réseaux sociaux de données susceptibles de révéler une menace pour l'ordre public, qui constituerait un traitement distinct.

45. En troisième lieu, l'article R. 236-12 du code de la sécurité intérieure modifié par le décret attaqué exclut expressément la collecte des mots de passe utilisés sur les services en ligne. Le moyen tiré de ce que le décret permettrait un piratage des comptes des personnes enregistrées ne peut qu'être écarté.

46. En dernier lieu, à défaut de disposition expresse en ce sens, le décret attaqué ne peut être regardé, contrairement à ce que soutiennent la Confédération générale du travail et autres, comme autorisant la collecte de données relatives aux tiers contactés sur les réseaux sociaux. Par suite, le moyen tiré du défaut d'encadrement des conditions d'enregistrement de telles données est inopérant.

S'agissant des antécédents judiciaires :

47. Aux termes du deuxième alinéa de l'article 777-3 du code de procédure pénale : " Aucun fichier ou traitement à données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnation ". En autorisant la collecte de données relatives aux " agissements susceptibles de recevoir une qualification pénale ", aux " antécédents judiciaires (nature des faits et date) ", aux " suites judiciaires " et aux " mesures administratives ou judiciaires restrictives de droits, décidées ou proposées ", l'article R. 236-12 du code de la sécurité intérieure modifié par le décret attaqué n'a pas pour objet, et ne saurait avoir légalement pour effet, d'autoriser la mention, dans le traitement PASP qui ne dépend pas du ministère de la justice, de références de jugements ou arrêts de condamnation. Par suite, le moyen tiré de la méconnaissance des dispositions précitées de l'article 777-3 du code de procédure pénale doit être écarté.

S'agissant des données de santé :

48. En premier lieu, ainsi qu'il a été dit ci-dessus, le décret attaqué n'a pas pour objet, et ne saurait avoir légalement pour effet, d'autoriser le traitement de données de santé qui auraient été recueillies en méconnaissance du secret médical garanti par l'article L. 1110-4 du code de la santé publique.

49. En deuxième lieu, la collecte des données de santé n'est permise que dans la mesure où celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement et, s'agissant des finalités relevant de la directive 2016/680 du 27 avril 2016, uniquement en cas de nécessité absolue. Les termes " troubles psychologiques ou psychiatriques ", " comportements auto-agressifs " et " addictions " sont par ailleurs suffisamment précis. Dans ces conditions, le moyen tiré de ce que le décret attaqué autoriserait un traitement excessif et illicite des données de santé doit être écarté.

S'agissant des autres catégories de données contestées :

50. Eu égard aux finalités du traitement, les données relatives aux " comportements et habitudes de vie ", " déplacements ", pratiques sportives " et " facteurs familiaux, sociaux et économiques " ne peuvent être collectées que dans la mesure où elles sont de nature à caractériser la dangerosité de la personne concernée. Ces termes sont par ailleurs suffisamment précis. Dans ces conditions, le moyen tiré du caractère indéterminé des données susceptibles d'être collectées à ces différents titres doit être écarté.

51. Il résulte de ce qui précède que les moyens tirés de ce que la collecte des données autorisée par le décret attaqué méconnaîtrait les dispositions de la loi du 6 janvier 1978, porterait une atteinte disproportionnée au droit au respect de la vie privée garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 2 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 et les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, au droit à la liberté de pensée, de conscience et de religion garanti par l'article 9 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et aux libertés de réunion, d'association et syndicale garanties par l'article 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 2 de la Déclaration du 26 août 1789 et le sixième alinéa du Préambule de la Constitution de 1946, doivent être écartés.

En ce qui concerne la durée de conservation des données :

52. L'article R. 236-14 du code de la sécurité intérieure prévoit que les données enregistrées dans PASP ne peuvent être conservées plus de dix ans à compter de l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat ayant donné lieu à un enregistrement. L'article R. 236-15 du même code réduit cette durée à trois ans pour les mineurs.

53. I... part, la circonstance que le 8° de l'article R. 236-12 du code de la sécurité intérieure, tel que modifié par le décret attaqué, prévoit l'indication de l'enregistrement ou non de la personne concernée dans plusieurs autres traitements, dont certains ont une durée de conservation des données plus longue, n'a pas pour effet de modifier la durée de conservation des données enregistrées dans le traitement PASP ;

54. D'autre part, les durées fixées par ces dispositions, lesquelles sont des durées maximales qui ne soustraient pas le responsable de traitement à l'obligation de procéder à l'effacement avant cette échéance de celles des données qui ne s'avèreraient plus nécessaires au regard des finalités de ce traitement, n'excèdent pas ce qui est nécessaire au regard de ces finalités.

En ce qui concerne l'accès aux données et leur communication aux destinataires :

55. En premier lieu, la définition des catégories de personnes autorisées à accéder aux données du traitement PASP ou à en être destinataires est suffisamment précise et justifiée au regard de leurs attributions. Il en va ainsi, notamment, des personnes ayant autorité sur les services ou unités ayant un accès direct à ces données et des procureurs de la République, auxquels l'article 6 du décret attaqué a étendu le droit de communication.

56. En deuxième lieu, les personnes mentionnées à l'article R. 236-16 ne sont autorisées à accéder à ou à obtenir communication des données du traitement PASP que " dans la limite du besoin d'en connaître ". Cette notion, d'ailleurs usuelle dans les actes créant des traitements de données à caractère personnel, exige que les données en cause soient nécessaires à l'exercice des attributions dévolues à l'auteur de la demande. Contrairement à ce qui est soutenu, elle n'est entachée d'aucune imprécision.

57. En troisième lieu, si le III de l'article R. 236-16 du code de la sécurité intérieure prévoit, comme il le faisait déjà avant l'intervention du décret contesté, que les agents de la police nationale ou les militaires de la gendarmerie nationale peuvent, alors même qu'ils n'exercent pas de missions de renseignement, être destinataires de données enregistrées dans le traitement, c'est à la condition, I... part, que la communication des données s'effectue sous réserve et dans la limite du besoin d'en connaître et, d'autre part, que chaque demande, qui doit préciser l'identité du demandeur, l'objet et les motifs de la consultation, soit agréée par le responsable de service concerné, lequel doit être au nombre des personnes bénéficiant d'un accès direct au traitement en vertu du 1°, du 2° ou du 3° du I du même article.

58. En quatrième lieu, en vertu de l'article R. 236-17 du même code, toute transmission de donnée à un tiers donne lieu à un enregistrement, conservé trois ans, comprenant l'identifiant de l'auteur, la date, l'heure et le motif de l'opération, ainsi que l'identité du destinataire. Un tel enregistrement permet de contrôler que le traitement ne donne pas lieu à des transmissions abusives. En outre, aucune disposition n'exige que l'acte créant un tel traitement précise les modalités de transmission des données aux destinataires.

59. En cinquième et dernier lieu, si le 8° du I de l'article R. 236-12 du code de la sécurité intérieure, tel que modifié par le décret attaqué, prévoit l'indication dans le traitement PASP de l'enregistrement ou non de la personne concernée dans six autres fichiers, il ne permet aucune mise en relation automatisée avec ces derniers. Par suite, ces dispositions ne procèdent pas à une extension du champ des personnes ayant accès aux données contenues dans le traitement PASP en l'ouvrant aux utilisateurs de ces autres traitements.

60. Il résulte de ce qui précède que les moyens tirés de ce que le décret attaqué définirait illégalement le champ des personnes autorisées à accéder ou à se voir communiquer les données du traitement PASP et les modalités de ces opérations ne peuvent qu'être écartés.

En ce qui concerne les mises en relation avec d'autres traitements :

61. Aux termes de l'article 92 de la loi du 6 janvier 1978 applicable aux traitements relevant de la directive 2016/680 du 27 avril 2016 : " Les traitements effectués pour l'une des finalités énoncées au premier alinéa de l'article 87 autre que celles pour lesquelles les données ont été collectées sont autorisés s'ils sont nécessaires et proportionnés à cette finalité, sous réserve du respect des dispositions prévues au chapitre Ier du titre Ier et au présent titre ". Aux termes de l'article 101 de cette même loi également applicable à ces traitements : " Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données. / Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci. / Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ".

62. En premier lieu, contrairement à ce que soutient l'association La Quadrature du Net, l'article R. 236-17 du code de la sécurité intérieure relatif au journal des opérations effectuées dans le traitement n'a ni pour objet ni pour effet d'autoriser le rapprochement du traitement PASP avec d'autres traitements.

63. En deuxième lieu, ainsi qu'il a été dit au point 59, si le 8° de l'article R. 236-12 du code de la sécurité intérieure prévoit l'indication dans le traitement PASP de l'enregistrement ou non de la personne concernée dans six autres fichiers, il ne prévoit aucune mise en relation automatisée avec ces fichiers. Par suite, le moyen tiré de ce que le décret attaqué prévoirait des interconnexions non recensées dans le journal des opérations, en méconnaissance de l'article 101 de la loi du 6 janvier 1978, ne peut qu'être écarté.

64. En dernier lieu, aucune disposition du décret attaqué ne prévoit l'accès au traitement des titres électroniques sécurisés par l'intermédiaire du traitement PASP. Il suit de là que le moyen tiré de ce qu'une telle interconnexion méconnaît l'article 92 de la loi du 6 janvier 1978 ne peut qu'être écarté.

En ce qui concerne l'insuffisante sécurisation des données collectées :

65. L'article 121 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui imposent au responsable d'un traitement de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, sont sans incidence sur la légalité de cet acte. Par suite, le moyen tiré de l'insuffisante sécurisation des données et informations collectées dans le traitement PASP ne peut qu'être écarté.

66. Il résulte de tout ce qui précède qu'il y a lieu, I... part, d'annuler le 2° de l'article 3 du décret attaqué, et, d'autre part, de rejeter le surplus des conclusions des requêtes dirigées contre ce décret.

Sur les conclusions à fin d'injonction :

67. L'annulation du 2° de l'article 3 du décret attaqué prononcée par la présente décision implique en principe la suppression de l'ensemble des données recueillies dans le traitement PASP à compter de l'entrée en vigueur du décret qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, sans procéder d'activités politiques, philosophiques, religieuses ou syndicales au sens du 2° de l'article R. 236-13 dans sa rédaction antérieure.

68. Toutefois, eu égard au motif de l'annulation prononcée, alors que les autres moyens dirigés contre les mêmes dispositions ont été écartés pour les motifs exposés aux points 31 à 38, et compte tenu de l'intérêt public qui s'attache à la conservation de ces données pour le bon fonctionnement des services chargés de la prévention des atteintes à la sécurité publique et à la sûreté de l'Etat, il y a lieu d'enjoindre au ministre de l'intérieur, responsable du traitement PASP, de procéder à leur suppression à défaut d'intervention, dans un délai de quatre mois à compter de la notification de la présente décision, d'un nouveau décret en Conseil d'Etat pris après avis motivé et publié de la CNIL autorisant leur collecte. Il n'y a pas lieu d'assortir cette injonction I... astreinte.

69. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à la charge de l'Etat, qui n'est pas la partie perdante dans les instances nos 447515 et 449468, au titre des frais exposés par la Ligue des droits de l'homme et autre et par la collectivité de Corse et autres. Il n'y a pas lieu, dans les circonstances de l'espèce, de faire droit aux conclusions présentées au titre des mêmes dispositions par la Confédération générale du travail et autres, l'association La Quadrature du Net et le Conseil national des barreaux.

D E C I D E :

--------------

Article 1er : Il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net.

Article 2 : Le 2° de l'article 3 du décret n° 2020-1511 du 2 décembre 2020 est annulé.

Article 3 : Il est enjoint au ministre de l'intérieur de supprimer l'ensemble des données recueillies dans le traitement PASP à compter de l'entrée en vigueur du décret n° 2020-1511 du 2 décembre 2020 qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, sans procéder d'activités politiques, philosophiques, religieuses ou syndicales au sens du 2° de l'article R. 236-13 dans sa rédaction antérieure à défaut d'intervention, dans un délai de quatre mois à compter de la notification de la présente décision, d'un nouveau décret en Conseil d'Etat pris après avis motivé et publié de la CNIL autorisant leur collecte.

Article 4 : Le surplus des conclusions des requêtes est rejeté.

Article 5 : La présente décision sera notifiée à la Ligue des droits de l'homme, première dénommée, pour tous les requérants de l'instance n° 447515, à la Confédération générale du travail, première dénommée, pour tous les requérants de l'instance n° 447969, à l'association La Quadrature du Net, au Conseil national des barreaux, à la collectivité de Corse, première dénommée, pour tous les requérants de l'instance n° 449068, au Premier ministre et au ministre de l'intérieur.

Délibéré à l'issue de la séance du 3 décembre 2021 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux présidant ; M. BG... AS..., M. Frédéric Aladjidi, présidents de chambre ; Mme BW... U..., M. CA... Z..., Mme C... CE..., M.Thomas Andrieu, M. Alain Seban, conseillers d'Etat ; M. David Moreau, maître des requêtes-rapporteur.

Rendu le 24 décembre 2021.

Le Président :

Signé : M. Rémy Schwartz

Le rapporteur :

Signé : M. David Moreau

La secrétaire :

Signé : Mme BK... DG...