Conseil d'État
N° 320196
ECLI:FR:CESSR:2010:320196.20100416
Publié au recueil Lebon
10ème et 9ème sous-sections réunies
M. Martin, président
M. Brice Bohuon, rapporteur
M. Boucher Julien, rapporteur public
SCP MASSE-DESSEN, THOUVENIN, avocats
Lecture du vendredi 16 avril 2010
Vu la décision du 31 juillet 2009 par laquelle le Conseil d'Etat statuant au contentieux, avant de statuer sur les conclusions de la requête de l'ASSOCIATION AIDES, dont le siège est 14, rue Scandicci à Pantin (93508 cedex), de l'ASSOCIATION INTER-LGBT, dont le siège est 5, rue Perrée à Paris (75003), de l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE (IRIS), dont le siège est 40, rue de la Justice à Paris (75020), de la CONFEDERATION FRANCAISE DEMOCRATIQUE DU TRAVAIL, dont le siège est 4, boulevard de la Villette à Paris (75955 cedex 19), de la CONFERATION GENERALE DU TRAVAIL, dont le siège est 263, rue de Paris à Montreuil (93516 cedex), de la FEDERATION SYNDICALE UNITAIRE, dont le siège est 104, rue Romain Rolland aux Lilas (93260), du COLLECTIF CONTRE L'HOMOPHOBIE ET POUR L'EGALITE DES DROITS, dont le siège est 9, rue Joachim Colbert à Montpellier (34000), de la LIGUE DES DROITS DE L'HOMME, dont le siège est 138, rue Marcadet à Paris (75018), de l'UNION SYNDICALE SOLIDAIRES, dont le siège est 144, boulevard de la Villette à Paris (75019), du SYNDICAT DES AVOCATS DE FRANCE, dont le siège est 34, rue Saint-Lazare à Paris (75009), et du SYNDICAT DE LA MAGISTRATURE, dont le siège est 12-14, rue Charles Fournier à Paris (75013), tendant à l'annulation du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, et, en tant qu'il lui est connexe, du décret du 27 juin 2008 portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978, a ordonné un supplément d'instruction tendant à la production du projet de décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA soumis au Conseil d'Etat, de la minute de la section du Conseil d'Etat qui l'a examiné et du décret adopté, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants ;
Vu les autres pièces du dossier ;
Vu la Constitution ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le décret n° 91-1051 du 14 octobre 1991 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 ;
Vu le décret n° 2008-609 du 27 juin 2008 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Brice Bohuon, Auditeur,
- les observations de la SCP Masse-Dessen, Thouvenin, avocat de l'ASSOCIATION AIDES et autres,
- les conclusions de M. Julien Boucher, Rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Masse-Dessen, Thouvenin, avocat de l'ASSOCIATION AIDES et autres ;
Sur l'intervention présentée au soutien de la requête par M. A :
Considérant que M. A ne justifie, ni même n'allègue, qu'il disposerait d'un intérêt pour intervenir au soutien de la requête de l'ASSOCIATION AIDES et autres; qu'ainsi, son intervention n'est pas recevable ;
Sur les conclusions de la requête :
Considérant que le Premier ministre a décidé, par décret, la création d'un traitement automatisé de données à caractère personnel dénommé CRISTINA, au profit de la direction centrale du renseignement intérieur ; qu'ainsi que l'y autorise le III de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, il a, par l'article 2 d'un second décret du 27 juin 2008, dispensé de publication le décret portant création du traitement automatisé CRISTINA ; que l'ASSOCIATION AIDES et autres demandent au Conseil d'Etat l'annulation de ces deux décrets ;
Considérant que l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (...) ; qu'aux termes de l'article 8 de la même loi : I. Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (...) / IV. (...) ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26 ; que selon l'article 26 : I. Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et : / 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; (...) / L'avis de la commission est publié avec l'arrêté autorisant le traitement. / II. Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement. / III. Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission (...) ; qu'en vertu de l'article 41 : Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient. / La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications. / Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant (...) ; qu'enfin, l'article 1er du décret du 27 juin 2008 relatif aux missions et à l'organisation de la direction centrale du renseignement intérieur dispose : La direction centrale du renseignement intérieur a compétence pour lutter, sur le territoire de la République, contre toutes les activités susceptibles de constituer une atteinte aux intérêts fondamentaux de la nation. / A ce titre : / a) Elle est chargée de prévenir les activités inspirées, engagées ou soutenues par des puissances ou des organisations étrangères et de nature à menacer la sécurité du pays, et concourt à leur répression ; / b) Elle participe à la prévention et à la répression des actes terroristes ou visant à porter atteinte à l'autorité de l'Etat, au secret de la défense nationale ou au patrimoine économique du pays ; / c) Elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l'Etat ainsi qu'à la lutte, en ce domaine, contre la criminalité liée aux technologies de l'information et de la communication ; / d) Elle participe également à la surveillance des individus, groupes, organisations et à l'analyse des phénomènes de société, susceptibles, par leur caractère radical, leur inspiration ou leurs modes d'action, de porter atteinte à la sécurité nationale ;
Sur les conclusions tendant à ce que le Conseil d'Etat soumette au contradictoire certaines des dispositions du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA :
Considérant que, par une décision du 31 juillet 2009, le Conseil d'Etat statuant au contentieux a ordonné, avant de se prononcer sur la requête de l'ASSOCIATION AIDES et autres, un supplément d'instruction tendant à la production du projet de décret portant création du traitement automatisé dénommé CRISTINA soumis au Conseil d'Etat, de la minute de la section du Conseil d'Etat qui l'a examiné et du décret adopté, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants ; que par cette décision, le Conseil d'Etat a entièrement statué sur les modalités de conciliation entre les nécessités résultant du droit au recours et la protection des intérêts que les dispositions législatives de l'article 26 de la loi du 6 janvier 1978 régissant la dispense de publication, visent à protéger ; que, si les requérants soutiennent que certains éléments que comporte le décret pourraient, sans dommage pour les intérêts ainsi protégés, être rendus publics et versés au contradictoire, en tant que tels ou sous une forme synthétique, il ne pourrait en tout état de cause être satisfait à une telle demande sans méconnaître les dispositions de l'article 26 de la loi du 6 janvier 1978, par lequel le législateur s'est borné à prévoir une dispense totale de publication de l'acte autorisant certains traitements automatisés de données, sans réserver la possibilité d'une occultation partielle de certains de ses éléments ; qu'il n'appartient pas au juge de l'excès de pouvoir de se substituer aux autorités que le législateur a investies du pouvoir d'apprécier la nécessité d'une dispense de publication , mais seulement de se prononcer sur la légalité de cette dispense et ses conséquences sur l'opposabilité du texte qui en fait l'objet ; que les conclusions tendant à ce que le Conseil d'Etat soumette au débat contradictoire certaines des dispositions du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA ne peuvent, par suite, qu'être rejetées ;
Sur les conclusions à fin d'annulation :
Sur la légalité externe des décrets attaqués :
En ce qui concerne le décret du 27 juin 2008 :
Considérant qu'invité par la dixième sous-section chargée de l'instruction de l'affaire à produire les éléments permettant de répondre au moyen soulevé par les requérants et tiré de ce que la consultation du Conseil d'Etat sur le projet de décret du 27 juin 2008 aurait été irrégulière, le Premier ministre a versé au dossier le texte du projet de décret adopté par le Conseil d'Etat, qui a été communiqué aux requérants ; qu'il résulte de l'examen auquel s'est livré le Conseil d'Etat que les requérants ne sont pas fondés à soutenir que le texte du décret du 27 juin 2008 différerait à la fois du projet de texte soumis par le Premier ministre au Conseil d'Etat et du projet adopté par le Conseil d'Etat ; que, par suite, le moyen tiré de ce que la consultation du Conseil d'Etat sur le projet de décret aurait été irrégulière ne peut qu'être écarté ;
Considérant qu'aucun texte ni aucun principe ne fait obligation à un décret dispensant de publication, sur le fondement de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, un décret autorisant un traitement de données à caractère personnel intéressant la sûreté de l'Etat, la défense ou la sécurité publique, d'indiquer, même sommairement, les motifs de fait et de droit qui déterminent la décision de dispense de publication prise par l'autorité administrative ; qu'ainsi, le moyen tiré de ce que le décret litigieux du 27 juin 2008 serait irrégulier en ce qu'il n'indique pas les motifs de fait et de droit qui justifient la dispense de publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, doit être écarté ;
En ce qui concerne le décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA :
Considérant qu'il résulte du supplément d'instruction auquel il a été procédé en application de la décision du Conseil d'Etat du 31 juillet 2009 et de l'examen auquel s'est livré le Conseil d'Etat que le texte du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA ne diffère pas du projet adopté par le Conseil d'Etat ; que, par suite, le moyen tiré de ce que la consultation du Conseil d'Etat sur le projet de décret aurait été irrégulière ne peut qu'être écarté ;
En ce qui concerne les deux décrets attaqués :
Considérant qu'aux termes de l'article 22 de la Constitution du 4 octobre 1958 : Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution ; que, s'agissant d'actes de nature réglementaire, les ministres chargés de leur exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de ces actes ; que, contrairement à ce que soutiennent les requérants, l'exécution des décrets attaqués, notamment en tant qu'ils instituent un traitement automatisé de données personnelles dénommé CRISTINA dont la gestion est confiée aux seuls agents de la direction centrale du renseignement intérieur placée sous l'autorité du ministre de l'intérieur, ne comporte pas nécessairement de mesures réglementaires ou individuelles que le ministre de la défense et le garde des sceaux, ministre de la justice, auraient à signer ou à contresigner ; qu'en particulier, si l'article 3 du décret du 27 juin 2008 abroge le décret du 14 octobre 1991 portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l'article 31, alinéa 3, de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, une telle disposition n'implique, par elle-même, l'intervention d'aucune mesure d'application prise par le ministre de la défense ; qu'ainsi, l'absence de contreseing par ces deux ministres des décrets attaqués n'entache pas ceux-ci d'irrégularité ; que le moyen tiré de cette absence de contreseing doit donc être écarté ;
Considérant qu'il est constant qu'a été publiée au Journal officiel de la République française le 1er juillet 2008, en application des dispositions précitées du III de l'article 26 de la loi du 6 janvier 1978, la mention selon laquelle la Commission nationale de l'informatique et des libertés avait, par délibération n° 2008-177 du 16 juin 2008, émis un avis favorable avec réserves sur le projet de décret portant création du traitement automatisé dénommé CRISTINA ; que contrairement à ce que soutiennent les requérants, ni l'article 26 de la loi du 6 janvier 1978 ni l'article 83 du décret du 20 octobre 2005 pris pour l'application de cette loi ne font obligation de publier la teneur des réserves émises par la commission ; que, par suite, le moyen tiré de ce que le décret attaqué aurait été pris à l'issue d'une procédure irrégulière doit, en tout état de cause, être écarté ;
Sur la légalité interne des décrets attaqués :
En ce qui concerne l'article 2 du décret du 27 juin 2008 :
Considérant qu'il résulte des termes mêmes des dispositions combinées du I et du III de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, contrairement à ce que soutiennent les requérants, le pouvoir réglementaire est autorisé à dispenser de publication certains des traitements qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique, dès lors, notamment, que les données enregistrées, afin qu'elles puissent être regardées comme pertinentes au sens de l'article 6 de la loi du 6 janvier 1978, sont en adéquation avec la finalité du traitement et proportionnées à cette finalité ; qu'il résulte du supplément d'instruction auquel il a été procédé en application de la décision du Conseil d'Etat du 31 juillet 2009, et de l'examen auquel s'est livré le Conseil d'Etat du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA , que ce traitement, créé au profit de la direction centrale du renseignement intérieur, d'une part, doit être regardé comme intéressant la sûreté de l'Etat et, d'autre part, comporte des données pertinentes au regard des finalités poursuivies ; que, dès lors, les requérants ne sont fondés à soutenir ni que le pouvoir réglementaire, en dispensant de publication le décret litigieux, aurait méconnu l'article 26 de la loi du 6 janvier 1978, ni que le décret attaqué méconnaîtrait les dispositions de l'article 6 de la loi du 6 janvier 1978 ;
Considérant que le moyen tiré de ce que l'article 2 du décret du 27 juin 2008 méconnaîtrait l'article 13 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, dont les requérants se bornent à invoquer la méconnaissance sans apporter à l'appui de leurs allégations aucune circonstance de droit ou de fait, n'est pas assorti des précisions suffisantes pour en apprécier le bien-fondé ;
En ce qui concerne les deux décrets attaqués :
Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. / 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique (...) ;
Considérant que les requérants soutiennent que l'absence de publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, autorisée par l'article 2 du décret du 27 juin 2008, méconnaît le principe de sécurité juridique et porte une atteinte disproportionnée au droit au respect de la vie privée et familiale, en ce que l'ingérence permise par le décret ne peut être regardée comme prévue par la loi, dès lors qu'elle n'est, en raison de la non-publication du décret et des termes généraux de l'article 26 de la loi du 6 janvier 1978, ni accessible, ni prévisible ;
Considérant, toutefois, d'une part, que cette dispense de publication a été prévue par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et réservée aux seuls fichiers intéressant la sûreté de l'Etat, la défense ou la sécurité publique ; que l'existence de traitements automatisés de données relatifs à la lutte contre l'espionnage et le terrorisme constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale et à la sûreté publique ; qu'en application de la loi du 6 janvier 1978, la création et la mise en oeuvre de tels traitements sont assorties, en premier lieu, de garanties procédurales précisément définies, au nombre desquelles figurent la publication de la décision décidant de ne pas publier les dispositions litigieuses, permettant ainsi l'exercice d'un recours, les avis préalables obligatoires de la Commission nationale de l'informatique et des libertés, dont le sens est publié au Journal officiel de la République française, l'avis préalable des formations administratives du Conseil d'Etat, et l'exercice du droit d'accès aux données enregistrées dans de tels traitements conformément aux dispositions précitées de l'article 41 de la loi du 6 janvier 1978 ; que la création et la mise en oeuvre de tels traitements sont également assorties, en second lieu, de la garantie que constitue le pouvoir conféré au juge administratif, saisi d'un litige portant sur la légalité d'un décret non publié en application de l'article 26 de la loi du 6 janvier 1978, d'obtenir, dans le cadre de l'instruction du litige, communication de ce décret et, en tant que de besoin, des documents préparatoires correspondants, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants, afin d'apprécier la légalité des dispositions non publiées au regard, notamment, des exigences de la loi du 6 janvier 1978 ;
Considérant, d'autre part, qu'il est toujours loisible à l'administration, sous le contrôle du juge, de décider qu'un décret autorisant la création d'un traitement automatisé de données à caractère personnel, ayant pour objet et pour effet d'apporter des modifications à un traitement automatisé existant, sera dispensé de publication en application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; qu'en se bornant à soutenir que la non-publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA a, par elle-même, porté atteinte aux stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, au motif que le précédent décret autorisant le traitement automatisé de données à caractère personnel ayant le même objet, et remplacé par le présent décret, avait été publié, les requérants ne critiquent pas utilement les motifs ayant conduit les pouvoirs publics à décider, sur le fondement des exigences de la protection de la sécurité publique, en application de l'article 26 de la loi du 6 janvier 1978, de ne pas publier le décret attaqué ;
Considérant, enfin, qu'il résulte de l'examen auquel le Conseil d'Etat s'est livré, après communication du décret attaqué, que, compte tenu notamment de la finalité du traitement automatisé litigieux, de la nature des données enregistrées qui sont en adéquation avec la finalité du traitement et proportionnées à cette finalité, des conditions de leur collecte et des restrictions d'accès instituées, que le traitement automatisé dénommé CRISTINA ne porte pas au droit des individus au respect de leur vie privée et familiale une atteinte disproportionnée aux buts de protection de la sécurité publique en vue desquels a été pris le décret ; que, par suite, les moyens tirés de la méconnaissance de l'article 6 de la loi du 6 janvier 1978 et de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales doivent être écartés ; qu'il en va de même du moyen tiré de la méconnaissance du principe de sécurité juridique ;
Considérant qu'il résulte de ce qui précède que la requête de l'ASSOCIATION AIDES et autres doit être rejetée ;
D E C I D E :
--------------
Article 1er : L'intervention de M. A n'est pas admise.
Article 2 : La requête de l'ASSOCIATION AIDES et autres est rejetée.
Article 3 : La présente décision sera notifiée à l'ASSOCIATION AIDES, premier requérant dénommé, à M. Hoffer, au Premier ministre et au ministre de l'intérieur, de l'outre-mer et des collectivités territoriales. Les autres requérants seront informés de la présente décision par la SCP Masse-Dessen, Thouvenin, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.
N° 320196
ECLI:FR:CESSR:2010:320196.20100416
Publié au recueil Lebon
10ème et 9ème sous-sections réunies
M. Martin, président
M. Brice Bohuon, rapporteur
M. Boucher Julien, rapporteur public
SCP MASSE-DESSEN, THOUVENIN, avocats
Lecture du vendredi 16 avril 2010
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la décision du 31 juillet 2009 par laquelle le Conseil d'Etat statuant au contentieux, avant de statuer sur les conclusions de la requête de l'ASSOCIATION AIDES, dont le siège est 14, rue Scandicci à Pantin (93508 cedex), de l'ASSOCIATION INTER-LGBT, dont le siège est 5, rue Perrée à Paris (75003), de l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE (IRIS), dont le siège est 40, rue de la Justice à Paris (75020), de la CONFEDERATION FRANCAISE DEMOCRATIQUE DU TRAVAIL, dont le siège est 4, boulevard de la Villette à Paris (75955 cedex 19), de la CONFERATION GENERALE DU TRAVAIL, dont le siège est 263, rue de Paris à Montreuil (93516 cedex), de la FEDERATION SYNDICALE UNITAIRE, dont le siège est 104, rue Romain Rolland aux Lilas (93260), du COLLECTIF CONTRE L'HOMOPHOBIE ET POUR L'EGALITE DES DROITS, dont le siège est 9, rue Joachim Colbert à Montpellier (34000), de la LIGUE DES DROITS DE L'HOMME, dont le siège est 138, rue Marcadet à Paris (75018), de l'UNION SYNDICALE SOLIDAIRES, dont le siège est 144, boulevard de la Villette à Paris (75019), du SYNDICAT DES AVOCATS DE FRANCE, dont le siège est 34, rue Saint-Lazare à Paris (75009), et du SYNDICAT DE LA MAGISTRATURE, dont le siège est 12-14, rue Charles Fournier à Paris (75013), tendant à l'annulation du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, et, en tant qu'il lui est connexe, du décret du 27 juin 2008 portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978, a ordonné un supplément d'instruction tendant à la production du projet de décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA soumis au Conseil d'Etat, de la minute de la section du Conseil d'Etat qui l'a examiné et du décret adopté, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants ;
Vu les autres pièces du dossier ;
Vu la Constitution ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le décret n° 91-1051 du 14 octobre 1991 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 ;
Vu le décret n° 2008-609 du 27 juin 2008 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Brice Bohuon, Auditeur,
- les observations de la SCP Masse-Dessen, Thouvenin, avocat de l'ASSOCIATION AIDES et autres,
- les conclusions de M. Julien Boucher, Rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Masse-Dessen, Thouvenin, avocat de l'ASSOCIATION AIDES et autres ;
Sur l'intervention présentée au soutien de la requête par M. A :
Considérant que M. A ne justifie, ni même n'allègue, qu'il disposerait d'un intérêt pour intervenir au soutien de la requête de l'ASSOCIATION AIDES et autres; qu'ainsi, son intervention n'est pas recevable ;
Sur les conclusions de la requête :
Considérant que le Premier ministre a décidé, par décret, la création d'un traitement automatisé de données à caractère personnel dénommé CRISTINA, au profit de la direction centrale du renseignement intérieur ; qu'ainsi que l'y autorise le III de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, il a, par l'article 2 d'un second décret du 27 juin 2008, dispensé de publication le décret portant création du traitement automatisé CRISTINA ; que l'ASSOCIATION AIDES et autres demandent au Conseil d'Etat l'annulation de ces deux décrets ;
Considérant que l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (...) ; qu'aux termes de l'article 8 de la même loi : I. Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (...) / IV. (...) ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26 ; que selon l'article 26 : I. Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et : / 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; (...) / L'avis de la commission est publié avec l'arrêté autorisant le traitement. / II. Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement. / III. Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission (...) ; qu'en vertu de l'article 41 : Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient. / La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications. / Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant (...) ; qu'enfin, l'article 1er du décret du 27 juin 2008 relatif aux missions et à l'organisation de la direction centrale du renseignement intérieur dispose : La direction centrale du renseignement intérieur a compétence pour lutter, sur le territoire de la République, contre toutes les activités susceptibles de constituer une atteinte aux intérêts fondamentaux de la nation. / A ce titre : / a) Elle est chargée de prévenir les activités inspirées, engagées ou soutenues par des puissances ou des organisations étrangères et de nature à menacer la sécurité du pays, et concourt à leur répression ; / b) Elle participe à la prévention et à la répression des actes terroristes ou visant à porter atteinte à l'autorité de l'Etat, au secret de la défense nationale ou au patrimoine économique du pays ; / c) Elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l'Etat ainsi qu'à la lutte, en ce domaine, contre la criminalité liée aux technologies de l'information et de la communication ; / d) Elle participe également à la surveillance des individus, groupes, organisations et à l'analyse des phénomènes de société, susceptibles, par leur caractère radical, leur inspiration ou leurs modes d'action, de porter atteinte à la sécurité nationale ;
Sur les conclusions tendant à ce que le Conseil d'Etat soumette au contradictoire certaines des dispositions du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA :
Considérant que, par une décision du 31 juillet 2009, le Conseil d'Etat statuant au contentieux a ordonné, avant de se prononcer sur la requête de l'ASSOCIATION AIDES et autres, un supplément d'instruction tendant à la production du projet de décret portant création du traitement automatisé dénommé CRISTINA soumis au Conseil d'Etat, de la minute de la section du Conseil d'Etat qui l'a examiné et du décret adopté, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants ; que par cette décision, le Conseil d'Etat a entièrement statué sur les modalités de conciliation entre les nécessités résultant du droit au recours et la protection des intérêts que les dispositions législatives de l'article 26 de la loi du 6 janvier 1978 régissant la dispense de publication, visent à protéger ; que, si les requérants soutiennent que certains éléments que comporte le décret pourraient, sans dommage pour les intérêts ainsi protégés, être rendus publics et versés au contradictoire, en tant que tels ou sous une forme synthétique, il ne pourrait en tout état de cause être satisfait à une telle demande sans méconnaître les dispositions de l'article 26 de la loi du 6 janvier 1978, par lequel le législateur s'est borné à prévoir une dispense totale de publication de l'acte autorisant certains traitements automatisés de données, sans réserver la possibilité d'une occultation partielle de certains de ses éléments ; qu'il n'appartient pas au juge de l'excès de pouvoir de se substituer aux autorités que le législateur a investies du pouvoir d'apprécier la nécessité d'une dispense de publication , mais seulement de se prononcer sur la légalité de cette dispense et ses conséquences sur l'opposabilité du texte qui en fait l'objet ; que les conclusions tendant à ce que le Conseil d'Etat soumette au débat contradictoire certaines des dispositions du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA ne peuvent, par suite, qu'être rejetées ;
Sur les conclusions à fin d'annulation :
Sur la légalité externe des décrets attaqués :
En ce qui concerne le décret du 27 juin 2008 :
Considérant qu'invité par la dixième sous-section chargée de l'instruction de l'affaire à produire les éléments permettant de répondre au moyen soulevé par les requérants et tiré de ce que la consultation du Conseil d'Etat sur le projet de décret du 27 juin 2008 aurait été irrégulière, le Premier ministre a versé au dossier le texte du projet de décret adopté par le Conseil d'Etat, qui a été communiqué aux requérants ; qu'il résulte de l'examen auquel s'est livré le Conseil d'Etat que les requérants ne sont pas fondés à soutenir que le texte du décret du 27 juin 2008 différerait à la fois du projet de texte soumis par le Premier ministre au Conseil d'Etat et du projet adopté par le Conseil d'Etat ; que, par suite, le moyen tiré de ce que la consultation du Conseil d'Etat sur le projet de décret aurait été irrégulière ne peut qu'être écarté ;
Considérant qu'aucun texte ni aucun principe ne fait obligation à un décret dispensant de publication, sur le fondement de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, un décret autorisant un traitement de données à caractère personnel intéressant la sûreté de l'Etat, la défense ou la sécurité publique, d'indiquer, même sommairement, les motifs de fait et de droit qui déterminent la décision de dispense de publication prise par l'autorité administrative ; qu'ainsi, le moyen tiré de ce que le décret litigieux du 27 juin 2008 serait irrégulier en ce qu'il n'indique pas les motifs de fait et de droit qui justifient la dispense de publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, doit être écarté ;
En ce qui concerne le décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA :
Considérant qu'il résulte du supplément d'instruction auquel il a été procédé en application de la décision du Conseil d'Etat du 31 juillet 2009 et de l'examen auquel s'est livré le Conseil d'Etat que le texte du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA ne diffère pas du projet adopté par le Conseil d'Etat ; que, par suite, le moyen tiré de ce que la consultation du Conseil d'Etat sur le projet de décret aurait été irrégulière ne peut qu'être écarté ;
En ce qui concerne les deux décrets attaqués :
Considérant qu'aux termes de l'article 22 de la Constitution du 4 octobre 1958 : Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution ; que, s'agissant d'actes de nature réglementaire, les ministres chargés de leur exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de ces actes ; que, contrairement à ce que soutiennent les requérants, l'exécution des décrets attaqués, notamment en tant qu'ils instituent un traitement automatisé de données personnelles dénommé CRISTINA dont la gestion est confiée aux seuls agents de la direction centrale du renseignement intérieur placée sous l'autorité du ministre de l'intérieur, ne comporte pas nécessairement de mesures réglementaires ou individuelles que le ministre de la défense et le garde des sceaux, ministre de la justice, auraient à signer ou à contresigner ; qu'en particulier, si l'article 3 du décret du 27 juin 2008 abroge le décret du 14 octobre 1991 portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l'article 31, alinéa 3, de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, une telle disposition n'implique, par elle-même, l'intervention d'aucune mesure d'application prise par le ministre de la défense ; qu'ainsi, l'absence de contreseing par ces deux ministres des décrets attaqués n'entache pas ceux-ci d'irrégularité ; que le moyen tiré de cette absence de contreseing doit donc être écarté ;
Considérant qu'il est constant qu'a été publiée au Journal officiel de la République française le 1er juillet 2008, en application des dispositions précitées du III de l'article 26 de la loi du 6 janvier 1978, la mention selon laquelle la Commission nationale de l'informatique et des libertés avait, par délibération n° 2008-177 du 16 juin 2008, émis un avis favorable avec réserves sur le projet de décret portant création du traitement automatisé dénommé CRISTINA ; que contrairement à ce que soutiennent les requérants, ni l'article 26 de la loi du 6 janvier 1978 ni l'article 83 du décret du 20 octobre 2005 pris pour l'application de cette loi ne font obligation de publier la teneur des réserves émises par la commission ; que, par suite, le moyen tiré de ce que le décret attaqué aurait été pris à l'issue d'une procédure irrégulière doit, en tout état de cause, être écarté ;
Sur la légalité interne des décrets attaqués :
En ce qui concerne l'article 2 du décret du 27 juin 2008 :
Considérant qu'il résulte des termes mêmes des dispositions combinées du I et du III de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, contrairement à ce que soutiennent les requérants, le pouvoir réglementaire est autorisé à dispenser de publication certains des traitements qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique, dès lors, notamment, que les données enregistrées, afin qu'elles puissent être regardées comme pertinentes au sens de l'article 6 de la loi du 6 janvier 1978, sont en adéquation avec la finalité du traitement et proportionnées à cette finalité ; qu'il résulte du supplément d'instruction auquel il a été procédé en application de la décision du Conseil d'Etat du 31 juillet 2009, et de l'examen auquel s'est livré le Conseil d'Etat du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA , que ce traitement, créé au profit de la direction centrale du renseignement intérieur, d'une part, doit être regardé comme intéressant la sûreté de l'Etat et, d'autre part, comporte des données pertinentes au regard des finalités poursuivies ; que, dès lors, les requérants ne sont fondés à soutenir ni que le pouvoir réglementaire, en dispensant de publication le décret litigieux, aurait méconnu l'article 26 de la loi du 6 janvier 1978, ni que le décret attaqué méconnaîtrait les dispositions de l'article 6 de la loi du 6 janvier 1978 ;
Considérant que le moyen tiré de ce que l'article 2 du décret du 27 juin 2008 méconnaîtrait l'article 13 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, dont les requérants se bornent à invoquer la méconnaissance sans apporter à l'appui de leurs allégations aucune circonstance de droit ou de fait, n'est pas assorti des précisions suffisantes pour en apprécier le bien-fondé ;
En ce qui concerne les deux décrets attaqués :
Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. / 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique (...) ;
Considérant que les requérants soutiennent que l'absence de publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA, autorisée par l'article 2 du décret du 27 juin 2008, méconnaît le principe de sécurité juridique et porte une atteinte disproportionnée au droit au respect de la vie privée et familiale, en ce que l'ingérence permise par le décret ne peut être regardée comme prévue par la loi, dès lors qu'elle n'est, en raison de la non-publication du décret et des termes généraux de l'article 26 de la loi du 6 janvier 1978, ni accessible, ni prévisible ;
Considérant, toutefois, d'une part, que cette dispense de publication a été prévue par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et réservée aux seuls fichiers intéressant la sûreté de l'Etat, la défense ou la sécurité publique ; que l'existence de traitements automatisés de données relatifs à la lutte contre l'espionnage et le terrorisme constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale et à la sûreté publique ; qu'en application de la loi du 6 janvier 1978, la création et la mise en oeuvre de tels traitements sont assorties, en premier lieu, de garanties procédurales précisément définies, au nombre desquelles figurent la publication de la décision décidant de ne pas publier les dispositions litigieuses, permettant ainsi l'exercice d'un recours, les avis préalables obligatoires de la Commission nationale de l'informatique et des libertés, dont le sens est publié au Journal officiel de la République française, l'avis préalable des formations administratives du Conseil d'Etat, et l'exercice du droit d'accès aux données enregistrées dans de tels traitements conformément aux dispositions précitées de l'article 41 de la loi du 6 janvier 1978 ; que la création et la mise en oeuvre de tels traitements sont également assorties, en second lieu, de la garantie que constitue le pouvoir conféré au juge administratif, saisi d'un litige portant sur la légalité d'un décret non publié en application de l'article 26 de la loi du 6 janvier 1978, d'obtenir, dans le cadre de l'instruction du litige, communication de ce décret et, en tant que de besoin, des documents préparatoires correspondants, sans que communication des pièces produites par le ministre en réponse à cette demande soit faite aux requérants, afin d'apprécier la légalité des dispositions non publiées au regard, notamment, des exigences de la loi du 6 janvier 1978 ;
Considérant, d'autre part, qu'il est toujours loisible à l'administration, sous le contrôle du juge, de décider qu'un décret autorisant la création d'un traitement automatisé de données à caractère personnel, ayant pour objet et pour effet d'apporter des modifications à un traitement automatisé existant, sera dispensé de publication en application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; qu'en se bornant à soutenir que la non-publication du décret portant création du traitement automatisé de données à caractère personnel dénommé CRISTINA a, par elle-même, porté atteinte aux stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, au motif que le précédent décret autorisant le traitement automatisé de données à caractère personnel ayant le même objet, et remplacé par le présent décret, avait été publié, les requérants ne critiquent pas utilement les motifs ayant conduit les pouvoirs publics à décider, sur le fondement des exigences de la protection de la sécurité publique, en application de l'article 26 de la loi du 6 janvier 1978, de ne pas publier le décret attaqué ;
Considérant, enfin, qu'il résulte de l'examen auquel le Conseil d'Etat s'est livré, après communication du décret attaqué, que, compte tenu notamment de la finalité du traitement automatisé litigieux, de la nature des données enregistrées qui sont en adéquation avec la finalité du traitement et proportionnées à cette finalité, des conditions de leur collecte et des restrictions d'accès instituées, que le traitement automatisé dénommé CRISTINA ne porte pas au droit des individus au respect de leur vie privée et familiale une atteinte disproportionnée aux buts de protection de la sécurité publique en vue desquels a été pris le décret ; que, par suite, les moyens tirés de la méconnaissance de l'article 6 de la loi du 6 janvier 1978 et de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales doivent être écartés ; qu'il en va de même du moyen tiré de la méconnaissance du principe de sécurité juridique ;
Considérant qu'il résulte de ce qui précède que la requête de l'ASSOCIATION AIDES et autres doit être rejetée ;
D E C I D E :
--------------
Article 1er : L'intervention de M. A n'est pas admise.
Article 2 : La requête de l'ASSOCIATION AIDES et autres est rejetée.
Article 3 : La présente décision sera notifiée à l'ASSOCIATION AIDES, premier requérant dénommé, à M. Hoffer, au Premier ministre et au ministre de l'intérieur, de l'outre-mer et des collectivités territoriales. Les autres requérants seront informés de la présente décision par la SCP Masse-Dessen, Thouvenin, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.