Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 5 janvier et 5 avril 2023 au secrétariat du contentieux du Conseil d'Etat, la Ligue des droits de l'homme demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2022-1405 du 4 novembre 2022 portant autorisation d'un traitement de données à caractère personnel assurant le suivi des missions de coordination du centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris ;
2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Bratos, maître des requêtes,
- les conclusions de M. Laurent Domingo, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de la Ligue des droits de l'homme ;
Considérant ce qui suit :
1. La Ligue des droits de l'homme demande l'annulation pour excès de pouvoir du décret du 4 novembre 2022 portant autorisation d'un traitement de données à caractère personnel assurant le suivi des missions de coordination du centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris, dénommé " système d'information - centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris " (" SI CCOS "). Ce traitement a vocation à être utilisé au sein du centre de coordination opérationnelle de sécurité (" CCOS "), afin de coordonner les interventions des forces de sécurité intérieure avec les acteurs de la sécurité des réseaux de transport en commun en Ile-de-France, mission auparavant exercée au sein de la salle d'information et de commandement dite " TN Réseaux " que le CCOS remplace.
Sur la légalité externe du décret attaqué :
2. Il ressort des pièces produites dans le cadre de l'instruction par le ministre de l'intérieur, notamment de la copie de la minute de la section de l'intérieur du Conseil d'Etat, que le décret publié, qui autorise un traitement de données à caractère personnel, ne contient pas de disposition qui différerait soit du projet initial du Gouvernement, soit du texte adopté par la section de l'intérieur du Conseil d'Etat. Par suite, le moyen tiré de la méconnaissance des règles de consultation du Conseil d'Etat doit être écarté.
Sur la légalité interne du décret attaqué :
3. La Ligue des droits de l'homme soutient que le décret attaqué porte une atteinte disproportionnée au droit au respect de la vie privée et à la protection des données personnelles, eu égard aux finalités du traitement, aux données susceptibles d'être enregistrées, à leur durée de conservation, aux catégories de personnes ayant accès et pouvant recevoir communication des données issues des traitements et aux mises en relation du traitement autorisé par le décret attaqué avec d'autres traitements.
En ce qui concerne les finalités du traitement :
4. Aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (...) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. (...) ". Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes.
5. Le traitement de données à caractère personnel autorisé par le décret attaqué a pour objectif de renforcer la coordination entre les acteurs de la sécurité intervenant dans les réseaux de transport en commun de voyageurs de la région Ile-de-France.
6. Aux termes du 1° de l'article premier du décret attaqué, le traitement créé a pour finalités " De permettre au centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris d'exercer sa mission de coordination des interventions de la police nationale et de la gendarmerie nationale relevant de sa compétence ou sollicitées par les acteurs de la sécurité de ce réseau en vue de la prévention et de la protection contre les menaces pour la sécurité publique et de la prévention et de la détection des infractions pénales ". Si la Ligue des droits de l'homme soutient que cette finalité est déjà assurée par le traitement utilisé par la salle d'information et de commandement " TN Réseaux ", le " SI CCOS " permet, contrairement à l'ancien dispositif, qu'il a vocation à remplacer, un partage en temps réel d'informations entre la salle de commandement et les agents intervenant sur site.
7. Aux termes du 2° du même article du décret attaqué, le traitement a également pour finalités " D'améliorer la mise en œuvre des procédures judiciaires relatives à ces interventions par les agents de la police et de la gendarmerie nationales ". La Ligue des droits de l'homme n'est pas fondée à soutenir que ces finalités seraient déjà poursuivies par d'autres traitements tels que " Gendnotes " ou le traitement d'antécédents judiciaires, ces traitements poursuivant des finalités distinctes. Par suite, le moyen tiré de ce que les finalités poursuivies par le traitement ne seraient ni nécessaires ni adaptées à l'objectif poursuivi ne peut qu'être écarté.
En ce qui concerne les données susceptibles d'être enregistrées :
8. Aux termes de l'article 4 de la loi du 6 janvier 1978 précitée : " Les données à caractère personnel doivent être : (...) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (...) ". Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard des finalités du traitement. Aux termes de l'article 6 de la loi du 6 janvier 1978 : " I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. (...) / IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et soit autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26, soit déclarés dans les conditions prévues au V de l'article 22 ". L'article 88 de cette même loi, applicable au traitement litigieux en tant qu'il concerne la prévention et la détection des infractions pénales, les enquêtes et les poursuites ainsi que l'exécution des sanctions pénales, précise que : " Le traitement de données mentionnées au I de l'article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s'il est autorisé par une disposition législative ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une personne physique, soit s'il porte sur des données manifestement rendues publiques par la personne concernée ".
9. L'article 2 du décret attaqué autorise l'enregistrement de données à caractère personnel et d'informations relatives aux personnes mises en cause dans la commission de faits susceptibles de porter atteinte à la sécurité publique ou de constituer des infractions pénales dans le réseau de transport collectif de voyageurs relevant de la zone de défense et de sécurité de Paris, aux personnes victimes ou témoins de ces mêmes faits, aux personnalités empruntant le réseau de transport francilien dont le déplacement nécessite des opérations de coordination et aux agents de la police nationale en charge des intervention ou exerçant leurs fonctions au sein du centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris (CCOS). Le décret autorise également à son article 3 la collecte et le traitement de données sensibles relevant du I de l'article 6 de la loi du 6 janvier 1978, à l'exclusion des données relatives aux agents de la police nationale.
10. En premier lieu, aux termes mêmes de l'article 2 du décret attaqué, l'enregistrement des données personnelles dans le traitement " SI CCOS " n'est autorisé, conformément aux exigences de l'article 87 de la loi du 6 janvier 1978, que dans la stricte mesure où ces données sont nécessaires, adéquates et proportionnées au regard des finalités poursuivies rappelées aux points 6 et 7. Les données collectées et traitées, qui servent à identifier précisément les personnes mises en cause dans la commission, dans le réseau de transport collectif de voyageurs, de faits susceptibles de porter atteinte à la sécurité publique ou de constituer des infractions pénales, ainsi que les circonstances de l'intervention des forces de sécurité et les faits susceptibles de donner lieu à des poursuites pénales sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont enregistrées. Si le traitement comporte des zones de champ libre dans les fiches de fait et événement, destinées à être remplies par les agents, il ressort des pièces du dossier qu'une alerte automatique apparaît à l'écran lorsque l'opérateur saisit des données dans cette zone, afin de lui rappeler qu'il ne doit pas mentionner de données à caractère personnel.
11. En deuxième lieu, en ce qui concerne les données personnelles à caractère sensible susceptibles d'être enregistrées dans le traitement, notamment, s'agissant des personnes mises en cause, dans les catégories " signes physiques particuliers et objectifs ", " comportement lors de l'interpellation " et " mode opératoire ", et, s'agissant des personnes victimes ou témoins, dans la catégorie " autres éléments issus des constatations et investigations ", il est précisé qu'elles ne peuvent être enregistrées que dans la mesure où elles sont strictement nécessaires à la poursuite des finalités du traitement. En outre, ces données sensibles excluent toute donnée génétique ou biométrique et il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données. Enfin, contrairement à ce que soutient la Ligue des droits de l'homme, les catégories de données " dangerosité " et " vulnérabilité " ne sont pas susceptibles, en elles-mêmes, de contenir des données sensibles, l'agent se contentant de renseigner, sous la forme d'indication oui/non, la case : " dangereux " ou " très dangereux ", s'agissant du mis en cause, " vulnérable " ou " très vulnérable ", s'agissant du mis en cause, de la personne victime ou du témoin, sans pouvoir apporter d'autre précision. Dans ces conditions, l'autorisation d'enregistrement de données personnelles à caractère sensible présente des garanties appropriées au sens de l'article 88 de la loi du 6 janvier 1978 et ne méconnaît pas, par elle-même, les exigences posées par cette loi au titre du droit au respect de la vie privée et du droit à la protection des données personnelles. L'association requérante ne saurait utilement se prévaloir de la méconnaissance du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), qui ne constitue pas la base légale du traitement autorisé.
12. En troisième lieu, aucune disposition, non plus qu'aucune stipulation conventionnelle invoquée, ne fait obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs, sous réserve que, conformément aux exigences générales applicables aux traitements de données personnelles, l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée réponde à des finalités légitimes et que le choix, la collecte et le traitement des données soient effectués de manière adéquate et proportionnée au regard de ces finalités.
En ce qui concerne la durée de conservation des données :
13. Aux termes de l'article 4 de la loi du 6 janvier 1978 : " Les données à caractère personnel doivent être : (...) / 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ".
14. L'article 4 du décret attaqué prévoit une durée de conservation des données d'un an à compter de la date de leur enregistrement. Lorsque les données ont été extraites et transmises pour les besoins d'une procédure judiciaire, administrative ou disciplinaire, elles sont conservées selon les règles propres à chacune de ces procédures. L'association requérante n'est pas fondée à soutenir qu'une telle durée de conservation serait disproportionnée au regard des finalités du traitement.
En ce qui concerne l'accès aux données :
15. En premier lieu, la définition des catégories de personnes autorisées à accéder aux données du traitement " SI CCOS " ou à en être destinataires est suffisamment précise et justifiée au regard de leurs attributions.
16. En second lieu, il ne ressort d'aucune exigence conventionnelle ou légale que le décret attaqué doive distinguer, parmi les catégories de personnes ayant accès aux données issues du traitement qu'il liste au I de son article 5, celles disposant d'un droit de lecture des données et informations enregistrées dans le traitement de celles disposant d'un droit de lecture et d'écriture.
En ce qui concerne les mises en relation avec d'autres traitements :
17. Le 10° du I de l'article 2 du décret attaqué prévoit la mise en relation du traitement de données à caractère personnel " SI CCOS " avec huit traitements préexistants. Peuvent être enregistrées dans le traitement, à ce titre, " l'indication de l'enregistrement ou non de la personne et des objets en sa possession lors de l'intervention " dans les traitements faisant l'objet d'une mise en relation avec le " SI CCOS ". Le 11° prévoit l'enregistrement, dans ce même traitement de destination, de " la conduite à tenir issue des consultations des traitements mentionnés au 10°".
18. En premier lieu, le décret attaqué n'a ni pour objet ni pour effet d'étendre les droits d'accès ou de communication aux données à caractère personnel figurant dans les huit traitements avec lesquels le " SI CCOS " est mis en relation au-delà des catégories d'accédants et de destinataires énumérées dans chacun des actes autorisant ces traitements.
19. En deuxième lieu, la mise en relation ainsi prévue entre le traitement autorisé par le décret attaqué et les huit traitements préexistants consiste non en un accès à l'ensemble des informations contenues dans ces huit traitements, mais en une simple interrogation de ces traitements sur l'existence, en leur sein, de l'occurrence d'une donnée déterminée, selon une relation de type " trouvé/non trouvé ". L'enregistrement, dans le traitement " SI CCOS ", de la conduite à tenir issue des consultations de ces autres traitements a pour objet d'indiquer à l'agent en charge de l'intervention s'il faut interpeller ou non la personne mise en cause et de l'orienter, le cas échéant, vers un service de police ou de gendarmerie nationales défini. Eu égard au caractère limité de la mise en relation ainsi prévue et à l'objectif qu'elle poursuit, l'association requérante n'est pas fondée à soutenir qu'elle serait excessive. Ces données sont, par suite, adéquates et proportionnées au regard des finalités du traitement.
20. Il résulte de tout ce qui précède que le moyen tiré de ce que le décret attaqué méconnaîtrait les principes de proportionnalité, de nécessité et de droit à la protection des données personnelles et qu'il porterait, dès lors, une atteinte disproportionnée au respect de la vie privée, doit être écarté.
En ce qui concerne les autres moyens de la requête :
21. Les dispositions issues des articles 94 et 95 de la loi du 6 janvier 1978 ne sauraient être utilement invoquées à l'appui du recours dirigé contre le décret attaqué. Par suite, les moyens tirés, d'une part, de ce que le décret ne distinguerait pas, en son sein, les données à caractère personnel fondées sur des faits de celles fondées sur des appréciations personnelles et, d'autre part, de ce qu'il permettrait une prise de décision relative à la personne mise en cause sur le seul fondement d'un traitement automatisé de données sont inopérants et ne peuvent, par suite, qu'être écartés.
22. Il résulte de tout ce qui précède que la requête de la Ligue des droits de l'homme doit être rejetée, y compris ses conclusions fondées sur l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la Ligue des droits de l'homme est rejetée.
Article 2 : La présente décision sera notifiée à la Ligue des droits de l'homme et au ministre de l'intérieur.
Délibéré à l'issue de la séance du 16 octobre 2024 où siégeaient : M. Jacques- Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, conseillers d'Etat ; M. Jérôme Goldenberg, conseiller d'Etat en service extraordinaire et Mme Alexandra Bratos, maître des requêtes-rapporteure.
Rendu le 8 novembre 2024.
Le président :
Signé : M. Jacques-Henri Stahl
La rapporteure :
Signé : Mme Alexandra Bratos
La secrétaire :
Signé : Mme Claudine Ramalahanoharana