Vu la procédure suivante :
Par une requête, enregistrée le 27 juin 2022 au secrétariat du contentieux du Conseil d'Etat, l'association DataRing demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2022-676 du 26 avril 2022 autorisant la création d'un moyen d'identification électronique dénommé " Service de garantie de l'identité numérique " (SGIN) et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé " Authentification en ligne certifiée sur mobile " ;
2°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code des relations entre le public et l'administration ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de M. Laurent Domingo, rapporteur public ;
Considérant ce qui suit :
1. Le décret du 26 avril 2022 dont l'association DataRing demande l'annulation pour excès de pouvoir autorise la création d'un traitement automatisé de données à caractère personnel dénommé " Service de garantie de l'identité numérique " (dit SGIN), dont les responsables de traitement conjoints sont le ministre de l'intérieur et l'Agence nationale des titres sécurisés. En vertu de l'article 1er de ce décret, ce traitement a pour finalité de mettre à disposition des titulaires d'une carte nationale d'identité comportant un composant électronique un moyen d'identification électronique leur permettant de s'identifier et de s'authentifier auprès d'organismes publics ou privés grâce à une application qu'ils installent sur leur équipement terminal de communications électroniques permettant la lecture sans contact de ce composant.
Sur la légalité externe du décret attaqué :
2. En premier lieu, l'article 22 de la Constitution dispose que : " Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution ". S'agissant d'un acte réglementaire, les ministres chargés de son exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de cet acte.
3. Si l'association requérante soutient que le décret attaqué aurait dû être contresigné par le ministre de l'économie au motif que les dispositions du 3° de son article 2 prévoient le traitement et l'enregistrement de données relatives à l'historique des transactions réalisées par l'usager du SGIN, les transactions visées par ces dispositions ne correspondent pas à des transactions de nature économique ou financière, mais aux opérations réalisées par l'utilisateur du moyen d'identification électronique qui lui est délivré dans le cadre du traitement autorisé par le décret. Le décret attaqué n'appelait dès lors aucune mesure réglementaire ou individuelle d'exécution de la part du ministre chargé de l'économie, qui n'avait ainsi pas à le contresigner contrairement à ce qui est soutenu.
4. En second lieu, la légalité de l'acte réglementaire qui institue un traitement de données à caractère personnel régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit RGPD) n'est pas subordonnée à la réalisation préalable de l'analyse d'impact relative à la protection des données prévue par le paragraphe 1 de l'article 35 de ce règlement et à sa transmission à la Commission nationale de l'informatique et des libertés (CNIL). Par suite, l'association requérante ne peut utilement soutenir que le décret qu'elle attaque serait irrégulier faute d'avoir été précédé de cette analyse d'impact, laquelle a, au demeurant, été élaborée et transmise à la CNIL à l'appui de la demande d'avis dont elle a été saisie.
Sur la légalité interne du décret attaqué :
5. En premier lieu, ainsi qu'il a été dit au point 3, les " données relatives à l'historique des transactions réalisées par l'usager " mentionnées au 3° de l'article 2 du décret litigieux sont étrangères aux transactions financières que ce dernier peut être amené à réaliser en ligne, le cas échéant après s'être authentifié grâce au moyen d'identification électronique prévu par le décret attaqué, mais visent les opérations d'utilisation de ce moyen. Le traitement de ces données, dont le décret prévoit, conformément d'ailleurs à l'avis de la CNIL, qu'elles sont limitées à un nombre maximal de transactions fixé par les responsables de traitement, permet à l'utilisateur de conserver la trace de ces opérations et, le cas échéant, de vérifier qu'aucune d'elles n'a été réalisée à son insu. Dans ces conditions, l'association requérante n'est pas fondée à soutenir que le 3° de l'article 2 du décret attaqué méconnaît les principes de limitation des finalités du traitement et de minimisation des données, prévus par l'article 5 du RGPD, et constituerait une ingérence disproportionnée dans les droits des personnes concernées.
6. En deuxième lieu, l'identifiant de l'équipement terminal de communications électroniques prévu au 4° de l'article 2 du décret attaqué permet de s'assurer que l'équipement utilisé pour s'authentifier sur un service en ligne est le même que celui pour lequel a été délivré le moyen d'identification électronique. Il concourt ainsi à la sécurisation des transactions réalisées par l'usager. Le traitement de cette donnée est ainsi justifié et ne méconnaît pas les principes de limitation des finalités et de minimisation des données. En outre, si l'association requérante soutient que cette donnée permet d'identifier la marque et le modèle de l'équipement utilisé et, ainsi, d'effectuer un profilage des utilisateurs en fonction de sa valeur, le décret n'a ni pour objet, ni pour effet d'autoriser un tel profilage. Ces moyens doivent donc être écartés.
7. En troisième lieu, il résulte des dispositions du I de l'article 3 et de l'article 5 du décret attaqué que les agents des services des responsables de traitement chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre du traitement, individuellement désignés et spécialement habilités par leur directeur, peuvent, à la demande de l'usager ou, après l'en avoir informé, en cas de litige, accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, à l'identifiant de l'auteur, à la date, à l'heure et à l'objet de chaque opération de création, de consultation, d'utilisation, de révocation et de suppression du moyen d'identification électronique. Contrairement à ce que soutient l'association requérante, ces dispositions n'ont pas pour objet, et ne pourraient avoir légalement pour effet, d'autoriser ces agents à transmettre à un tiers, notamment à des personnes en litige avec un usager, les informations relatives à une opération d'utilisation du moyen d'identification électronique qu'il a réalisée, une telle transmission n'étant possible que sur le fondement d'une disposition dérogeant à l'article L. 311-6 du code des relations entre le public et l'administration qui fait obstacle à la communication aux tiers des documents administratifs mettant en cause la protection de la vie privée des personnes. Ce droit d'accès aux données de journalisation en vue de poursuivre les finalités mentionnées à l'article 1er du décret attaqué, ouvert aux agents précédemment mentionnés et encadré dans les conditions qui viennent d'être rappelées, ne méconnaît donc pas les principes de loyauté et de limitation des finalités du traitement de ces données, prévus par les a) et b) du paragraphe 1 de l'article 5 du RGPD.
8. En dernier lieu, il résulte des dispositions du j) du 1° de l'article 2 du décret attaqué que la photographie extraite du composant électronique de la carte nationale d'identité de l'usager peut être traitée et enregistrée dans le traitement SGIN. En outre, cette photographie peut être adressée aux destinataires visés par les dispositions du II de l'article 3 de ce décret lorsque l'usager s'identifie et s'authentifie électroniquement pour accéder à des services en ligne. Cependant, en l'absence de disposition expresse en ce sens, le décret attaqué n'autorise pas les responsables de traitement à mettre en œuvre un traitement permettant d'identifier la personne physique à partir de sa photographie. Ainsi, contrairement à ce qui est soutenu, le décret en litige ne prévoit pas le traitement de données biométriques. L'association requérante ne peut donc utilement soutenir que ce décret méconnaîtrait l'article 9 du RGPD qui régit la licéité des traitements de données biométriques.
9. Il résulte de tout ce qui précède que la requête de l'association DataRing doit être rejetée, y compris les conclusions qu'elle a présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de l'association DataRing est rejetée.
Article 2 : La présente décision sera notifiée à l'association DataRing et au ministre de l'intérieur et des outre-mer.
Copie en sera adressée à la Première ministre et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 8 juin 2023 où siégeaient : Mme Nathalie Escaut, conseillère d'Etat, présidant ; M. Alexandre Lallet, conseiller d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 26 juin 2023.
La présidente :
Signé : Mme Nathalie Escaut
La rapporteure :
Signé : Mme Myriam Benlolo Carabot
La secrétaire :
Signé : Mme Sylvie Leporcq