Conseil d'État
N° 451653
ECLI:FR:CECHR:2022:451653.20220722
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Myriam Benlolo Carabot, rapporteur
Mme Esther de Moustier, rapporteur public
Lecture du vendredi 22 juillet 2022
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique enregistrés les 13 avril 2021, 15 juillet 2021 et 8 juillet 2022 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2021-148 du 11 février 2021 portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
2°) d'enjoindre au ministre de l'économie, des finances et de la relance de procéder à la suppression des données traitées depuis l'entrée en vigueur de ce décret, sous astreinte de 1 024 euros par jour de retard ;
3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
- " La collecte généralisée et indifférenciée, par une administration de données, dont des données à caractère personnel sensibles et le contenu de correspondances, sur l'unique critère que ces données ont été manifestement rendues publiques, aux fins de détection automatisée de manquements aux règles fiscales n'est-elle pas incompatible avec l'article 4 de la directive 2016/680 lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux ' " ;
- " La collecte généralisée et indifférenciée, par une administration, de données, dont des données à caractère personnel sensibles et le contenu de correspondances, sur l'unique critère que ces données ont été manifestement rendues publiques, aux fins de conception d'outils de détection automatisée de manquements aux règles fiscales n'est-elle pas incompatible avec l'article 5 du règlement 2016/679 lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux ' " ;
4°) de mettre à la charge de l'Etat la somme de 4 096 euros au titre de l'article L. 761 1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la consommation ;
- le code des douanes ;
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de Mme B... de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. L'article 154 de la loi du 28 décembre 2019 de finances pour 2020 a autorisé à titre expérimental, pour une durée de trois ans, la mise en oeuvre, par l'administration fiscale et l'administration des douanes et droits indirects, pour les besoins de la recherche de certaines infractions pénales et de certains manquements susceptibles de donner lieu au prononcé de sanctions administratives en matière fiscale ou douanière, d'un dispositif de collecte et d'exploitation automatisé des contenus librement accessibles sur les sites internet des opérateurs de plateforme en ligne mentionnés au 2° du I de l'article L. 111-7 du code de la consommation.
2. L'association La Quadrature du Net demande l'annulation pour excès de pouvoir du décret du 11 février 2021 portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne, pris pour l'application de cet article 154.
Sur le cadre juridique applicable au décret attaqué :
3. Le décret attaqué autorise deux catégories de traitements de données à caractère personnel distinctes. D'une part, ses articles 4 et 5 définissent, respectivement pour la direction générale des finances publiques et pour la direction générale des douanes et droits indirects, les modalités de mise en oeuvre des traitements de la phase dite d'apprentissage et de conception, dont le but consiste à développer des outils de collecte, de nettoyage et d'analyse des données afin d'identifier les titulaires des comptes et pages internet et de modéliser et d'identifier les agissements susceptibles de révéler la commission des infractions et manquements mentionnés au I de l'article 154 de la loi du 28 décembre 2019. D'autre part, ses articles 6, 7 et 8 définissent, pour les mêmes administrations, les modalités de mise en oeuvre des traitements pendant la phase dite d'exploitation, qui consiste à déployer les outils conçus lors de la première phase en vue de collecter sur les plateformes, de sélectionner et de qualifier les données pertinentes afin de recueillir des indices destinés à être exploités par les services compétents pour la recherche de ces infractions et manquements.
4. En premier lieu, il résulte des dispositions des I et II de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, au sens du droit français, et qui portent sur des données sensibles, mentionnées au I de l'article 6 de cette loi, doivent être autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. L'ensemble des traitements mentionnés au point 3 relèvent de ces dispositions, eu égard à leur objet.
5. En second lieu, en vertu de l'article 87 de la même loi, les traitements de données à caractère personnel mis en oeuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, par toute autorité publique compétente relèvent non des dispositions du règlement 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit A..., mais des dispositions du titre III de cette loi, pris pour la transposition de la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. Selon le considérant 13 de cette directive : " La notion d'infraction pénale au sens de la présente directive devrait être une notion autonome du droit de l'Union conforme à l'interprétation de la Cour de justice de l'Union européenne (...) ". Il ressort de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt Aklagaren c/ Hans Akerberg Fransson du 26 février 2013 (C-617/10), que, aux fins de l'appréciation de la nature pénale de sanctions, notamment fiscales, il y a lieu de tenir compte de la qualification juridique de l'infraction en droit national, de la nature même de l'infraction et de la nature ainsi que du degré de sévérité de la sanction que risque de subir l'intéressé.
6. D'une part, le dispositif expérimental autorisé par le I de l'article 154 de la loi du 28 décembre 2019 peut porter, sur les infractions douanières mentionnées à l'article 1810 du code général des impôts et aux articles 414, 414-2 et 415 du code des douanes, qui sont passibles d'une peine d'emprisonnement, ainsi que sur les infractions relatives à la fabrication, la détention, la vente et le transport illicites de tabac mentionnées à l'article 1791 ter du code général des impôts, qui peuvent donner lieu, selon l'article L. 235 du livre des procédures fiscales, au prononcé, par le tribunal correctionnel, d'amendes pouvant atteindre 500 000 euros pour des faits commis en bande organisée, et, sur l'exercice d'une activité occulte non déclarée dans les délais légaux, sanctionnée d'une majoration de 80 % par le c du 1. de l'article 1728 du code général des impôts, sur l'inexactitude ou l'omission déclarative portant sur le domicile fiscal, sanctionnée d'une majoration comprise entre 40 et 80 %, visée aux articles 4B et 1729 de ce code. Eu égard à la nature de ces différentes infractions ainsi qu'à la nature et à la gravité des sanctions encourues, celles-ci constituent des infractions pénales au sens de la directive du 27 avril 2016 et du titre III de la loi du 6 janvier 1978.
7. D'autre part, si les traitements mis en oeuvre lors de la phase d'apprentissage et de conception ont seulement pour finalité le développement d'outils de collecte et d'analyse et que les données recueillies et exploitées lors de cette phase ne donnent lieu, en vertu du IV de l'article 4 et du III de l'article 5 du décret attaqué, à aucun envoi d'informations à un service de contrôle ou de gestion en vue de poursuivre des infractions ou des manquements, ces outils visent exclusivement à la recherche des infractions pénales mentionnées au point 6, selon les termes mêmes du décret attaqué. Par suite, ces traitements relèvent, eu égard à leur finalité, du champ d'application du titre III de la loi du 6 janvier 1978. Il en va de même des traitements mis en oeuvre lors de la phase d'exploitation, consistant à déployer les outils de collecte précédemment conçus aux fins de rechercher sur les plateformes en ligne les mêmes infractions.
Sur la légalité externe du décret attaqué :
8. En premier lieu, l'article 22 de la Constitution dispose que : " Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution. " S'agissant d'un acte réglementaire, les ministres chargés de son exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de cet acte.
9. D'une part, le décret attaqué n'appelait aucune mesure réglementaire ou individuelle d'exécution de la part du ministre de l'intérieur, qui n'avait donc pas à le contresigner.
10. D'autre part, les ministres et secrétaires d'Etat délégués auprès d'un ministre ne sont investis d'aucune compétence propre et ne peuvent, en conséquence, être regardés comme ayant compétence pour prendre les mesures nécessaires à l'exécution d'un acte signé par le Premier ministre. Par suite, l'absence de contreseing du secrétaire d'Etat chargé de la transition numérique et des communications électroniques, du ministre délégué chargé des petites et moyennes entreprises, du ministre délégué chargé de l'industrie et du secrétaire d'Etat chargé de l'économie sociale, solidaire et responsable, tous quatre placés auprès du ministre de l'économie, des finances et de la relance, n'est pas de nature à entacher le décret d'irrégularité.
11. En second lieu, il ressort des pièces du dossier que la Commission nationale de l'informatique et des libertés a été saisie pour avis du projet de décret le 30 juillet 2020, par une demande de l'administration accompagnée de l'analyse d'impact sur la protection des données personnelles prévue par l'article 90 de la loi du 6 janvier 1978. La délibération de la CNIL n° 2020-124 du 10 décembre 2020 portant avis sur le projet de décret a été publiée au Journal officiel le 13 février 2021. Il s'ensuit que le moyen tiré de l'absence de consultation de la CNIL et du défaut de transmission de l'analyse d'impact sur la protection des données à cette autorité manque en fait.
Sur la légalité interne du décret attaqué :
12. En vertu de l'article 4 de la loi du 6 janvier 1978, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et doivent être adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant du titre III de cette loi, non excessives. Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
En ce qui concerne le moyen tiré de ce que le décret attaqué autoriserait une collecte généralisée et indifférenciée de données à caractère personnel :
13. L'association requérante soutient que le décret attaqué méconnaîtrait l'article 5 du A..., l'article 4 de la directive du 27 avril 2016 et l'article 4 de la loi du 6 janvier 1978, lus à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux de l'Union européenne, en ce qu'il autoriserait une collecte généralisée et indifférenciée des informations disponibles sur les plateformes et réseaux sociaux, préalablement à la détermination des seules données pertinentes pour les finalités poursuivies par le traitement.
14. Toutefois, en premier lieu, il résulte des dispositions de l'article 154 de la loi du 28 décembre 2019, telles qu'interprétées par le Conseil constitutionnel dans sa décision n° 2019-796 DC du 27 décembre 2019, que la collecte de données autorisée ne peut porter que sur les contenus qui, d'une part, sont librement accessibles sur les sites internet des opérateurs de plateforme de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service, à l'exclusion de contenus accessibles après saisie d'un mot de passe ou inscription sur le site, et, d'autre part, se rapportent à la personne qui les a délibérément divulguées, ainsi que le rappelle l'article 2 du décret attaqué. Ce même article 2 précise aussi que le recueil des données au moyen d'identités d'emprunt ou de comptes spécialement utilisés à cet effet par l'administration est prohibée, sous réserve de comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de plateforme. En outre, cet article 2 interdit toute exploitation des commentaires et autres formes d'interactions qui peuvent figurer sur la page personnelle d'un utilisateur. Enfin, l'article 154 de la loi du 28 décembre 2019 fait obstacle à l'utilisation d'un dispositif de reconnaissance faciale. Il en résulte que la collecte autorisée par le décret attaqué ne porte pas sur l'intégralité des contenus mis en ligne par un utilisateur mais fait l'objet de plusieurs restrictions, communes aux deux phases, celle d'apprentissage et de conception et celle d'exploitation.
15. En deuxième lieu, il résulte des articles 4 et 5 du décret attaqué que les traitements mis en oeuvre lors de la phase d'apprentissage et de conception consistent, dans un premier temps, à sélectionner des échantillons de données de taille limitée, selon le cas, d'entreprises, de personnes physiques ou de pages internet, dont l'ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d'analyse, puis, dans un deuxième temps, à recueillir sur les plateformes les seules données d'identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons pour, dans un troisième temps, en tirer des " indicateurs " ou des " critères de pertinence ", comme des mots-clés, des ratios, ou des indications de dates et de lieux, qui sont susceptibles de caractériser l'un des manquements ou l'une des infractions mentionnés au point 6, sans être eux-mêmes des données à caractère personnel. Ainsi, les article 4 et 5 n'autorisent en aucun cas, contrairement à ce qui est soutenu, une collecte généralisée et indifférenciée de données à caractère personnel lors de la phase d'apprentissage et de conception.
16. En troisième lieu, les articles 6, 7 et 8 du décret attaqué définissent les catégories de données collectées en phase d'exploitation. Il s'agit, d'une part, de données permettant d'identifier les personnes auxquelles elles se rapportent, pouvant inclure l'état civil, l'identifiant du profil, le pseudonyme, les coordonnées et le lien vers d'autres pages susceptibles d'être rattachées au même utilisateur et, d'autre part, de données susceptibles de caractériser la commission de l'une des infractions ou de l'un des manquements mentionnés au point 6. Ces données sont collectées sur la base des seuls indicateurs et critères de pertinence qui ont été validés lors de la phase d'apprentissage et de conception, et qui ont fait l'objet à ce stade d'une analyse par des agents de l'administration, prévue au IV de l'article 4 et au III de l'article 5 du décret, afin d'en exclure ceux qui impliquent la collecte de données sensibles au sens du I de l'article 6 de la loi du 6 janvier 1978. Ces indicateurs et critères de pertinence permettent ainsi, en phase d'exploitation, d'aboutir à des résultats identifiant des personnes physiques ou morales à l'égard desquelles pourrait peser un soupçon raisonnable de commission d'un manquement ou d'une infraction et de circonscrire la collecte sur les plateformes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions. Il s'agit notamment, pour la recherche d'activités occultes, d'identifier les typologies, mots-clés et expressions caractérisant les comptes d'utilisateurs ouverts dans un secteur d'activité et de détecter des comportements suspects telle que, par exemple, la mise en ligne par un utilisateur non professionnel, lors d'une même journée, d'un nombre d'annonces d'une certaine catégorie supérieur à un seuil déterminé. Pour la recherche des manquements aux règles de domiciliation fiscale, le dispositif consiste à définir des indicateurs de lieux géographiques à partir de contenus comme des écrits, des images, des photographies, des sons, des signaux ou des vidéos, croisés avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images, et, sur cette base, de ne collecter, sur les plateformes, que les données susceptibles de caractériser une localisation géographique rattachée à une personne physique identifiée, parmi les personnes figurant sur une liste préalablement déterminée par l'administration fiscale comme étant susceptibles d'être en infraction avec ces règles, à l'aide du traitement automatisé de lutte contre la fraude dénommé " ciblage de la fraude et valorisation des requêtes ". Enfin, pour la recherche des infractions douanières, il s'agit de collecter des données de contenus telles que les photographies des produits vendus, les données d'expédition de la marchandise ainsi que les données permettant de mesurer l'audience de la page, l'ancienneté et l'activité du profil qui sont de nature à révéler des activités et transactions commerciales suspectes, en recourant à des modèles de détection des activités frauduleuses conçues lors de la phase d'apprentissage et de conception. Il appartient à l'administration, sous le contrôle de la Commission nationale de l'informatique et des libertés et du juge, de veiller à la spécificité, à la fiabilité et au caractère non discriminatoire des modèles, des indicateurs et des critères de pertinence validés à la clôture de la phase d'apprentissage et de conception et mis en oeuvre en phase d'exploitation.
17. En quatrième lieu, il résulte de l'article 154 de la loi du 28 décembre 2019 et des articles 6 à 8 du décret que si, en dépit des garanties précédemment mentionnées, des données sensibles au sens du I de l'article 6 de la loi du 6 janvier 1978 et des données insusceptibles de révéler l'un des manquements ou l'une des infractions recherchés viennent néanmoins à être recueillies par l'administration, en phase d'exploitation, par la mise en oeuvre des outils d'analyse et de collecte développés en phase d'apprentissage et de conception, ces données doivent être détruites, pour les données sensibles et les données manifestement sans lien avec les infractions ou manquements recherchés, au plus tard cinq jours ouvrés après leur collecte, sans pouvoir faire l'objet d'une exploitation aux fins de recherche d'un manquement ou d'une infraction, et, pour les autres données, au plus tard trente jours après leur collecte. En outre, lorsque les traitements réalisés permettent d'établir qu'il existe des indices qu'une personne a pu commettre un des manquements ou infractions mentionnés à l'article 154 de la loi du 28 décembre 2019, les informations traités sont transmises de manière sécurisée et contrôlée aux seuls agents des services de la direction générale des finances publiques ou de la direction générale des douanes et des droits indirects chargés de la recherche et du contrôle qui sont territorialement compétents. Les informations traitées ne peuvent donner lieu à une mesure individuelle produisant des effets préjudiciables sur les personnes concernées qu'à l'issue d'un examen individuel des données par un agent habilité et par des moyens non automatisés.
18. Il résulte de tout ce qui précède que, eu égard notamment aux restrictions apportées au champ des données collectées et aux garanties qui encadrent l'élaboration des indicateurs, critères de pertinence et modèles issus de la phase d'apprentissage et de conception et l'élimination à bref délai des données sensibles ou non pertinentes, l'association requérante n'est pas fondée à soutenir que le décret attaqué autoriserait, en phase d'apprentissage et de conception comme en phase d'exploitation, une collecte généralisée et indifférenciée de données à caractère personnel. Le moyen tiré de ce qu'il méconnaîtrait à ce titre l'article 4 de la directive du 27 avril 2016 et l'article 4 de la loi du 6 janvier 1978 doit donc, en tout état de cause, être écarté. La requérante ne peut, en outre, utilement invoquer la méconnaissance de l'article 5 du A..., qui n'est pas applicable aux traitements litigieux.
En ce qui concerne les autres moyens :
19. D'une part, les données d'identification des personnes concernées, traitées lors des deux phases, sont celles qui permettent de mettre en relation des contenus librement accessibles sur l'une des plateformes relevant du champ d'application du dispositif avec l'identité des titulaires des comptes qui les ont délibérément divulguées. Ces données peuvent porter sur l'état-civil des intéressés, le pseudonyme qu'ils utilisent, leurs coordonnées postales, téléphoniques et électroniques, ou encore le lien vers d'autres pages personnelles dont ils seraient titulaires. Contrairement à ce qui est soutenu, l'adresse postale, le numéro de téléphone et l'adresse électronique constituent des données adéquates, pertinentes et nécessaires aux fins d'identifier les personnes concernées. En outre, il résulte de l'article 154 de la loi du 28 décembre 2019 qu'aucune identification par reconnaissance faciale n'est autorisée.
20. D'autre part, les données susceptibles de caractériser l'un des manquements ou l'une des infractions mentionnés au point 6 sont, en phase d'apprentissage et de conception, celles qui ont fait l'objet des analyses, sélections, contrôles et validations effectuées par les agents mentionnés à l'article 9 du décret attaqué et, en phase d'exploitation, celles qui correspondent aux indicateurs et critères de pertinence validés lors de la phase précédente, et qui relèvent des catégories de données limitativement énumérées par le décret. Les notions de " données d'identification " et de " données susceptibles de caractériser l'exercice d'une activité professionnelle ou d'une activité illicite " sont suffisamment définies par le décret. Le moyen tiré de ce que ce dernier méconnaîtrait l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la norme ne peut qu'être écarté.
21. Il résulte de tout ce qui précède, et sans qu'il y ait lieu, en l'absence d'applicabilité de l'article 5 du A... et de doute raisonnable quant à la portée de l'article 4 de la directive du 27 avril 2016, de saisir la Cour de justice de l'Union européenne à titre préjudiciel, que la requête de l'association La Quadrature du Net doit être rejetée, y compris ses conclusions tendant au prononcé d'une injonction et celles présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de l'association La Quadrature du Net est rejetée.
Article 2 : La présente décision sera notifiée à l'association La Quadrature du Net, à la Première ministre et au ministre de l'économie, des finances et de la souveraineté industrielle et numérique.
N° 451653
ECLI:FR:CECHR:2022:451653.20220722
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Myriam Benlolo Carabot, rapporteur
Mme Esther de Moustier, rapporteur public
Lecture du vendredi 22 juillet 2022
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique enregistrés les 13 avril 2021, 15 juillet 2021 et 8 juillet 2022 au secrétariat du contentieux du Conseil d'Etat, l'association La Quadrature du Net demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2021-148 du 11 février 2021 portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
2°) d'enjoindre au ministre de l'économie, des finances et de la relance de procéder à la suppression des données traitées depuis l'entrée en vigueur de ce décret, sous astreinte de 1 024 euros par jour de retard ;
3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
- " La collecte généralisée et indifférenciée, par une administration de données, dont des données à caractère personnel sensibles et le contenu de correspondances, sur l'unique critère que ces données ont été manifestement rendues publiques, aux fins de détection automatisée de manquements aux règles fiscales n'est-elle pas incompatible avec l'article 4 de la directive 2016/680 lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux ' " ;
- " La collecte généralisée et indifférenciée, par une administration, de données, dont des données à caractère personnel sensibles et le contenu de correspondances, sur l'unique critère que ces données ont été manifestement rendues publiques, aux fins de conception d'outils de détection automatisée de manquements aux règles fiscales n'est-elle pas incompatible avec l'article 5 du règlement 2016/679 lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux ' " ;
4°) de mettre à la charge de l'Etat la somme de 4 096 euros au titre de l'article L. 761 1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la consommation ;
- le code des douanes ;
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de Mme B... de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. L'article 154 de la loi du 28 décembre 2019 de finances pour 2020 a autorisé à titre expérimental, pour une durée de trois ans, la mise en oeuvre, par l'administration fiscale et l'administration des douanes et droits indirects, pour les besoins de la recherche de certaines infractions pénales et de certains manquements susceptibles de donner lieu au prononcé de sanctions administratives en matière fiscale ou douanière, d'un dispositif de collecte et d'exploitation automatisé des contenus librement accessibles sur les sites internet des opérateurs de plateforme en ligne mentionnés au 2° du I de l'article L. 111-7 du code de la consommation.
2. L'association La Quadrature du Net demande l'annulation pour excès de pouvoir du décret du 11 février 2021 portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne, pris pour l'application de cet article 154.
Sur le cadre juridique applicable au décret attaqué :
3. Le décret attaqué autorise deux catégories de traitements de données à caractère personnel distinctes. D'une part, ses articles 4 et 5 définissent, respectivement pour la direction générale des finances publiques et pour la direction générale des douanes et droits indirects, les modalités de mise en oeuvre des traitements de la phase dite d'apprentissage et de conception, dont le but consiste à développer des outils de collecte, de nettoyage et d'analyse des données afin d'identifier les titulaires des comptes et pages internet et de modéliser et d'identifier les agissements susceptibles de révéler la commission des infractions et manquements mentionnés au I de l'article 154 de la loi du 28 décembre 2019. D'autre part, ses articles 6, 7 et 8 définissent, pour les mêmes administrations, les modalités de mise en oeuvre des traitements pendant la phase dite d'exploitation, qui consiste à déployer les outils conçus lors de la première phase en vue de collecter sur les plateformes, de sélectionner et de qualifier les données pertinentes afin de recueillir des indices destinés à être exploités par les services compétents pour la recherche de ces infractions et manquements.
4. En premier lieu, il résulte des dispositions des I et II de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, au sens du droit français, et qui portent sur des données sensibles, mentionnées au I de l'article 6 de cette loi, doivent être autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. L'ensemble des traitements mentionnés au point 3 relèvent de ces dispositions, eu égard à leur objet.
5. En second lieu, en vertu de l'article 87 de la même loi, les traitements de données à caractère personnel mis en oeuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, par toute autorité publique compétente relèvent non des dispositions du règlement 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit A..., mais des dispositions du titre III de cette loi, pris pour la transposition de la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. Selon le considérant 13 de cette directive : " La notion d'infraction pénale au sens de la présente directive devrait être une notion autonome du droit de l'Union conforme à l'interprétation de la Cour de justice de l'Union européenne (...) ". Il ressort de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt Aklagaren c/ Hans Akerberg Fransson du 26 février 2013 (C-617/10), que, aux fins de l'appréciation de la nature pénale de sanctions, notamment fiscales, il y a lieu de tenir compte de la qualification juridique de l'infraction en droit national, de la nature même de l'infraction et de la nature ainsi que du degré de sévérité de la sanction que risque de subir l'intéressé.
6. D'une part, le dispositif expérimental autorisé par le I de l'article 154 de la loi du 28 décembre 2019 peut porter, sur les infractions douanières mentionnées à l'article 1810 du code général des impôts et aux articles 414, 414-2 et 415 du code des douanes, qui sont passibles d'une peine d'emprisonnement, ainsi que sur les infractions relatives à la fabrication, la détention, la vente et le transport illicites de tabac mentionnées à l'article 1791 ter du code général des impôts, qui peuvent donner lieu, selon l'article L. 235 du livre des procédures fiscales, au prononcé, par le tribunal correctionnel, d'amendes pouvant atteindre 500 000 euros pour des faits commis en bande organisée, et, sur l'exercice d'une activité occulte non déclarée dans les délais légaux, sanctionnée d'une majoration de 80 % par le c du 1. de l'article 1728 du code général des impôts, sur l'inexactitude ou l'omission déclarative portant sur le domicile fiscal, sanctionnée d'une majoration comprise entre 40 et 80 %, visée aux articles 4B et 1729 de ce code. Eu égard à la nature de ces différentes infractions ainsi qu'à la nature et à la gravité des sanctions encourues, celles-ci constituent des infractions pénales au sens de la directive du 27 avril 2016 et du titre III de la loi du 6 janvier 1978.
7. D'autre part, si les traitements mis en oeuvre lors de la phase d'apprentissage et de conception ont seulement pour finalité le développement d'outils de collecte et d'analyse et que les données recueillies et exploitées lors de cette phase ne donnent lieu, en vertu du IV de l'article 4 et du III de l'article 5 du décret attaqué, à aucun envoi d'informations à un service de contrôle ou de gestion en vue de poursuivre des infractions ou des manquements, ces outils visent exclusivement à la recherche des infractions pénales mentionnées au point 6, selon les termes mêmes du décret attaqué. Par suite, ces traitements relèvent, eu égard à leur finalité, du champ d'application du titre III de la loi du 6 janvier 1978. Il en va de même des traitements mis en oeuvre lors de la phase d'exploitation, consistant à déployer les outils de collecte précédemment conçus aux fins de rechercher sur les plateformes en ligne les mêmes infractions.
Sur la légalité externe du décret attaqué :
8. En premier lieu, l'article 22 de la Constitution dispose que : " Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution. " S'agissant d'un acte réglementaire, les ministres chargés de son exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de cet acte.
9. D'une part, le décret attaqué n'appelait aucune mesure réglementaire ou individuelle d'exécution de la part du ministre de l'intérieur, qui n'avait donc pas à le contresigner.
10. D'autre part, les ministres et secrétaires d'Etat délégués auprès d'un ministre ne sont investis d'aucune compétence propre et ne peuvent, en conséquence, être regardés comme ayant compétence pour prendre les mesures nécessaires à l'exécution d'un acte signé par le Premier ministre. Par suite, l'absence de contreseing du secrétaire d'Etat chargé de la transition numérique et des communications électroniques, du ministre délégué chargé des petites et moyennes entreprises, du ministre délégué chargé de l'industrie et du secrétaire d'Etat chargé de l'économie sociale, solidaire et responsable, tous quatre placés auprès du ministre de l'économie, des finances et de la relance, n'est pas de nature à entacher le décret d'irrégularité.
11. En second lieu, il ressort des pièces du dossier que la Commission nationale de l'informatique et des libertés a été saisie pour avis du projet de décret le 30 juillet 2020, par une demande de l'administration accompagnée de l'analyse d'impact sur la protection des données personnelles prévue par l'article 90 de la loi du 6 janvier 1978. La délibération de la CNIL n° 2020-124 du 10 décembre 2020 portant avis sur le projet de décret a été publiée au Journal officiel le 13 février 2021. Il s'ensuit que le moyen tiré de l'absence de consultation de la CNIL et du défaut de transmission de l'analyse d'impact sur la protection des données à cette autorité manque en fait.
Sur la légalité interne du décret attaqué :
12. En vertu de l'article 4 de la loi du 6 janvier 1978, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et doivent être adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant du titre III de cette loi, non excessives. Il résulte de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
En ce qui concerne le moyen tiré de ce que le décret attaqué autoriserait une collecte généralisée et indifférenciée de données à caractère personnel :
13. L'association requérante soutient que le décret attaqué méconnaîtrait l'article 5 du A..., l'article 4 de la directive du 27 avril 2016 et l'article 4 de la loi du 6 janvier 1978, lus à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux de l'Union européenne, en ce qu'il autoriserait une collecte généralisée et indifférenciée des informations disponibles sur les plateformes et réseaux sociaux, préalablement à la détermination des seules données pertinentes pour les finalités poursuivies par le traitement.
14. Toutefois, en premier lieu, il résulte des dispositions de l'article 154 de la loi du 28 décembre 2019, telles qu'interprétées par le Conseil constitutionnel dans sa décision n° 2019-796 DC du 27 décembre 2019, que la collecte de données autorisée ne peut porter que sur les contenus qui, d'une part, sont librement accessibles sur les sites internet des opérateurs de plateforme de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service, à l'exclusion de contenus accessibles après saisie d'un mot de passe ou inscription sur le site, et, d'autre part, se rapportent à la personne qui les a délibérément divulguées, ainsi que le rappelle l'article 2 du décret attaqué. Ce même article 2 précise aussi que le recueil des données au moyen d'identités d'emprunt ou de comptes spécialement utilisés à cet effet par l'administration est prohibée, sous réserve de comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de plateforme. En outre, cet article 2 interdit toute exploitation des commentaires et autres formes d'interactions qui peuvent figurer sur la page personnelle d'un utilisateur. Enfin, l'article 154 de la loi du 28 décembre 2019 fait obstacle à l'utilisation d'un dispositif de reconnaissance faciale. Il en résulte que la collecte autorisée par le décret attaqué ne porte pas sur l'intégralité des contenus mis en ligne par un utilisateur mais fait l'objet de plusieurs restrictions, communes aux deux phases, celle d'apprentissage et de conception et celle d'exploitation.
15. En deuxième lieu, il résulte des articles 4 et 5 du décret attaqué que les traitements mis en oeuvre lors de la phase d'apprentissage et de conception consistent, dans un premier temps, à sélectionner des échantillons de données de taille limitée, selon le cas, d'entreprises, de personnes physiques ou de pages internet, dont l'ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d'analyse, puis, dans un deuxième temps, à recueillir sur les plateformes les seules données d'identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons pour, dans un troisième temps, en tirer des " indicateurs " ou des " critères de pertinence ", comme des mots-clés, des ratios, ou des indications de dates et de lieux, qui sont susceptibles de caractériser l'un des manquements ou l'une des infractions mentionnés au point 6, sans être eux-mêmes des données à caractère personnel. Ainsi, les article 4 et 5 n'autorisent en aucun cas, contrairement à ce qui est soutenu, une collecte généralisée et indifférenciée de données à caractère personnel lors de la phase d'apprentissage et de conception.
16. En troisième lieu, les articles 6, 7 et 8 du décret attaqué définissent les catégories de données collectées en phase d'exploitation. Il s'agit, d'une part, de données permettant d'identifier les personnes auxquelles elles se rapportent, pouvant inclure l'état civil, l'identifiant du profil, le pseudonyme, les coordonnées et le lien vers d'autres pages susceptibles d'être rattachées au même utilisateur et, d'autre part, de données susceptibles de caractériser la commission de l'une des infractions ou de l'un des manquements mentionnés au point 6. Ces données sont collectées sur la base des seuls indicateurs et critères de pertinence qui ont été validés lors de la phase d'apprentissage et de conception, et qui ont fait l'objet à ce stade d'une analyse par des agents de l'administration, prévue au IV de l'article 4 et au III de l'article 5 du décret, afin d'en exclure ceux qui impliquent la collecte de données sensibles au sens du I de l'article 6 de la loi du 6 janvier 1978. Ces indicateurs et critères de pertinence permettent ainsi, en phase d'exploitation, d'aboutir à des résultats identifiant des personnes physiques ou morales à l'égard desquelles pourrait peser un soupçon raisonnable de commission d'un manquement ou d'une infraction et de circonscrire la collecte sur les plateformes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions. Il s'agit notamment, pour la recherche d'activités occultes, d'identifier les typologies, mots-clés et expressions caractérisant les comptes d'utilisateurs ouverts dans un secteur d'activité et de détecter des comportements suspects telle que, par exemple, la mise en ligne par un utilisateur non professionnel, lors d'une même journée, d'un nombre d'annonces d'une certaine catégorie supérieur à un seuil déterminé. Pour la recherche des manquements aux règles de domiciliation fiscale, le dispositif consiste à définir des indicateurs de lieux géographiques à partir de contenus comme des écrits, des images, des photographies, des sons, des signaux ou des vidéos, croisés avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images, et, sur cette base, de ne collecter, sur les plateformes, que les données susceptibles de caractériser une localisation géographique rattachée à une personne physique identifiée, parmi les personnes figurant sur une liste préalablement déterminée par l'administration fiscale comme étant susceptibles d'être en infraction avec ces règles, à l'aide du traitement automatisé de lutte contre la fraude dénommé " ciblage de la fraude et valorisation des requêtes ". Enfin, pour la recherche des infractions douanières, il s'agit de collecter des données de contenus telles que les photographies des produits vendus, les données d'expédition de la marchandise ainsi que les données permettant de mesurer l'audience de la page, l'ancienneté et l'activité du profil qui sont de nature à révéler des activités et transactions commerciales suspectes, en recourant à des modèles de détection des activités frauduleuses conçues lors de la phase d'apprentissage et de conception. Il appartient à l'administration, sous le contrôle de la Commission nationale de l'informatique et des libertés et du juge, de veiller à la spécificité, à la fiabilité et au caractère non discriminatoire des modèles, des indicateurs et des critères de pertinence validés à la clôture de la phase d'apprentissage et de conception et mis en oeuvre en phase d'exploitation.
17. En quatrième lieu, il résulte de l'article 154 de la loi du 28 décembre 2019 et des articles 6 à 8 du décret que si, en dépit des garanties précédemment mentionnées, des données sensibles au sens du I de l'article 6 de la loi du 6 janvier 1978 et des données insusceptibles de révéler l'un des manquements ou l'une des infractions recherchés viennent néanmoins à être recueillies par l'administration, en phase d'exploitation, par la mise en oeuvre des outils d'analyse et de collecte développés en phase d'apprentissage et de conception, ces données doivent être détruites, pour les données sensibles et les données manifestement sans lien avec les infractions ou manquements recherchés, au plus tard cinq jours ouvrés après leur collecte, sans pouvoir faire l'objet d'une exploitation aux fins de recherche d'un manquement ou d'une infraction, et, pour les autres données, au plus tard trente jours après leur collecte. En outre, lorsque les traitements réalisés permettent d'établir qu'il existe des indices qu'une personne a pu commettre un des manquements ou infractions mentionnés à l'article 154 de la loi du 28 décembre 2019, les informations traités sont transmises de manière sécurisée et contrôlée aux seuls agents des services de la direction générale des finances publiques ou de la direction générale des douanes et des droits indirects chargés de la recherche et du contrôle qui sont territorialement compétents. Les informations traitées ne peuvent donner lieu à une mesure individuelle produisant des effets préjudiciables sur les personnes concernées qu'à l'issue d'un examen individuel des données par un agent habilité et par des moyens non automatisés.
18. Il résulte de tout ce qui précède que, eu égard notamment aux restrictions apportées au champ des données collectées et aux garanties qui encadrent l'élaboration des indicateurs, critères de pertinence et modèles issus de la phase d'apprentissage et de conception et l'élimination à bref délai des données sensibles ou non pertinentes, l'association requérante n'est pas fondée à soutenir que le décret attaqué autoriserait, en phase d'apprentissage et de conception comme en phase d'exploitation, une collecte généralisée et indifférenciée de données à caractère personnel. Le moyen tiré de ce qu'il méconnaîtrait à ce titre l'article 4 de la directive du 27 avril 2016 et l'article 4 de la loi du 6 janvier 1978 doit donc, en tout état de cause, être écarté. La requérante ne peut, en outre, utilement invoquer la méconnaissance de l'article 5 du A..., qui n'est pas applicable aux traitements litigieux.
En ce qui concerne les autres moyens :
19. D'une part, les données d'identification des personnes concernées, traitées lors des deux phases, sont celles qui permettent de mettre en relation des contenus librement accessibles sur l'une des plateformes relevant du champ d'application du dispositif avec l'identité des titulaires des comptes qui les ont délibérément divulguées. Ces données peuvent porter sur l'état-civil des intéressés, le pseudonyme qu'ils utilisent, leurs coordonnées postales, téléphoniques et électroniques, ou encore le lien vers d'autres pages personnelles dont ils seraient titulaires. Contrairement à ce qui est soutenu, l'adresse postale, le numéro de téléphone et l'adresse électronique constituent des données adéquates, pertinentes et nécessaires aux fins d'identifier les personnes concernées. En outre, il résulte de l'article 154 de la loi du 28 décembre 2019 qu'aucune identification par reconnaissance faciale n'est autorisée.
20. D'autre part, les données susceptibles de caractériser l'un des manquements ou l'une des infractions mentionnés au point 6 sont, en phase d'apprentissage et de conception, celles qui ont fait l'objet des analyses, sélections, contrôles et validations effectuées par les agents mentionnés à l'article 9 du décret attaqué et, en phase d'exploitation, celles qui correspondent aux indicateurs et critères de pertinence validés lors de la phase précédente, et qui relèvent des catégories de données limitativement énumérées par le décret. Les notions de " données d'identification " et de " données susceptibles de caractériser l'exercice d'une activité professionnelle ou d'une activité illicite " sont suffisamment définies par le décret. Le moyen tiré de ce que ce dernier méconnaîtrait l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la norme ne peut qu'être écarté.
21. Il résulte de tout ce qui précède, et sans qu'il y ait lieu, en l'absence d'applicabilité de l'article 5 du A... et de doute raisonnable quant à la portée de l'article 4 de la directive du 27 avril 2016, de saisir la Cour de justice de l'Union européenne à titre préjudiciel, que la requête de l'association La Quadrature du Net doit être rejetée, y compris ses conclusions tendant au prononcé d'une injonction et celles présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de l'association La Quadrature du Net est rejetée.
Article 2 : La présente décision sera notifiée à l'association La Quadrature du Net, à la Première ministre et au ministre de l'économie, des finances et de la souveraineté industrielle et numérique.