Vu la procédure suivante :
Par une requête et un mémoire en réplique, enregistrés les 24 octobre 2021 et 27 septembre 2022 au secrétariat du contentieux du Conseil d'Etat, M. A... C... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 1er octobre 2021 par laquelle la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a clôturé sa plainte relative à la nature des données à caractère personnel rendues accessibles par la lecture du code présent sur son certificat de vaccination remis après injection du vaccin contre la COVID-19 ;
2°) d'enjoindre à la CNIL de réexaminer sa plainte ;
3°) de mettre à la charge de la CNIL la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2021-689 du 31 mai 2021 ;
- le décret n° 2021-699 du 1er juin 2021 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes ;
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Vu la note en délibéré, enregistrée le 30 septembre 2022, présentée par M. C... ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que M. C... a saisi la Commission nationale de l'informatique et des libertés (CNIL), le 20 mai 2021, d'une plainte relative à la nature des données à caractère personnel rendues accessibles par la lecture du " code-barre " bidimensionnel présent sur son certificat de vaccination remis après injection du vaccin contre la Covid-19. Par un courrier en date du 1er septembre 2021, la présidente de la CNIL l'a informé de sa décision de procéder à la clôture de sa plainte. M. C... demande l'annulation pour excès de pouvoir de cette décision et qu'il soit enjoint à la CNIL de réexaminer sa plainte.
2. Le paragraphe 49 du préambule du règlement (UE) du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats Covid-19 interopérables de vaccination, de test et de rétablissement (certificat Covid numérique de l'UE) afin de faciliter la libre circulation pendant la pandémie de Covid-19 énonce que " Lorsqu'un État membre a adopté ou adopte, sur la base de son droit national, un système de certificats COVID-19 à des fins nationales, il devrait veiller, pour la durée d'application du présent règlement, à ce que les certificats constituant le certificat COVID numérique de l'UE puissent également être utilisés et soient également acceptés à des fins nationales, afin d'éviter que les personnes se rendant dans un autre État membre et utilisant le certificat COVID numérique de l'UE ne soient tenues d'obtenir un certificat COVID-19 national supplémentaire ". Son point 50 ajoute que : " Conformément au principe de minimisation des données, les certificats COVID-19 ne devraient contenir que les données à caractère personnel strictement nécessaires pour faciliter l'exercice du droit à la libre circulation au sein de l'Union pendant la pandémie de COVID-19. Le présent règlement devrait définir les catégories spécifiques de données à caractère personnel et les champs de données à inclure dans les certificats COVID-19 ". Les articles 5, 6 et 7 de ce règlement définissent respectivement pour les certificats de vaccination, de test et de rétablissement, les catégories de données à caractère personnel que ces certificats comportent, parmi lesquelles figurent notamment l'identité du titulaire, à savoir ses nom, prénom et date de naissance, ainsi que, pour les certificats de vaccination, les informations sur le vaccin contre la Covid-19 administré et le nombre de doses administrées, ainsi que les métadonnées du certificat, telles que l'émetteur du certificat ou un identifiant unique du certificat.
3. En vertu du A du II de l'article 1er de la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, dans sa version applicable à la date de la décision attaquée, le Premier ministre pouvait, à compter du 2 juin 2021 et jusqu'au 15 novembre 2021, imposer la présentation du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la Covid-19, un justificatif de statut vaccinal concernant la Covid-19 ou un certificat de rétablissement à la suite d'une contamination par la Covid-19, d'une part, aux personnes souhaitant se déplacer à destination ou en provenance du territoire hexagonal, de la Corse ou de l'une des collectivités mentionnées à l'article 72-3 de la Constitution et, d'autre part, aux personnes souhaitant accéder à certains lieux, établissements ou événements, notamment pour des activités de loisirs, de restauration, des foires ou salons professionnels, pour la fréquentation des services et établissements de santé, sociaux et médico-sociaux, ainsi que pour les déplacements de longue distance par transports publics interrégionaux. Conformément aux deuxième et troisième alinéas du B du II du même article, la présentation de ces documents, qui pouvait se faire sous format papier ou numérique, était réalisée, d'une part, pour les déplacements à destination ou en provenance du territoire national, " sous une forme permettant seulement aux personnes ou aux services autorisés à en assurer le contrôle de connaître les données strictement nécessaires à l'exercice de leur contrôle ", et d'autre part, pour l'accès à certains lieux, établissements ou événements, " sous une forme ne permettant pas aux personnes ou aux services autorisés à en assurer le contrôle d'en connaître la nature " et ne s'accompagnait, dans ce cas, d'une présentation de documents officiels d'identité que lorsque ceux-ci étaient exigés par des agents des forces de l'ordre.
4. Pris en application de cette loi, le décret du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, dans sa version applicable à la date de la décision attaquée, prévoit notamment les règles communes relatives à l'établissement et au contrôle du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la Covid-19, du justificatif de statut vaccinal concernant la Covid-19 et du certificat de rétablissement à la suite d'une contamination par la Covid 19. Son article 2-3 dispose que tout justificatif répondant aux conditions prévues par ce même article " (...) comporte les noms, prénoms, date de naissance de la personne concernée et un code permettant sa vérification dans les conditions prévues au II. / Ces justificatifs peuvent être librement enregistrés par la personne concernée sur l'application mobile " TousAntiCovid ", comportant à cet effet la fonctionnalité " TAC Carnet ", mentionnée à l'article 1er du décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé " TousAntiCovid ", aux fins d'être conservées localement sur son téléphone mobile. / La personne concernée peut supprimer à tout moment les justificatifs enregistrés sur l'application mobile. / (...). III.- La lecture des justificatifs par les personnes mentionnées au II peut être réalisée au moyen d'une application mobile dénommée " TousAntiCovid Vérif ", mise en œuvre par le ministre chargé de la santé (direction générale de la santé), ou de tout autre dispositif de lecture répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique (...). / Pour le contrôle des justificatifs requis en application du 1° du A du II de l'article 1er de la loi du 31 mai 2021 susvisée, les personnes et services habilités peuvent lire les noms, prénoms et date de naissance de la personne concernée par le justificatif, ainsi que les informations relatives à l'examen de dépistage ou au vaccin réalisé (date de réalisation, état dans lequel l'acte a été réalisé, type d'examen ou de vaccin, fabricant de l'examen ou du vaccin, rang d'injection du vaccin ou résultat de l'examen, organisme qui a délivré le certificat, centre de test et identifiant unique du certificat). / Pour le contrôle des justificatifs requis en application du 2° du A du II de l'article 1er de la loi du 31 mai 2021 susvisée, les personnes et services habilités peuvent lire les noms, prénoms et date de naissance de la personne concernée par le justificatif, ainsi qu'un résultat positif ou négatif de détention d'un justificatif conforme, établi conformément aux dispositions de l'article 2-2. / Sur l'application " TousAntiCovid Vérif ", les données ne sont traitées qu'une seule fois, lors de la lecture du justificatif, et ne sont pas conservées. Sur les autres dispositifs de lecture mentionnés au premier alinéa du présent III, les données ne sont traitées que pour la durée d'un seul et même contrôle d'un déplacement ou d'un accès à un lieu, établissement ou service et seules les données mentionnées à l'alinéa précédent peuvent être conservées temporairement pour la durée du contrôle. Les données ne peuvent être conservées et réutilisées à d'autres fins ".
5. Aux termes de l'article 5 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD) : " 1. Les données à caractère personnel doivent être : / (...) c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) (...). " Aux termes de l'article 9 du même règlement : " 1. Le traitement des données (...) concernant la santé (...) d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie : / (...) g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ; / (...) i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique (...) sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel (...) ". Ces dispositions sont reprises en droit interne respectivement au 3° de l'article 4 et aux I et II de l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
6. En premier lieu, d'une part, il ressort des pièces du dossier que le traitement des données d'identité civile telles que le nom, le prénom et la date de naissance, que contient le " code-barre " bidimensionnel présent dans le document dénommé " passe sanitaire ", institué par le décret du 1er juin 2021, cité au point 4, aux fins de vérification d'un certificat de vaccination, de test ou de rétablissement, est justifié par un motif d'intérêt public lié à la préservation de la santé de la population et que la vérification de ces données est nécessaire pour s'assurer que le document présenté est celui de la personne qui s'en prévaut. D'autre part, il résulte des dispositions citées au point 4 que ces données d'identité ne peuvent faire l'objet d'aucune conservation, ni d'aucune réutilisation à d'autres fins que celles du contrôle, qui est réalisé par des personnes ou services limitativement énumérés et pour les seuls besoins de ce contrôle. En estimant, par suite, que ces données, rendues accessibles par la lecture du " code-barre " bidimensionnel présent sur le certificat de vaccination remis au requérant, étaient pertinentes au regard des finalités poursuivies et que leur traitement était conforme au principe de minimisation des données, la CNIL n'a entaché sa décision ni d'erreur manifeste d'appréciation, ni de méconnaissance du principe de minimisation des données résultant des dispositions précitées du RGPD et de la loi du 6 janvier 1978 ainsi que de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Elle n'a pas davantage commis d'erreur de droit en se référant aux dispositions du règlement du Parlement européen et du Conseil du 14 juin 2021 cité au point 2, lesquelles, si elles n'étaient applicables qu'aux déplacements entre les Etats membres de l'Union européenne, préconisaient aux Etats membres souhaitant instituer le même certificat au sein de leur territoire d'y faire figurer les mêmes informations dans un souci de simplification administrative.
7. En second lieu, d'une part, il résulte de l'économie générale du dispositif de certification prévu par la loi du 31 mai 2021, dit " passe sanitaire ", que celui-ci a pour unique finalité de lutter contre l'épidémie de Covid-19 dans l'intérêt de la santé publique. Il résulte également des dispositions citées au point 4 que seules les personnes et services habilités à contrôler les justificatifs requis à l'occasion du franchissement d'une frontière nationale ont accès aux données de santé traitées dans le cadre de ce dispositif, et que si ces données peuvent faire l'objet d'un stockage local librement mis en œuvre par la personne concernée, elles ne font l'objet d'aucune conservation par les services et personnes habilités, qui n'y ont accès que dans le strict cadre de l'exercice du contrôle. Ainsi, le dispositif de certification en cause est rendu nécessaire pour des motifs d'intérêt public relevant de la santé publique et il prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée conformément aux dispositions de l'article 9 du RGPD, reprises par l'article 6 de la loi du 6 janvier 1978. Il s'ensuit qu'en estimant que les données de santé que comporte le " passe sanitaire " remis au requérant sont pertinentes au regard des finalités poursuivies et que le traitement mis en œuvre est conforme au principe de minimisation de la collecte des données, la CNIL n'a ni commis d'erreur manifeste d'appréciation, ni méconnu le principe de minimisation des données résultant des dispositions précitées du RGPD et de la loi du 6 janvier 1978 ainsi que de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
8. Il résulte de tout ce qui précède que M. C... n'est pas fondé à demander l'annulation pour excès de pouvoir de la décision qu'il attaque. Ses conclusions à fin d'injonction ainsi que celles présentées au titre de l'article L. 761-1 du code justice administrative ne peuvent, par suite, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de M. C... est rejetée.
Article 2 : La présente décision sera notifiée à M. A... C... et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 30 septembre 2022 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Frédéric Aladjidi président de chambre, Mme Nathalie Escaut, M. Alexandre Lallet, M. Nicolas Polge, Mme Rozen Noguellou conseillers d'Etat, et Mme Christelle Thomas, maître des requêtes-rapporteure.
Rendu le 21 octobre 2022.
Le président :
Signé : M. Bertrand Dacosta
La rapporteure :
Signé : Mme Christelle Thomas
La secrétaire :
Signé : Mme Claudine Ramalahanoharana
