UNION SYNDICALE DES MAGISTRATS ADMINISTRATIFS (U.S.M.A.) dont le siège est au Tribunal administratif de Paris situé 7, rue de Jouy à PARIS (75004)
REQUETE
Présentée par L’UNION SYNDICALE DES MAGISTRATS ADMINISTRATIFS (U.S.M.A.), représentée par son président en exercice, dont le siège est au Tribunal administratif de Paris situé 7, rue de Jouy à PARIS (75004).
CONTRE
Le décret n°2008-632 du 27 juin 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé Edvige.
1- SUR LA RECEVABILITE
1-1 Sur l’intérêt à agir :
L’USMA, organisation représentative des magistrats administratifs, qui a obtenu, lors des dernières élections professionnelles, deux sièges au Conseil supérieur des tribunaux administratifs et des cours administratives d’appel (CSTACAA), a intérêt à agir contre le décret n° 2008-632 du 27 juin 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé Edvige en tant qu’il autorise le ministère de l’intérieur à mettre en œuvre un traitement automatisé des fichiers de données à caractère personnel relatives notamment aux personnes physiques ou morales ayant sollicité, exercé ou exerçant un mandat syndical ou qui jouent un rôle institutionnel significatif : en effet, ce fichier doit être regardé comme s’adressant en particulier aux magistrats exerçant un mandat syndical, voire même à l’ensemble des magistrats dans la mesure où ceux-ci sont susceptibles d’être au nombre des personnes exerçant un rôle institutionnel significatif ;
1-2 Sur la qualité pour agir :
Aux termes de l’article 15 des statuts de l’USMA : « Le conseil syndical décide des actions en justice à entreprendre. Il désigne pour chaque instance le membre du syndicat habilité à le représenter en justice ».
Le 25 août 2008, le conseil syndical a désigné M. Axel BARLERIN, président en exercice, pour agir en justice, au nom du syndicat, contre le décret du 27 juin 2008.
2- SUR LE FOND
Il convient de rappeler en préalable que le traitement EDVIGE est né suite à la réforme des services de renseignement et à la création d’une nouvelle direction centrale de la sécurité publique (DCSP). Le décret n°2008-632 du 27 juin 2008 est censé remplacer le décret n°91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services de renseignement généraux. Comme cela va être démontré, il va en réalité bien au-delà de ce qui existait au préalable et innove tant sur le fond que sur la forme.
On notera que la création d’EDVIGE s’est accompagnée de la modification du décret n°2007-914 du 15 mai 2007 pris pour l’application du 1 de l’article 30 de la loi n°78-17 du 6 janvier 1978 modifiée. Autrement dit, EDVIGE entre dans la catégorie des traitements, énumérés à l’article 1er de ce décret de 2007, qui ne sont pas soumis aux mêmes contraintes formelles que les autres traitements, alors que ce n’était pas le cas pour les fichiers des renseignements généraux.
On relèvera également qu’EDVIGE a dès lors le privilège de se retrouver au côté de traitements et fichiers qui concernent tous la sécurité extérieure, la défense et la sécurité militaire. Il fait ainsi une entrée remarquée dans la catégorie très particulière des « traitements automatisés de données à caractère personnel intéressant la sûreté de l’Etat, la défense ou la sécurité publique », qui autorise ses créateurs à déroger à un certain nombre de règles de forme et de fond posées par la loi n°78-17 du 6 janvier 1978 relatives à l’informatique, aux fichiers et aux libertés.
Compte tenu de son contenu et, notamment, de son imprécision et du fait qu’en réalité, il contient trois traitements distincts, aux finalités différentes, cela ne manque pas de susciter un certain nombre d’interrogations.
Il appartiendra au juge de rappeler à l’administration que la rigueur juridique n’est pas l’ennemi de l’efficacité politique. Et que l’action politique, pour aussi légitime qu’elle soit, trouve ses limites dans le respect de la légalité et des principes de l’égalité de droit, et dans le nécessaire équilibre entre l’intérêt général et les libertés individuelles.
Ces principes sont rappelés de manière extrêmement claire par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, qui insiste sur le fait que si des restrictions à ces droits et libertés sont possibles, elles sont soumises aux principes de légitimité (société démocratique), de finalité (nécessité de telles mesures) et de proportionnalité.
La création d’EDVIGE n’entre pas dans ce cadre strict défini tant en doit interne qu’en droit international :
elle ne répond à aucune finalité précisément identifiée ;
elle n’apparaît pas nécessaire au regard des finalités que l’on peut tenter de cerner en recourant au texte lui-même, à l’avis de la CNIL et aux informations que les médias ont pu donner, et ce d’autant moins que certains fichiers déjà existants portent sur des finalités similaires.
elle ne s’accompagne pas des précisions suffisantes quant aux garanties nécessaires à la préservation des libertés individuelles et aux moyens d’éviter en particulier toute atteinte à la vie privée des personnes concernées, tant en ce qui concerne la nature des informations que les conditions de leur enregistrement, de leur conservation et de leur communication.
A- ILLEGALITE EXTERNE
Comme nous venons de l’indiquer, le traitement EDVIGE comprend trois « fichiers » qui sont en réalité trois traitements répondant à trois finalités distinctes, telles qu’ont peut essayer de les identifier :
la collecte d’informations sur les personnalités publiques pour les besoins du Gouvernement ou des représentants de l’Etat dans le cadre de leurs responsabilités (article 1-1 du décret) ;
la protection de l’ordre public (article 1-2) ;
l’exécution d’enquêtes administratives préalables (article 1-3).
Les auteurs du décret semblent avoir considéré, d’une part, que ces objectifs avaient une même finalité, « l’information générale », et d’autre part, qu’ils entraient dans la catégorie des traitements mis en œuvre pour le compte de l’Etat et qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique (article 26 I-1° de la loi de 1978) ou qui ont pour objet la prévention d’infractions pénales (article 26 I-2°).
1- Conformément au IV de l’article 26 de la loi du 6 janvier 1978, ces traitements auraient dû faire l’objet de trois actes réglementaires distincts et de trois procédure de consultation et d’autorisation séparées.
L’article 26 de la loi du 6 janvier 1978 dispose que « (…) / IV – Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique (…) ». A contrario, cela n’est pas possible.
En premier lieu, on voit mal le rapport entre les finalités des trois fichiers susvisés : l’information des membres du Gouvernement, à des fins essentiellement administratives et politiques, le maintien de l’ordre public et la réalisation d’enquêtes administratives s’agissant de postulants à des emplois publics dits « sensibles ».
Toute autre interprétation prêterait à confusion et tendrait à accréditer l’idée que le fait d’être engagé dans la vie publique est, en soi, assimilé par ses auteurs à une menace à l’ordre public ou, à l’inverse, que l’inclusion de la référence à l’ordre public sert en fait d’alibi pour justifier la mise en place d’un fichier plus général à des fins essentiellement politiciennes, visant à l’obtention d’informations stratégiques sur les « opposants » ou ceux qui seraient susceptibles de l’être, ou encore à écarter de la haute fonction publique des candidats jugés indésirables par le pouvoir en place.
Cette différence de finalité a une incidence évidente sur les données que chacun de ces traitements peut comprendre et sur leurs destinataires. Car comme on va le voir plus amplement dans le débat sur la légalité externe, un traitement automatisé ne peut être créé que pour des finalités déterminées, explicites, et si les informations qu’il comporte sont adéquates, pertinentes et non excessives au regard de ces finalités. Or, cette appréciation dépend essentiellement de deux éléments : l’utilité du traitement au regard, d’une part, de la finalité poursuivie et, d’autre part, du degré de l’atteinte portée à la vie privée des personnes concernées ; les garanties fixées pour éviter tout dérapage.
Il est donc indispensable de créer trois traitements différents, qui devront tous préciser leur finalité, la nature exacte des données qui peuvent être collectées et les garanties prévues pour préserver la sécurité des données, ce qui est le seul moyen pour permettre au juge d’exercer son contrôle (qui est un contrôle entier ; voir par exemple CE, 26 juillet 2006, GISTI et autres, n°285714, A).
Dans ces conditions, conformément au IV de l’article 26 de la loi du 6 janvier 1978, ces traitements auraient dû faire l’objet de trois actes réglementaires distincts et de trois procédure de consultation et d’autorisation séparées.
2- Plus encore, au moins un de ces traitements n’entre pas dans le champ d’application de l’article 26 mais dans celui de l’article 25 de la loi du 6 janvier 1978 :
a- Le traitement visé à l’article 1-1 du décret du 27 juin 2008 concerne des informations « nécessaires au Gouvernement ou à ses représentants pour l’exercice de leurs responsabilités ». On voit mal en quoi le fait de connaître le parcours d’une personnalité publique que l’on est amenée à côtoyer intéresse la sûreté de l’Etat, la défense ou la sécurité publique, quelle que soit d’ailleurs la conception, large ou restreinte, que l’on peut avoir de cette dernière notion.
Il ne fait aucun doute que ce premier traitement n’entrait donc pas dans le champ d’application de l’article 26 de la loi du 6 janvier 1978. Cela a des incidences sur le fond, nous y reviendrons. Cela a également une incidence sur la procédure qui aurait dû être suivie pour sa création, puisqu’une autorisation de la CNIL était nécessaire, en application du 1° et / ou du 5° de l’article 25 de la loi du 6 janvier 1978.
On pourrait objecter que la procédure prévue à l’article 26 est encore plus rigoureuse que celle de l’article 25 et que le fait de l’avoir appliquée, même à tort, n’a pas d’effet sur la régularité de la procédure. Mais dès lors que l’autorité qui doit donner son autorisation est différente, le sens de cette autorisation peut l’être également. L’avis plus que réservé de la CNIL montre qu’elle n’aurait sans doute pas accordé son autorisation à ce texte en l’état. Ajoutons que l’avis ou l’autorisation de la CNIL sont, sauf rare exception, publics, ce qui n’est pas le cas de l’avis du Conseil d’Etat.
Il y a donc bien, au moins en ce qui concerne ce premier traitement, un vice de procédure.
b- Le traitement visé à l’article 1-2 du décret ne nous paraît pas non plus entrer dans le champ d’application de l’article 26 de la loi du 6 janvier 1978. Il concerne en effet les « informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public ». Cela inclue les informations dites « sensibles », y compris celles relatives à la santé ou à la vie sexuelle des personnes concernées, s’agissant non seulement d’adultes mais également de mineurs.
En comparaison, l’autorisation de collecter des informations « sensibles » posée par le décret n°91-1051 du 14 octobre 1991 portait uniquement sur les activités politiques, philosophiques, religieuses ou syndicales (à l’exclusion des informations relatives à la santé ou à la vie sexuelle) et ne concernait que les personnes majeures qui pouvaient, « en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’Etat ou à la sécurité publique, par le recours ou le soutien actif apporté à la violence ainsi que les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec celles-ci. ».
EDVIGE n’a donc pas la même portée que les anciens fichiers des renseignements généraux. Il comprend de nouvelles données, plus sensibles, inclut des mineurs et n’apporte aucune précision sur ce qu’il faut entendre par menace à l’ordre public. Il porte de ce seul fait une atteinte plus importante aux libertés individuelles, et l’appréciation à laquelle il faut aujourd’hui procéder pour savoir si cette atteinte est justifiée au regard des principes de finalité et de proportionnalité sera nécessairement différente de celle à laquelle il a été procédé en 1991. Et ce d’autant plus que, comme on le verra, le décret de 2008 prévoit des garanties moindres quant à la sécurité des données, ce qui constitue un pas en arrière étonnant.
Par ailleurs la notion « d’ordre public » y remplace celles de « sûreté de l’Etat » et de « sécurité publique ». Ces notions sont celles qui apparaissent dans la loi du 6 janvier 1978 et dans la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (avec cette différence qu’on y parle de « sécurité de l’Etat » et de « sûreté publique », cf. article 9 de la Convention).
L’abandon des termes utilisés jusque là et qui font référence au niveau européen n’ont pu être abandonnés par hasard. La référence à l’ordre public correspond nécessairement à une volonté d’élargir le champ d’application du décret du 27 juin 2008 par rapport à celui du 14 octobre 1991.
Il suffit de se référer à de nombreux manuels de droit administratif pour comprendre que la notion d’ordre public va au-delà de la seule sécurité publique. Elle inclut des notions comme la salubrité et la tranquillité publique, voire le « bon ordre moral » (manuel du professeur Chapus, Tome I, n°901 et suivants).
Si ni la loi de 1978 ni la convention du 28 janvier 1981 ne se réfèrent à cette notion, ce n’est pas par hasard. Ces textes n’empêchent pas de constituer des traitements ayant pour objectif la protection de l’ordre public ou de tout autre intérêt public du même ordre. Simplement, les dérogations applicables lorsque la finalité poursuivie est la sécurité publique ne sont pas applicables. C’est d’ailleurs toute la logique de l’articulation entre les articles 6 et 9 de la convention de 1981.
Rappelons également qu’avant la réforme intervenue en 2004, la loi du 6 janvier 1978 prévoyait la possibilité de collecter des informations « sensibles », y compris les « mœurs », pour des « motifs d’intérêt public ». En modifiant la rédaction de la loi, le législateur a manifesté sa volonté de mieux encadrer ce dispositif, en conformité avec les évolutions sociales et les engagements internationaux de la France (notamment l’entrée en vigueur de la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données). ;
En recourant à la notion d’ordre public, les auteurs du décret attaqué méconnaissent donc à la fois les dispositions juridiques qui s’imposent à eux mais également la volonté du législateur, qui n’a pas eu son mot à dire sur cette question.
La rédaction de ces dispositions est trop imprécise et il est en réalité impossible d’apprécier, à leur seule lecture et sans se référer aux explications, nécessairement partielles, données par les membres du Gouvernement, sa portée réelle. Cela pose de nombreuses questions de fond, sur lesquelles nous allons revenir.
Compte tenu des conséquences liées à l’application de l’article 26 de la loi du 6 janvier 1978, la plus grande rigueur est nécessaire. En l’absence de finalité clairement identifiée et de précision quant aux garanties apporté s’agissant de la sécurité des informations, il y a donc lieu de considérer que le traitement visé à l’article 1-2 du décret du 27 juin 2008 ne relève pas du champ d’application de l’article 26 de la loi.
De ce fait, il est entaché d’un vice de procédure.
c- S’agissant du traitement visé à l’article 1-3 du décret ;
Il vise à « permettre aux services de police d’exécuter les enquêtes administratives qui leur sont confiées en vertu des lois et règlements, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l’exercice des fonctions ou des missions envisagées. ».
A priori, ces enquêtes administratives doivent s’effecteur dans les conditions prévues par les textes légaux et réglementaires, notamment l’article 17-1 du n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, qui dispose que : « Les décisions administratives de recrutement, d’affectation, d’autorisation, d’agrément ou d’habilitation, prévues par des dispositions législatives ou réglementaires, concernant soit les emplois publics participant à l’exercice des missions de souveraineté de l’Etat, soit les emplois publics ou privés relevant du domaine de la sécurité ou de la défense, soit les emplois privés ou activités privées réglementées relevant des domaines des jeux, paris et courses, soit l’accès à des zones protégées en raison de l’activité qui s’y exerce, soit l’utilisation de matériels ou produits présentant un caractère dangereux, peuvent être précédées d’enquêtes administratives destinées à vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées ».
Ainsi défini, le champ d’application de ces dispositions pourrait apparaître en relation avec la sûreté de l’Etat et la sécurité publique si la rédaction de l’article 1-3 du décret attaqué n’était pas, une nouvelle fois, trop imprécise et ne laissait pas place au doute et au plus grand flou, ce que l’on ne peut admettre compte tenu des tenu des enjeux.
Il est également entaché d’un vice de procédure. B- ILLEGALITE INTERNE
Le décret du 27 juin 2008 méconnaît le droit à la protection de la vie privée reconnu notamment par l’article 2 de la Déclaration des droits de l’homme et du citoyen, par l’article 8 de la CEDH, par l’article 1 de la Convention de Strasbourg du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
1- Principes applicables
a) Textes de référence
L’article 8 de la CEDH stipule que : « 1.Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. / 2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ».
L’article 1er de la Convention du 28 janvier 1981 reprend cette idée : « Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel le concernant ».
Le chapitre II de la Convention fixe les principes de base permettent d’atteindre cet objectif de « protection des données », tant en ce qui concerne la qualité de ces données (article 5) que leur sécurité (article 7) et les garanties accordées aux personnes concernées (article 8). Le traitement automatisé des données dites sensibles est interdit, sauf dans deux cas :
lorsque le doit interne prévoit des garanties appropriées ;
sans aucune garantie particulière si cela est nécessaire à la protection de la sécurité de l’Etat, à la sûreté publique, aux intérêts monétaires de l’Etat ou à la répression des infractions pénales, ou encore à la protection de la personne concernée et des droits et libertés d’autrui.
La loi du 6 janvier 1978, dans sa version issue de la loi n°2004-801 du 6 août 2004, reprend largement ces stipulations, notamment son article 6, qui dispose que « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / 1° Les données sont collectées et traitées de manière loyale et licite ; / 2° Elles sont collectées pour des finalités déterminées, explicite et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leur traitement ultérieurs (…) ».
On retrouve la même inspiration dans le corps de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Notons que ce texte insiste sur la nécessité pour les Etats membres d’assurer la sécurité des informations. L’article 17 dispose ainsi que : « Sécurité des traitements / 1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite./ Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. ».
b) Principes de finalité et de proportionnalité
A partir de ces textes et de la jurisprudence de la CEDH, du Conseil constitutionnel et du Conseil d’Etat, il est possible de dégager les grands principes qui trouvent à s’appliquer ici, à savoir les principes de finalité et de proportionnalité.
Dans un arrêt du 6 juin 2006, Segerstedt-Wiberg et autres c/ Suède, n°62332/00, la Cour européenne des droits de l’homme rappelle, s’agissant d’un fichier concernant la sécurité de l’Etat (et notamment la lutte contre le terrorisme), qu’elle « admet que la conservation des informations en question poursuivait des buts légitimes, à savoir la défense de l’ordre et la prévention des infractions pénales dans le cas de la première requérante, et la protection de la sécurité nationale dans celui des autres requérants. / 1. Si la Cour reconnaît que, dans une société démocratique, l’existence de services de renseignements peut s’avérer légitime, elle rappelle que le pouvoir de surveiller en secret les citoyens n’est tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques (Klass et autres c. Allemagne, arrêt du 6 septembre 1978, série A no 28, p. 21, § 42, et Rotaru, arrêt précité, § 47). Pareille ingérence doit se fonder sur des motifs pertinents et suffisants et doit être proportionnée aux buts légitimes poursuivis. A cet égard, la Cour estime que les autorités nationales jouissent d’une marge d’appréciation dont l’ampleur dépend non seulement de la finalité, mais encore du caractère propre de l’ingérence. En l’espèce, l’intérêt de l’Etat défendeur à la protection de la sécurité nationale et à la lutte contre le terrorisme doit être mis en balance avec la gravité de l’ingérence dans l’exercice par les requérants respectifs de leur droit au respect de leur vie privée (…) ».
De son côté, le Conseil constitutionnel a eu l’occasion, à plusieurs reprises, de rappeler que « …la liberté proclamée par l’article 2 de la Déclaration de 1789 implique le respect de la vie privée (…) ; qu’il appartient au législateur, en vertu de l’article 34 de la Constitution, de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; qu’il lui appartient notamment d’assurer la conciliation entre, d’une part, la sauvegarde de l’ordre public et la recherche des auteurs d’infractions, toutes deux nécessaires à la protection de principes et de droits de valeur constitutionnelle et, d’autre part, le respect de la vie privée et des autres droits et libertés constitutionnellement protégés (…) » (CC, 13 mars 2003, n°2006-467 DC, s’agissant de la création de deux fichiers de la police et de la gendarmerie nationale ; voir aussi CC, 12 août 2004, n°2004-504 DC, pour la conciliation entre vie privée et protection de la santé).
La jurisprudence du Conseil d’Etat s’articule également autour de cette recherche d’un équilibre entre le droit à la vie privée et l’objectif qui préside à la création d’un traitement automatisé. Comme le résume Jean-Denis Combrexelle dans ses conclusions sous l’arrêt du CE du 3 décembre 1999, Caisse du Crédit Mutuel de Bain-Tresboeuf, n°197060 et 197061, A : « (…) doivent s’appliquer aux fichiers nominatifs deux principes essentiels qui tirent plus particulièrement leur source de l’article 5 de la Convention de Strasbourg du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel : / – celui de finalité selon lequel peuvent être portées des mentions qui sont en relation directe avec l’objet même du traitement ; / – celui de proportionnalité selon lequel les atteintes ne doivent pas être disproportionnées au regard de l’objet du traitement » (p.2 et 3).
Dans ses conclusions sous l’arrêt du CE du 30 octobre 2001, Association française des sociétés financières et autres, n°204909, A, Mme Maugüe ajoute que « la notion de pertinence des données utilisées dans un traitement automatisé d’informations nominatives doit être appréciée au regard de l’objet du traitement, avec lequel elles doivent entretenir une relation directe et au regard duquel elles doivent apparaître proportionnées. Et vous exercez un contrôle normal sur l’appréciation portée par la CNIL sur le caractère pertinent, adéquat et non excessif des données ».
Ces principes ont été récemment appliqués par le CE dans un arrêt du 28 juillet 2004, Merchri, n°262851, A, aux conclusions de Francis Donnat.
2- En l’occurrence, ces principes de finalité et de proportionnalité ne sont pas respectés.
Le fait que le décret attaqué porte en réalité, comme nous l’avons déjà démontré, sur trois traitements automatisés différents, répondant à des finalités distinctes, rend difficile voire impossible le contrôle que le juge doit exercer qui est, rappelons le, un contrôle normal.
La réponse à la question de savoir si des données, et notamment de données sensibles, sont adéquates, pertinentes et non excessives au regard de leurs finalités implique nécessairement que tant ces données que ces finalités soient parfaitement identifiées.
A cela s’ajoute, dans un second temps, les garanties qui sont apportées aux personnes concernées, et dont peut également dépendre la réponse à la question. Plus l’atteinte à la vie privée est grande, et plus les garanties devront être importantes, sauf à ce que ces informations touchent à la sécurité de l’Etat et à la sûreté publique (termes de la CEDH et de la Convention de 1981, que nous préférons à ceux, « inversés », de la loi de 1978). Dans tous les cas, elles doivent figurer explicitement dans le texte de référence, et non pas résulter d’interprétations plus ou moins hasardeuses ou de « promesses » faites par l’administration.
Pour plus de clarté, nous reprendrons l’analyse pour chacun des trois traitements que nous avons distingués, ce qui nous conduira à demander l’annulation de chacun d’entre eux.
Mais, en tout état de cause, le « mélange de genres » auquel il a été procédé doit, à lui seul, conduira à l’annulation de l’ensemble du décret.
Seul un texte clarifié permettrait au juge de procéder à un véritable contrôle, en toute connaissance de cause, sur le fondement de dispositions claires, sans avoir à tenter des interprétations plus ou moins proches de l’intention des auteurs de ce texte.
Voir pour un exemple de ce contrôle CE, 26 juillet 2006, GISTI, n°285714, A, aux conclusions de Mme Prada Bordenave.
a- Traitement visé à l’article 1-1 du décret du 27 juin 2008
a-1. A l’évidence, la création de ce traitement ne constitue pas « une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ».
Le fait, pour des membres du Gouvernement ou des hauts fonctionnaires, de vouloir connaître le profil des personnes qu’ils sont amenées à côtoyer dans le cadre de relations professionnelles ou de simple courtoisie ne saurait en aucun cas justifier un « fichage » systématique et généralisé de ces personnes. Cela ne correspond à aucune nécessité, ni en termes de sûreté publique, nous l’avons déjà dit, ni même en termes « d’ordre public ».
La constitution d’un tel traitement est donc tout simplement impossible dans une société démocratique. D’ailleurs, à notre connaissance, la France est le seul pays européen qui procède de cette façon, au moins aussi ouvertement. Il ne s’agit pas là d’un progrès dont elle pourrait s’enorgueillir.
a-2. A supposer même que l’on considère que la création de ce traitement répond bien à un motif de défense de l’ordre, cela n’entre pas dans la catégorie des informations relatives à la sécurité de l’Etat et à la sûreté publique.
Dans ces conditions :
d’une part, il n’est pas possible de collecter les données dites sensibles fixées à l’article 8 I de la loi du 6 janvier 1978 (puisque aucune des autres conditions possibles pour une dérogation ne sont réunies, sauf éventuellement pour les informations déjà rendues publiques) ;
d’autre part, il n’est pas possible de déroger aux garanties de base posées tant par la Convention du 28 janvier 1981 que par la loi du 6 janvier 1978, et notamment le droit d’information (article 32 de la loi) et le droit d’accès et d’opposition (article 38). Il n’y a aucune raison, s’agissant de ce premier traitement, que le droit d’accès s’exerce de manière indirecte auprès de la CNIL. Les auteurs du décret ont d’ailleurs insisté dans les médias sur le fait qu’il s’agissait pour la plupart d’informations publiques. Dans ce cas, il n’y a donc rien à cacher, et on ne comprend pas que ces données fassent l’objet de dérogations aux règles de base.
a-3. En outre, les informations qui peuvent être collectées ne sont pas clairement et limitativement fixées par le décret. Comment dire si elles respectent les principes de finalité et de proportionnalité ?
Notons qu’à la demande de la CNIL, le Gouvernement a accepté d’exclure de ce traitement les données relatives au comportement et au déplacement des individus. On peut tout de même s’étonner de la possibilité de recenser, à côté des informations « classiques » sur les origines géographiques et sociales, les études ou la profession, des données relatives aux signes physiques particuliers, à l’immatriculation des véhicules ou à la situation fiscale et patrimoniale. Sur ce dernier point, le Gouvernement aurait pris l’engagement de ne faire figurer que les données fiscales et patrimoniales déjà publiques, c’est ce qui ressort en tout cas de l’avis de la CNIL. C’est certes louable mais cela n’a en soi aucune valeur juridique. Il conviendrait de le faire figurer expressément dans le décret.
A cela s’ajoutent, même si cela est censé rester « exceptionnel », des données relatives à la santé et à la vie sexuelle des personnes concernées.
Cela n’est à l’évidence pas justifié par la finalité poursuivie et le principe de proportionnalité est méconnu.
a-4. Et ce d’autant plus que le décret ne s’accompagne pas des garanties suffisantes :
pas de limitation de durée pour la conservation, en méconnaissance des articles 5-e de la Convention de Strasbourg et 6-5° de la loi du 6 janvier 1978. La CNIL a d’ailleurs insisté sur ce point dans son avis, en indiquant qu’il s’agissait d’une « condition de licéité des traitements des données personnelles et une garantie essentielle pour le citoyens ».
un nombre de destinataires élargis, comme nous l’avons relevé précédemment. A côté des agents de la direction centrale ou des directions départementales de la sécurité publique, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique, pourra être destinataire des données figurant sur EDVIGE « tout autre agent d’un service de la police nationale ou de la gendarmerie nationale, sur demande expresse, sous le timbre de l’autorité hiérarchique, qui précise l’identité du consultant, l’objet et les motifs de la consultation ».
Le décret reste flou sur la procédure qui sera suivie dans ce cas. La multiplication du nombre des destinataires apparaît de ce fait contraire au principe de « sectorisation des fichiers » qui, ainsi que l’a résumé le CE dans son arrêté précité du 28 juillet 2004, Mechri, « consiste à limiter l’accès à un fichier au secteur d’activité concerné et à empêcher ainsi le détournement de sa finalité. ».
Notons que d’une manière générale, les textes relatifs à de tels traitements limitent toujours la catégorie des destinataires à quelques personnes spécialement habilitées à ce titre. Le décret innove donc sur ce point.
dans son avis, la CNIL a relevé que « dans la mesure ou le dossier de demande ne comporte aucune précision sur les caractéristiques techniques et les mesures de sécurité, la commission relève qu’elle ne peut exercer sur ce point la mission de contrôle préalable que lui a confiée le législateur. A cet égard, elle tient notamment à souligner l’importance que revêt la mise en œuvre d’une politique de traçabilité des actions, qu’il s’agisse des enregistrements ou des consultations ». Le décret ne comporte pourtant pas d’éléments sur la sécurité des informations, en méconnaissance avec les dispositions précitées de la Convention de Strasbourg et de la directive du 24 octobre 1995 (article 17). A cela s’ajoute l’absence de procédure de mise à jour et d’apurement des données, point sur lequel la CNIL a tout particulièrement insisté dans son avis, en rappelant qu’il s’agit là encore d’une « condition de licéité » et qu’une telle procédure était d’ailleurs prévue à l’article 6 du décret du 14 octobre 1991. Les auteurs du décret n’ont donné aucune explication sur les motifs de cette suppression.
Compte tenu de la position adoptée par la Cour européenne des droits de l’homme dans son arrêt du 6 juin 2006, s’agissant qui plus est d’un domaine lié à la sécurité de l’Etat et de la sûreté publique et avec des garanties beaucoup plus précises et importantes qu’en l’occurrence, la position qu’elle adopterait si elle était saisie dans cette affaire ne fait aucun doute.
b- Traitement visé à l’article 1-2 du décret du 27 juin 2008
b-1. Comme nous l’avons déjà indiqué précédemment, ce traitement ne nous paraît pas non plus relever de la catégorie des « mesures nécessaires, dans une société démocratique, à la protection de la sécurité de l’Etat, de la sûreté publique (…) » visée à l’article 9 de la Convention de Strasbourg.
Sans reprendre l’intégralité de notre démonstration, nous insistons que le fait que si la défense de l’ordre constitue un motif légitime et nécessaire, il convient de bien distinguer « sécurité publique » et « ordre public », avec le caractère plus large et plus subjectif de ce dernier par rapport au premier. L’ordre public est relatif, il évolue avec le temps et correspond à une certaine représentation, politique et idéologique. Peut-on par exemple considérer qu’une grève des personnels roulants de la SNCF pendant plusieurs jours constitue un trouble à l’ordre public ? Une association qui appelle à aider des sans-papiers, en les hébergeant chez soi par exemple, trouble-t-elle l’ordre public ? De même d’une autre association appelant à occuper des bureaux vides pour revendiquer le droit au logement pour tous ?
On imagine aisément les dérives possibles.
La rédaction du décret attaqué est beaucoup trop floue. Elle nécessité d’être recadrée, tant en droit qu’en opportunité.
Dès lors que l’on considère que ce traitement n’entre pas dans le champ d’application de l’article 26 de la loi du 6 janvier1978, le raisonnement est le même que pour le traitement précédent (pas de dérogation aux principes de bases et garanties suffisantes).
b-2. A supposer même que l’on considère que ce traitement entre dans le champ d’application de l’article 26 de la loi du 6 janvier 1978, il n’en reste pas moins que le décret ne présente pas les garanties minimales qui doivent s’appliquer dans ce cas.
Certes, la Convention de Strasbourg laisse une grande marge de manœuvre aux Etats en prévoyant, dans son article 9, la possibilité de déroger aux articles 5, 6 et 8 qui posent les garanties de base concernant la qualité des données et les garanties complémentaires pour les personnes concernées.
Mais on relèvera d’une part, qu’elle n’autorise pas à déroger à l’article 7 concernant la sécurité des données, article 7 qui est utilement précisé par l’article 17 de la directive du 24 octobre 1995, comme nous l’avons déjà relevé. La CNIL a souligné l’importance des dispositions expresses concernant ces mesures de sécurité.
Elle a particulièrement insisté sur le cas des mineurs, dont nous croyons comprendre à la lecture du texte remanié qu’ils ne peuvent figurer que dans le second traitement : « (…) la commission tient à rappeler que le traitement de telles données appelle l’adoption de garanties renforcées. Il doit, en conséquence, être encadré, dans le projet de décret, par des dispositions particulières et précises, de façon à lui conserver un caractère exceptionnel et une durée de conservation spécifique ». Elle n’a manifestement pas été entendue.
D’autre part, ainsi que le prévoit l’article 11 de la Convention, les Etats peuvent très bien décider de mettre en place une protection plus étendue. Il semble bien que ce soit le cas de la France, puisque la loi du 6 janvier 1978 modifiée ne prévoit nullement la possibilité de déroger, même dans le domaine de la sûreté de l’Etat et de la sécurité publique, aux dispositions de son article 6, qui reprend l’essentiel des stipulations de l’article 5 de la Convention (sur les principes de finalité et de proportionnalité).
A ce titre, on rappellera les observations de la CNIL quant à nécessité de définir « étroitement » les données sensibles qui peuvent être collectées et de fixer une durée maximale de conservation des données ainsi qu’une procédure de mise à jour et d’apurement. La CNIL insiste sur le fait que « conformément à l’article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, les données collectées et conservées doivent être adéquates, pertinentes et non excessives au regard des finalités ».
Or, il est difficile de considérer que ce traitement répond aux principes fixés par ces dispositions. Tout d’abord, comme nous l’avons dit, il ne liste pas précisément les données qui seront collectées, en méconnaissance de l’article 6 de la loi. Par ailleurs, on comprend mal sa finalité. Soit il s’agit de « ficher » des personnes physiques ou morales dont on soupçonne qu’elles ont des liens avec des activités terroristes et/ ou mafieuses, auquel cas cela ne relève pas d’un traitement concernant « l’information générale » du Gouvernement mais des fichiers intéressant la sécurité intérieure et extérieure. Soit, comme cela a été avancé à titre d’exemple, l’objectif est de « ficher » les membres des « bandes » qui sévissent dans certains quartiers. Quoi qu’on pense de cet objectif, de deux choses l’une : soit les intéressés sont pris la main dans le sac et ils relèveront des fichiers mis en œuvre par les autorités de police ou judiciaires (notamment les fichiers des articles 21 et 21-1 de la loi du 18 mars 2003), soit ils ne le seront pas et dans ce cas, on voit mal, alors, comment ils pourraient être identifiés et figurer à ce titre sur un fichier.
Globalement on peine à saisir comment ce traitement pourra être « alimenté » autrement que par une sorte de « traçage » préventif, « au cas où », qui devient, par son ampleur, disproportionné par rapport à l’objectif poursuivi.
Ceci nous amène au dernier point : même dans le domaine de la sécurité de l’Etat et de la sûreté publique, les stipulations de l’article 8 de la CEDH s’appliquent, comme le rappelle l’arrêt précité de la Cour de Strasbourg du 6 juin 2006. Compte tenu de ce qui vient d’être dit, nous pensons que le traitement visé à l’article 1-2 du décret du 27 juin 2008 méconnaît ces stipulations, en raison du manque de précision et de l’absence de garanties adéquates.
c- Traitement visé à l’article 1-3 du décret du 27 juin 2008
Les dispositions concernant ce traitement sont très vagues et rien ne précise « les conditions et la nature des enquêtes administratives susceptibles d’être réalisées ainsi que les types d’emplois ou de fonctions pour lesquels la DCSP peut se voir confier lesdites enquêtes ». De ce fait, il porte une atteinte disproportionnée au droit à la vie privée, compte tenu de sa finalité – dont il apparaît qu’elle peut être poursuivie par d’autres moyens – et de l’absence de garanties adéquates.
Comme nous l’avons déjà relevé, l’article 17-1 du n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité est, lui, beaucoup plus précise, puisqu’il dispose que : « Les décisions administratives de recrutement, d’affectation, d’autorisation, d’agrément ou d’habilitation, prévues par des dispositions législatives ou réglementaires, concernant soit les emplois publics participant à l’exercice des missions de souveraineté de l’Etat, soit les emplois publics ou privés relevant du domaine de la sécurité ou de la défense, soit les emplois privés ou activités privées réglementées relevant des domaines des jeux, paris et courses, soit l’accès à des zones protégées en raison de l’activité qui s’y exerce, soit l’utilisation de matériels ou produits présentant un caractère dangereux, peuvent être précédées d’enquêtes administratives destinées à vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées / Un décret en Conseil d’Etat fixe la liste des enquêtes administratives qui donnent lieu à la consultation des traitements automatisés de données personnelles mentionnés à l’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, y compris pour les données portant sur des procédures judiciaires en cours, dans la stricte mesure exigée par la protection de la sécurité des personnes et la défense des intérêts fondamentaux de la nation. Il détermine les conditions dans lesquelles les personnes intéressées sont informées de cette consultation »
Compte tenu de l’existence de traitements auxquels les fonctionnaires qui réalisent des enquêtes administratives peuvent déjà se référer, la création d’EDVIGE n’apparaît pas justifiée. Il risque d’ailleurs d’y avoir interconnexion entre ces différents traitements, alors que l’article 4 du décret attaqué dispose clairement que « le traitement et les fichiers ne font l’objet d’aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d’autres traitements ou fichiers. Si un fonctionnaire de police a accès à EDVIGE et au traitement de l’article 21 de la loi du 18 mars 2003, il fera nécessairement le rapprochement entre les deux. L’interconnexion ne sera pas « automatisée » mais simplement « humaine ». Elle existera néanmoins.
Certes, le contenu de ces traitements est légèrement différent, puisque le traitement de l’article 21 de la loi du 18 mars 2003 porte sur des « informations nominatives recueillies au cours des enquêtes préliminaires ou de flagrance ou des investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que les contraventions de la cinquième classe sanctionnant un trouble à la sécurité ou à la tranquillité publiques ou une atteinte aux personnes, aux biens ou à l’autorité de l’Etat, afin de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ». EDVIGE a une fonction plus « préventive » de contrôle de l’ordre public avant qu’il ne soit troublé. Mais cette fonction, de par les atteintes potentiellement très graves à la vie privée qu’elle peut avoir, doit à l’évidence être très strictement encadrée.
Or, le décret du 27 juin 2008, ouvre la porte à la consultation, par un grand nombre de personnes, de données, parfois sensibles, sans aucune limitation (santé et vie sexuelle inclues), et ce sans que le champ d’application en soit strictement circonscrit, contrairement aux dispositions précitées de l’article 17-1 de la loi du 21 janvier 1995. La conservation d’informations de ce genre doit se limiter à certains emplois, qui touchent à la sécurité de l’Etat et à la sûreté publique, et ne porter que sur certaines données. On voit mal, par exemple, en quoi la « vie sexuelle » ou la santé d’une personne auraient vocation à entrer dans ce domaine.
En outre, on comprend mal la nécessité de conserver ce type d’informations au-delà d’une enquête si celle-ci s’est révélée négative. La CNIL a d’ailleurs jugé « souhaitable qu’une procédure d’apurement des informations soit déterminée dès lors que l’enquête administrative a donné lieu à un avis favorable et que la personne a été recrutée ou retenue pour la mission considérée ». Elle n’a pas été entendue, sauf en ce qui concerne la fixation d’un délai de cinq ans pour la conservation des données. Compte tenu de la très forte atteinte portée à la vie privée de personnes qui, pour la quasi-totalité d’entre-elles, ne présenteront aucune menace pour la sécurité publique, et des risques évidents (refus de recruter ou de nommer une personne parce qu’elle est du mauvais bord politique, ou parce que, compte tenu de ses engagements syndicaux passés, elle sera considérée comme un « fauteur de trouble » potentiel…), cela n’est pas acceptable. Et ce d’autant moins que, comme nous n’avons déjà indiqué, le nombre de destinataires de ces données est potentiellement important.
On objectera que les agents de police et de gendarmerie ne peuvent avoir accès à EDVIGE qu’avec l’accord de leur hiérarchie et dans « la limite du besoin d’en connaître ». Cette mention ne manquera pas de laisser particulièrement songeur quiconque se penchera sur la délicate question de savoir ce qu’il faut entendre par là. D’autre part, dès lors que les trois traitements figurent sur le même support technique, un agent ayant accès à EDVIGE pour un motif lié à l’ordre public pourra avoir connaissance des données recensées sur le fondement du 1° et du 3° de l’article, et ce alors même que l’autorisation d’accès ne lui aura pas été donnée à ce titre.
Une fois ce plus, il apparaît donc nécessaire de créer trois fichiers différents, avec des destinataires bien déterminés à chaque fois, sauf à indiquer de manière très précise, tant sur le plan technique que juridique, la façon dont les auteurs du décret entendent éviter les débordements éventuels liés à la curiosité et aux faiblesses de la nature humaine, ce qui n’est pas le cas en l’occurrence.
Ceci est d’autant plus indispensable que, contrairement à ce qui est prévu à l’article 17-1 de la loi du 21 janvier 1995, les personnes concernées ne sont pas averties de cette consultation. Elles n’ont aucun droit d’accès et de rectification à des informations qui, alors même qu’elles seraient fausses, pourraient les empêcher d’accéder à une emploi et / ou bloquer leur carrière.
En fin de compte :
s’il était considéré que le champ d’application du traitement visé à l’article 1-3 du décret attaqué reste circonscrit à celui de la sécurité de l’Etat et de la sûreté publique, il n’en reste pas moins qu’il méconnaît les dispositions de l’article 6 de la loi du 6 janvier 1978, qui reprennent celles de l’article 5 de la Convention du 28 janvier 1981, des stipulations de l’article 7 de cette même Convention (reprises et précisées à l’article 17 de la directive du 24 octobre 1995) et des stipulations de l’article 8 de la CEDH, en raison des risques particulièrement graves que l’absence de garanties minimales adéquates fait courir sur le doit à la vie privée des personnes intéressées.
s’il est considéré qu’il dépasse ce domaine, ce nous paraît être le cas en l’absence de toute disposition expresse en sens contraire, on retrouve alors les mêmes critiques que précédemment quant au caractère disproportionné des données collectées, compte tenu de l’objectif poursuivi, de la nature de ces données (sensibles) et de l’absence de garanties adéquates, notamment de garanties de bases (droit d’information et de rectification).
****
Telles sont les raisons pour lesquels l’USMA demande au Conseil d’Etat de bien vouloir annuler le décret n°2008-632 du 27 juin 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé Edvige.
FRAIS IRREPETIBLES
L’USMA, financée exclusivement par des cotisations, demande la condamnation de l’Etat à lui verser la somme de 1000 euros au titre des frais exposés à l’occasion de la présente instance, c’est à dire, notamment, les dépenses engagées pour les réunions du conseil syndical qui ont abouti à la décision d’entreprendre la présente action contentieuse.
****
PAR CES MOTIFS,
L’USMA demande :
l’annulation du décret n° 2008-632 du 27 juin 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé Edvige
la condamnation de l’Etat à lui rembourser la somme de 1000 euros au titre des frais irrépétibles.
Axel Barlerin
Président de l’USMA