Le Conseil d’État approuve l’élargissement de l’accès aux données personnelles de trois fichiers de sécurité publique (PASP, GIPASP et EASP).
Quatre décisions rendues en référé (1) rejettent le recours de plusieurs associations et syndicats ayant demandé la suspension de l’exécution de trois décrets (2). Ces décrets portent modification de trois fichiers de sécurité publique relatifs :
- à la prévention des atteintes à la sécurité publique (PASP),
- aux enquêtes administratives liées à la sécurité publique (EASP),
- à la gestion de l’information et prévention des atteintes à la sécurité publique (GIPASP).
A cette occasion, le traitement des données personnelles n’est pas considéré comme portant une atteinte disproportionnée à la liberté :
- d’opinion,
- de conscience et
- de religion, ou
- syndicale.
Cette actualité offre l’occasion de se pencher sur le régime juridique de ces fichiers. Il ne s’agit pas ici de les examiner chacun, mais bien d’exposer les grandes lignes de leur régime juridique.
Quel est le régime juridique des fichiers de sécurité publique ?
La législation relative aux données à caractère personnel encadre les fichiers de sécurité publique. En effet, ils entrent dans la définition des traitements automatisés de données de la loi Informatique et libertés (ci-après LIL) (3), à savoir :
« Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction » (art. 2 LIL renvoyant à l’art. 4 du RGPD).
Ces traitements peuvent être attentatoires aux droits et libertés fondamentales des individus concernés. Par conséquent, cela justifie un contrôle des fichiers et la mise en place d’un certain nombre de garantie ; en particulier, celles imposées par la Cour européenne des droits de l’Homme (CEDH) (4). Cette dernière a ainsi condamné la France pour violation du droit au respect de la vie privée et familiale, pour une inscription au fichier « système de traitement des infractions constatés » (STIC) après un classement sans suite.
Par conséquent, il convient d’aborder :
- la création de ces fichiers,
- le régime juridique qui leur est applicable pendant leur exercice, et enfin
- les formes de contrôle de ces derniers.
Principes directeurs encadrant les fichiers de sécurité publique
Premièrement, la création des fichiers de sécurité publique relève de la compétence partagée entre le pouvoir règlementaire et le pouvoir législatif et repose sur un régime d’autorisation (art. 31 à 36 LIL).
Un arrêté ministériel doit autoriser l’édiction de tels fichiers. Ils sont soumis à l’avis motivé, publié mais non contraignant de la Cnil lorsqu’ils :
- intéressent la sûreté de l’État, la défense ou la sécurité publique ou qu’ils
- ont pour objet la prévention des infractions pénales ou l’exécution des condamnations ou des mesures de sûreté.
Ce régime d’autorisation peut être renforcé lorsque le traitement touche à des données sensibles (art. 6 LIL). Elles recouvrent les origines raciales, ethniques, les opinions politiques, religieuses, philosophiques, syndicales, les données génétiques, biométriques, ou encore l’orientation sexuelle. Seul un décret en Conseil d’État peut autoriser un fichier ayant vocation à recueillir ce type de données. Ce dernier fait l’objet d’un avis motivé et publié de la Cnil.
Ensuite, les actes (arrêtés ou lois) pris pour la création des fichiers de sécurité publique doivent également préciser la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les catégories de données enregistrées, ainsi que les destinataires de ces informations (art. 35 Loi I&L).
Ces fichiers peuvent également être créés par une loi spéciale, par exemple le fichier des passagers aériens (5), ou encore le fichier national automatisé des empreintes génétiques (FNAEG) (6) à l’article 706-54 du Code de procédure pénale.
Le principe de finalité du traitement
En premier lieu, ils doivent respecter un principe de finalité. Ce principe présuppose que l’acte d’autorisation des fichiers comporte une indication spécifique de la finalité du traitement. Il doit poursuivre un but légitime. Cette finalité doit être précise pour éviter des détournements dans l’utilisation du fichier. De plus, ce principe implique une limitation de la conservation des données dans le temps ; à l’exception d’un emploi pour des statistiques ou des études scientifiques qui peuvent justifier leur conservation.
Le principe de finalité est consacré par la loi (art. 4 LIL) qui disposent que les données doivent être « collectées pour des finalités déterminées, explicites et légitimes », et « ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. ».
De plus, il est précisé que la conservation de ces données au-delà de la finalité du traitement, pour la recherche statistique, scientifique ou pour de la statistique, ne doit pas être « utilisée pour prendre des décisions à l’égard des personnes concernées ». Le respect de ces finalités permet en outre d’éviter les consultations abusives.
Le principe de proportionnalité
De même, les responsables de traitement sont tenus de respecter un principe de proportionnalité dans la mise en œuvre du traitement. Ce dernier oblige à appliquer le principe de minimisation des données. En d’autres termes, il s’agit de ne collecter que les données qui sont nécessaires à la finalité du traitement.
Il est en principe interdit de collecter des données sensibles (art. 6 LIL) déjà définies supra. Cependant cette interdiction trouve néanmoins sa limite lorsque le traitement de ces données intéresse l’intérêt public, la sûreté de l’État, la défense, la sécurité, ou lorsqu’il a pour but la prévention, la recherche et la constatation de la poursuite des infractions pénales, l’exécution des condamnations pénales, ou encore les mesures de sûreté.
La sécurité et la sûreté des données
Dans le même ordre d’idée, les responsables de traitement doivent préserver la sécurité des données et en conséquence « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (art. 121 LIL). Une obligation de mise à jour et d’exactitude des données collectées s’impose aux responsables de traitement.
Enfin, le responsable de traitement doit garantir les droits des personnes concernées par exemple, les droits d’opposition, d’accès, de rectification et d’effacement des données. Le respect de ces droits est néanmoins limité lorsque la finalité de la collecte est la sûreté de l’État ou la défense nationale. Dans ces cas-là, les individus concernés par le traitement ne bénéficient que d’un droit d’accès indirect. Ils doivent alors faire leur demande auprès de la Cnil qui peut refuser si cette requête lui semble manifestement abusive.
Le contrôle constitutionnel des fichiers de sécurité publique
Il n’y pas de protection constitutionnelle des données personnelles. En conséquence le Conseil Constitutionnel dispose donc d’une compétence limitée pour apprécier la constitutionnalité des fichiers de sécurité publique. La plupart de ces fichiers n’étant pas créés par la loi, la portée de son contrôle à priori s’en trouve en effet limitée. Il a cependant estimé que la possibilité offerte par la LIL au pouvoir exécutif de créer de tels fichiers n’était pas inconstitutionnelle (7).
L’apparition de la question prioritaire de constitutionnalité (QPC), a permis d’accroître le rôle du Conseil Constitutionnel dans le contrôle des fichiers de sécurité publique à posteriori. Ce dernier passe par les droits et libertés fondamentaux protégés constitutionnellement, connexes à la protection des données personnelles : présomption d’innocence, séparation des pouvoirs, égalité, secret des correspondances ou encore liberté d’aller et de venir.
Lorsqu’il exerce son contrôle, le Conseil constitutionnel interroge plus généralement les modalités du traitement, notamment l’adéquation entre sa finalité et la nature des données collectées, que l’existence de ces fichiers.
On peut regretter toutefois que la création de ces fichiers ne soit pas du monopole de la loi, amputant ainsi une partie de l’efficacité du garde-fou qu’est le Conseil constitutionnel. Cependant, signalons une décision notable rendue à propos de la loi sur le renseignement et du respect de la vie privée (8). Cette dernière ne porte pas d’atteintes disproportionnées à la vie privée au regard de la finalité du maintien de l’ordre public.
Le contrôle juridictionnel des fichiers de sécurité publique
Ces fichiers peuvent être soumis à un contrôle juridictionnel devant le juge administratif ou devant face à l’autorité judiciaire. Cela s’explique par la nature hybride de ces fichiers : ils peuvent être utilisés à la fois des instruments de police judiciaire (9) et des mesures de police administrative, ce qui justifie cette ambivalence de compétence.
De par leur nature administrative, ces fichiers peuvent évidemment faire l’objet de recours devant les juridictions administratives. Le juge administratif est compétent en cas de contestation :
- de la légalité des actes règlementaires et
- des décisions administratives individuelles prises pour leurs applications.
Le juge tranchera à la fois sur la légalité externe (forme) et interne (fond) des actes de services publics administratifs.
Le Conseil d’État a dû se prononcer sur la légalité du fichier de traitement des antécédents judiciaires (TAJ) (10), et a considéré que sa mise en place ne portait pas d’atteintes disproportionnées à la vie privée et au principe de la présomption d’innocence. Il va s’agir davantage d’un contrôle de proportionnalité au regard de la finalité du fichier, que d’un contrôle d’opportunité.
Ainsi, dans un arrêt (11) relatif au recueil d’informations biométriques pour les passeports électroniques, il a clairement considéré que :
« (…) dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d’informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ».
Les limites de compétence
L’autorité judiciaire dispose d’une compétence limitée dans le contrôle juridictionnel des fichiers de sécurité publique. Elle trouvera une compétence pour les dossiers dont la finalité est uniquement judiciaire, et qui est confiée au procureur de la République.
Dans certains cas le juge des libertés et détention peut être saisi pour contester des refus du procureur aux demandes d’effacement ou de rectification des données traitées dans ces fichiers à vocation judiciaire (par exemple le FAED ou le FNAED).
Le contrôle par la Cnil des fichiers de sécurité publique
La Cnil peut avoir accès aux locaux dans lesquels le traitement des données fichées a lieu. Ces contrôles (art. 19 LIL) ont lieu après information préalable du procureur de la République.
De plus, la Cnil informe le responsable de traitement de son droit d’opposition à la visite. En pareil cas, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et des détentions. Toutefois, l’urgence ou le risque de dissimulation ou destruction de documents peuvent justifier de ne pas informer le responsable. Lors de sa visite, la Cnil peut demander la communication de tous les documents utiles à sa mission.
Par ailleurs, lors de chaque contrôle, la Cnil dresse un procès-verbal contradictoire. Si elle prend connaissance d’infraction ou qu’il y a une atteinte grave aux droits et libertés fondamentaux protégés, elle détient un pouvoir de saisine de l’autorité judiciaire (art. 21 LIL). Enfin, la Commission dispose d’un pouvoir de sanction (art. 20 LIL) en cas de manquements aux obligations aux dispositions de la LIL ou du RGPD.
Virginie Bensoussan Brulé
Raphaël Liotier
Barthélémy Busse
Lexing Contentieux numérique
Notes :
(1) CE, 4 01 2021, ord. réf. n° 447868, n° 447970, n° 447972 et n° 447974
(2) Décrets du 2 12 2020, n° 2020-1510 (EASP), n° 2020-1511 (PASP), n° 2020-1512 (GIPASP)
(3) Loi n° 78-17 du 6 01 1978 modifiée.
(4) CEDH, 18 09 2014, n° 21010/10.
(5) Loi n° 2006-64 du 23 01 2006.
(6) Fichier créé par la loi Guigou n° 98-468, du 17 06 1998.
(7) Conseil constit. 10 03 2011, n° 2011-625 DC.
(8) Conseil constit. 23 07 2015, n° 2015-713 DC.
(9) Loi n° 2011-267 du 14 03 2011 dite « LOPPSI II ».
(10) CE 11 04 2014, n° 360759.
(11) CE 26 10 2011, n° 317827.