Conseil d'État
N° 332886
ECLI:FR:CESSR:2013:332886.20130311
Inédit au recueil Lebon
10ème et 9ème sous-sections réunies
M. Nicolas Labrune, rapporteur
Mme Delphine Hedary, rapporteur public
SCP MONOD, COLIN, avocats
Lecture du lundi 11 mars 2013
Vu, 1° sous le n° 332886, la requête sommaire et le mémoire complémentaire, enregistrés les 20 octobre 2009 et 5 janvier 2010 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'association SOS Racisme - Touche pas à mon pote, dont le siège est 51, avenue de Flandre à Paris (75019) ; l'association SOS Racisme - Touche pas à mon pote demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
Vu, 2° sous le n° 334189, la requête sommaire et le mémoire complémentaire, enregistrés les 30 novembre 2009 et 23 février 2010, présentés pour le Syndicat de la magistrature, dont le siège est 12-14, rue Charles Fourier à Paris (75013), le Syndicat des avocats de France, dont le siège est 34, rue Saint-Lazare à Paris (75009), l'Union syndicale Solidaires, dont le siège est 144, boulevard de la Villette à Paris (75019), la Ligue de l'enseignement, dont le siège est 3, rue Récamier à Paris (75341 Cedex 07), la Ligue des droits de l'Homme, dont le siège est 138, rue Marcadet à Paris (75018), le Groupe d'information et de soutien des immigrés (GISTI), dont le siège est 3, villa Marcès à Paris (75011), la Fédération syndicale unitaire, dont le siège est 104, rue Romain Rolland aux Lilas (93260), la Confédération générale du travail (CGT), dont le siège est 263, rue de Paris à Montreuil (93516 Cedex), la Confédération française démocratique du travail (CFDT), dont le siège est 4, boulevard de la Villette à Paris (75955 Cedex 19), l'association Imaginons un réseau internet solidaire (IRIS), dont le siège est 40, rue de la Justice à Paris (75020), l'association INTER-LGBT, dont le siège est 5, rue Perrée à Paris (75003) et l'association AIDES, dont le siège est 14, rue Scandicci à Pantin (93508 Cedex) ; les organisations requérantes demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
....................................................................................
Vu les autres pièces des dossiers ;
Vu la note en délibéré, enregistrée le 13 février 2013, présentée pour l'association SOS Racisme - Touche pas à mon pote, sous le n° 332886 ;
Vu la Constitution, notamment ses articles 1er et 22 ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment ses articles 8 à 11 ;
Vu la convention relative aux droits de l'enfant, notamment ses articles 3 et 16 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, notamment ses articles 5 et 6 ;
Vu la loi n° 51-711 du 7 juin 1951 ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le décret n° 2009-318 du 20 mars 2009 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Nicolas Labrune, Auditeur,
- les observations de la SCP Monod, Colin, avocat de l'association SOS Racisme - Touche pas à mon pote, et de la SCP Masse-Dessen, Thouvenin, Coudray, avocat du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigres (GISTI), de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire (IRIS), de l'association INTER-LGBT et de l'association AIDES ,
- les conclusions de Mme Delphine Hedary, rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Monod, Colin, avocat de l'association SOS Racisme - Touche pas à mon pote, et à la SCP Masse-Dessen, Thouvenin, Coudray, avocat du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigres (GISTI), de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire (IRIS), de l'association INTER-LGBT et de l'association AIDES ;
1. Considérant que les requêtes visées ci-dessus sont dirigées contre le même décret du 16 octobre 2009 portant création d'un traitement automatisé de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ; qu'il y a lieu de les joindre pour statuer par une seule décision ;
Sur l'intervention du Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) :
2. Considérant que le Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) a intérêt à l'annulation du décret attaqué ; qu'ainsi, son intervention est recevable ;
Sur la légalité externe :
En ce qui concerne la compétence du pouvoir réglementaire :
3. Considérant, en premier lieu, qu'en vertu des dispositions combinées du I et du IV de l'article 8 et du II de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ; que la constitutionnalité de ces dispositions législatives ne peut être contestée que par la voie d'une question prioritaire de constitutionnalité ; que la question prioritaire de constitutionnalité soulevée par les organisations requérantes à l'encontre de ces dispositions n'a pas été renvoyée au Conseil constitutionnel ; que, par suite et en application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat après avis de la Commission nationale de l'informatique et des libertés, le traitement automatisé relatif à la prévention des atteintes à la sécurité publique ; que le pouvoir réglementaire était également compétent, en vertu des dispositions combinées du IV de l'article 8 et du II de l'article 26 de la loi du 6 janvier 1978, pour déroger, par le décret attaqué, à l'interdiction posée par le I de l'article 8 de cette même loi ;
4. Considérant, en deuxième lieu, que les organisations requérantes ne sauraient invoquer utilement les dispositions de la Déclaration universelle des droits de l'homme, qui ne figure pas au nombre des traités et accords qui, ayant été régulièrement ratifiés ou approuvés, ont, aux termes de l'article 55 de la Constitution, une autorité supérieure à celle de la loi ;
5. Considérant, en troisième lieu, que si en vertu des stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales les restrictions apportées à la protection de la vie privée doivent être " prévues par la loi ", ces mots doivent s'entendre des conditions prévues par des textes généraux, le cas échéant de valeur réglementaire, pris en conformité avec les dispositions constitutionnelles ; que les organisations requérantes ne sont, par suite, pas fondées à soutenir que ces stipulations faisaient obstacle à ce que le pouvoir réglementaire pût compétemment créer le traitement automatisé relatif à la prévention des atteintes à la sécurité publique ;
6. Considérant, en quatrième lieu, que les dispositions du décret attaqué n'ont ni pour objet ni pour effet de fixer des règles pénales ; que, par suite, les organisations requérantes ne sauraient utilement soutenir que le pouvoir réglementaire aurait, de manière incompétente, porté atteinte aux principes fondamentaux reconnus par les lois de la République d'atténuation de la responsabilité pénale des mineurs en fonction de l'âge et de nécessité de rechercher le relèvement éducatif et moral des enfants délinquants par des mesures adaptées à leur âge et à leur personnalité, prononcées par une juridiction spécialisée ou selon des procédures appropriées ;
En ce qui concerne la régularité de la procédure suivie :
7. Considérant, en premier lieu, qu'il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, telle qu'elle a été produite au dossier par le ministre de l'intérieur, que le texte publié ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement, et du texte adopté par la section de l'intérieur ; qu'ainsi, aucune méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne saurait être retenue ;
8. Considérant, en deuxième lieu, que l'article 1 bis de la loi du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques dispose, dans sa rédaction applicable à la date du décret attaqué que : " I. Le Conseil national de l'information statistique est chargé, auprès de l'Institut national de la statistique et des études économiques, d'organiser la concertation entre les producteurs et les utilisateurs de la statistique publique. Il fait des propositions pour l'élaboration du programme de travaux statistiques et la coordination des enquêtes statistiques menées par les personnes chargées d'une mission de service public. (...) " ; qu'aux termes de l'article 1er du décret du 20 mars 2009 relatif au Conseil national de l'information statistique et au comité du secret statistique, dont l'article 29 abroge à compter du 1er mai 2009 le décret du 7 avril 2005 : " Le Conseil national de l'information statistique institué par l'article 1er bis de la loi du 7 juin 1951 susvisée assure une fonction de concertation au cours des étapes de conception, de production et de diffusion de l'information statistique publique, que celle-ci provienne des enquêtes statistiques et des recensements ou de l'exploitation à des fins d'information générale des données issues de l'activité administrative. / Il donne son avis notamment : / (...) 5° Sur les projets d'exploitation, à des fins d'information générale, des données issues de l'activité des administrations, des organismes publics et des organismes privés chargés d'un service public " ;
9. Considérant qu'il résulte de ces dispositions qu'un traitement automatisé de données ne doit être soumis à l'avis préalable du Conseil national de l'information statistique que lorsque sa réalisation, décidée dans le cadre de la loi du 7 juin 1951, entraîne soit l'exploitation, à des fins d'intérêt général, de données issues d'une administration, soit la création d'un traitement à cette fin, soumis en tant que tel à avis de la Commission nationale de l'informatique et des libertés ; qu'il suit de là que la simple mise en oeuvre, ainsi que l'autorise le 2° de l'article 6 de la loi du 6 janvier 1978, d'une fonction statistique d'un traitement automatisé de données par l'administration concernée ne relève pas du champ des avis du Conseil national de l'information statistique ; que le décret attaqué n'a eu ni pour objet, ni pour effet de déclencher une " enquête statistique " au sens de la loi du 7 juin 1951 ; qu'il n'a pas davantage, contrairement à ce que soutiennent les organisations requérantes, été créé sur le fondement du 7° du II de l'article 8 de la loi du 6 janvier 1978, qui, dans le cas où un traitement automatisé réalisé, dans le respect de la loi du 7 juin 1951, par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels, prévoit d'enregistrer celles des données dont le I de l'article 8 interdit en principe l'utilisation, impose le recours à une procédure spécifique ; qu'ainsi, le décret attaqué, n'avait pas à être précédé de l'avis du Conseil national de l'information statistique ; que, par suite, le moyen tiré du défaut de consultation de ce conseil doit être écarté ;
10. Considérant, en troisième lieu, que les organisations requérantes soutiennent que l'avis que la Commission nationale de l'informatique et des libertés a rendu sur le décret attaqué est irrégulier, faute que celle-ci ait disposé de suffisamment d'informations relatives aux précautions techniques prises par le responsable du traitement créé par le décret pour garantir la sécurité des données ; qu'aux termes du premier alinéa de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès " ; que si ces dispositions imposent au responsable d'un traitement, une fois le traitement en fonctionnement, de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, elles sont sans incidence sur la légalité de l'acte par lequel le traitement est autorisé ; que le moyen est, par suite, et en tout état de cause, inopérant ;
En ce qui concerne le moyen tiré du défaut de contreseings :
11. Considérant qu'aux termes de l'article 22 de la Constitution : " Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution " ; que, s'agissant d'actes de nature réglementaire, les ministres chargés de leur exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de ces actes ; que, contrairement à ce que soutiennent les organisations requérantes, l'exécution du décret attaqué ne comporte pas nécessairement de mesures réglementaires ou individuelles qu'un ministre autre que celui de l'intérieur aurait à signer ou à contresigner ; que la portée de l'exigence du contreseing doit s'apprécier, dans le cas d'un décret modificatif, en fonction des matières auxquelles se rapportent les modifications apportées au décret initial ; que si l'article 11 du décret attaqué modifie l'article 1er du décret du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ce n'est que pour ajouter, dans la liste qui figure à cet article, le traitement créé par le décret attaqué ; qu'ainsi, le décret attaqué pouvait ne pas être revêtu du contreseing de chacun des ministres ayant contresigné le décret du 15 mai 2007 qu'il modifiait, le seul contreseing du ministre concerné suffisant à sa régularité ; qu'il résulte de ce qui précède que le décret attaqué ne requérait le contreseing que du seul ministre de l'intérieur ; que, dès lors que le décret attaqué comporte ce contreseing, le moyen tiré du défaut de contreseings doit être écarté ;
Sur la légalité interne :
En ce qui concerne le moyen tiré de la méconnaissance de l'article 1er de la Constitution :
12. Considérant qu'aux termes de l'article 1er de la Constitution : " La France assure l'égalité devant la loi de tous les citoyens, sans distinction d'origine, de race ou de religion " ;
13. Considérant qu'en disposant que " Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données concernant les personnes mentionnées à l'article 1er et relatives : / (...) - à l'origine géographique (...) ", l'article 3 du décret attaqué ne saurait méconnaître les dispositions constitutionnelles précitées dès lors que les données pouvant être enregistrées au titre de l'origine géographique, d'une part, doivent être en rapport direct avec le motif de l'enregistrement de la personne en cause dans le traitement et, d'autre part, ne peuvent être que de nature factuelle et objective ;
En ce qui concerne les moyens tirés de la méconnaissance de la présomption d'innocence et de l'absence de contrôle d'un magistrat sur le fonctionnement du traitement :
14. Considérant que le deuxième alinéa de l'article 1er du décret attaqué autorise l'enregistrement dans le traitement intitulé " Prévention des atteintes à la sécurité publique " d'informations sur des personnes " susceptibles d'être impliquées dans des actions de violences collectives" ; que le 8° de l'article 2 de ce même décret autorise l'enregistrement d'agissements " susceptibles de recevoir une qualification pénale " ; que, toutefois, le fait pour une personne d'être regardée comme " susceptible d'être impliquée dans des actions de violences collectives ", au sens de l'article 1er du décret, n'emporte ni déclaration ni présomption de culpabilité et ne saurait ainsi méconnaître le principe de la présomption d'innocence ; que, de la même façon, le fait pour un agissement d'être regardé comme " susceptible de recevoir une qualification pénale " au sens de l'article 2 du décret ne confère à cet agissement aucune qualification pénale ; qu'il ne saurait, par suite, être utilement soutenu que le traitement ne pourrait fonctionner que sous le contrôle d'un magistrat ;
En ce qui concerne le moyen tiré de la violation du principe fondamental reconnu par les lois de la République selon lequel les règles applicables aux mineurs en difficulté doivent rechercher leur relèvement éducatif et moral :
15. Considérant, ainsi qu'il a été dit au point 6, que les organisations requérantes ne sauraient utilement soutenir que le décret attaqué méconnaît le principe fondamental reconnu par les lois de la République selon lequel les règles applicables aux mineurs en difficulté doivent rechercher leur relèvement éducatif et moral, dès lors que les dispositions de ce décret n'ont ni pour objet ni pour effet de fixer des règles pénales et ne sauraient donc porter atteinte à ce principe ;
En ce qui concerne les moyens tirés de la méconnaissance de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, des articles 3-1 et 16 de la convention internationale relative aux droits de l'enfant, des articles 5 et 6 de la convention n° 108 du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, et de l'article 6 de la loi du 6 janvier 1978 :
16. Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. /2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui " ; qu'aux termes de l'article 3-1 de la convention relative aux droits de l'enfant, signée à New York le 26 janvier 1990 : " Dans toutes les décisions qui concernent les enfants, qu'elles soient le fait des institutions publiques ou privées de protection sociale, des tribunaux, des autorités administratives ou des organes législatifs, l'intérêt supérieur de l'enfant doit être une considération primordiale " ; qu'aux termes de l'article 16 de cette même convention : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes " ; qu'aux termes de l'article 5 de la convention n° 108 du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel : " Les données à caractère personnel faisant l'objet d'un traitement automatisé sont : / a. obtenues et traitées loyalement et licitement ; / b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ; / c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ; / d. exactes et si nécessaire mises à jour ; / e. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées " ; qu'aux termes de l'article 6 de cette même convention : " Les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales " ; qu'aux termes de l'article 6 de la loi du 6 janvier 1978 : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / 1° Les données sont collectées et traitées de manière loyale et licite ; / 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (...) ; / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; / 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; / 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées " ;
17. Considérant qu'il résulte de l'ensemble de ces stipulations et dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adaptée, nécessaire et proportionnée au regard de ces finalités ;
Quant aux finalités du traitement :
18. Considérant qu'aux termes de l'article 1er du décret attaqué, le traitement de données à caractère personnel, intitulé " Prévention des atteintes à la sécurité publique", a pour finalité " de recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique " et a " notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives " ; que les finalités légitimes de protection de la sécurité publique ainsi assignées au traitement sont énoncées de façon suffisamment précise ; qu'en outre, l'indication du motif pour lequel il est procédé à l'enregistrement, prévue par le 1° de l'article 2 du décret attaqué, permettra de contrôler que seules sont enregistrées dans le traitement des informations relatives aux personnes visées par les dispositions précitées de l'article 1er ;
Quant aux données enregistrées :
19. Considérant, en premier lieu, que l'article 2 du décret attaqué autorise l'enregistrement, " dans la stricte mesure où elles sont nécessaires à la poursuite de la finalité mentionnée à l'article 1er ", des catégories de données à caractère personnel suivantes : " (...) 2° Informations ayant trait à l'état civil, à la nationalité et à la profession, adresses physiques, numéros de téléphone et adresses électroniques ; / (...) 7° Activités publiques, comportement et déplacements ; / 8° Agissements susceptibles de recevoir une qualification pénale ; / 9° Personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé " ; que ces catégories de données sont désignées de façon suffisamment précise au regard des finalités du traitement ; que les données enregistrées en application de ces dispositions ne peuvent l'être que dans la stricte mesure où elles sont nécessaires à la poursuite des finalités du traitement et doivent, en conséquence, être en rapport direct avec le motif de l'enregistrement dans le traitement de la personne en cause ; qu'en application du premier alinéa de l'article 3 du décret attaqué, aucune donnée à caractère personnel qui ferait apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ne pourra être enregistrée à ce titre ; que l'enregistrement d'agissements " susceptibles de recevoir une qualification pénale " n'a ni pour objet ni pour effet de conférer une qualification pénale à ces agissements et ne confère pas une finalité de police judiciaire au traitement ; que le 9° de l'article 2 du décret attaqué n'autorise l'enregistrement que de l'identité des " personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé ", à l'exclusion de toute autre information sur ces personnes ;
20. Considérant, en second lieu, que l'article 3 du décret attaqué dispose que : " Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données concernant les personnes mentionnées à l'article 1er et relatives : / (...) à l'origine géographique ; / - à des activités politiques, philosophiques, religieuses ou syndicales (...) " ; que ces catégories de données sont énoncées de façon suffisamment précise au regard des finalités du traitement ; que les données pouvant être enregistrées à ce titre doivent, d'une part, être en rapport direct avec le motif de l'enregistrement dans le traitement de la personne en cause, d'autre part, n'être que de nature factuelle et objective ; qu'il est interdit, en application du dernier alinéa de l'article 3 du décret attaqué, de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données ;
21. Considérant qu'il résulte de l'ensemble de ces règles et limitations que le choix, la collecte et le traitement des données enregistrées dans le traitement automatisé sont effectués de manière adaptée, nécessaire et proportionnée au regard des finalités poursuivies par le traitement ;
Quant à la durée de conservation des données :
22. Considérant que l'article 4 du décret attaqué dispose que : " Les données mentionnées aux articles 2 et 3 ne peuvent être conservées plus de dix ans après l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement " ; que cette durée de dix ans n'excède pas la durée nécessaire pour répondre aux finalités du traitement ; qu'est sans incidence à cet égard la durée durant laquelle sont conservées les informations relatives aux consultations du traitement automatisé ;
Quant à l'accès au traitement automatisé :
23. Considérant qu'aux termes de l'article 6 du décret attaqué : " Dans la limite du besoin d'en connaître, y compris pour des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 susvisée, sont autorisés à accéder aux données mentionnées aux articles 2 et 3 : / 1° Les fonctionnaires relevant de la sous-direction de l'information générale de la direction centrale de la sécurité publique, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique ; / 2° Les fonctionnaires des directions départementales de la sécurité publique affectés dans les services d'information générale, individuellement désignés et spécialement habilités par le directeur départemental ; / 3° Les fonctionnaires de la préfecture de police affectés dans les services chargés du renseignement, individuellement désignés et spécialement habilités par le préfet de police. / Les fonctionnaires des groupes spécialisés dans la lutte contre les violences urbaines ou les phénomènes de bandes, individuellement désignés et spécialement habilités par le directeur départemental de la sécurité publique ou par le préfet de police, sont autorisés à accéder aux données mentionnées aux articles 2 et 3 relevant de la finalité mentionnée au deuxième alinéa de l'article 1er. / En outre, peut être destinataire des données mentionnées aux articles 2 et 3, dans la limite du besoin d'en connaître, tout autre agent d'un service de la police nationale ou de la gendarmerie nationale, sur demande expresse précisant l'identité du demandeur, l'objet et les motifs de la consultation. Les demandes sont agréées par les responsables des services mentionnés aux 1° à 3° " ;
24. Considérant, en premier lieu, que l'article 8 du décret attaqué dispose que : " Le traitement ne fait l'objet d'aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d'autres traitements ou fichiers " ; qu'une interconnexion doit être regardée comme l'objet même d'un traitement qui permet d'accéder à, d'exploiter, et de traiter automatiquement les données collectées pour un autre traitement et enregistrées dans le fichier qui en est issu ; que la possibilité de consulter le traitement intitulé " Prévention des atteintes à la sécurité publique " pour des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 ne constitue aucunement une interconnexion, un rapprochement ou une mise en relation avec d'autres traitements ou fichiers et qu'elle répond aux finalités du traitement ;
25. Considérant, en second lieu, que les personnes ayant habituellement accès au traitement sont limitativement énumérées et doivent avoir été individuellement désignées et spécialement habilitées ; que si tout autre agent d'un service de la police nationale ou de la gendarmerie nationale peut être destinataire des données enregistrées dans le traitement, ce n'est qu'à la suite d'une demande expresse précisant son identité, l'objet et les motifs de sa demande, celle-ci devant être agréée par les responsables des services ayant habituellement accès au traitement ; que la possibilité d'accéder au traitement " dans la limite du besoin d'en connaître " est suffisamment encadrée dès lors qu'elle renvoie ainsi aux finalités du traitement ; que l'enregistrement des informations relatives à la consultation du traitement et leur conservation pendant une durée de cinq ans permettront de contrôler que le traitement ne fait pas l'objet de consultations abusives ; que le moyen tiré de ce que le décret attaqué prévoirait un accès trop large aux informations traitées doit, par suite, être écarté ;
Quant à l'application du décret aux mineurs âgés d'au moins treize ans :
26. Considérant que l'article 5 du décret attaqué autorise l'enregistrement de données relatives aux mineurs âgés d'au moins treize ans ; qu'aucune stipulation conventionnelle, notamment pas celles des articles 3-1 et 16 de la convention relative aux droits de l'enfant, ni aucune disposition législative ou réglementaire ni aucun principe ne fait obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs ; qu'en l'espèce, ne peuvent être concernés que les mineurs " au nombre des personnes mentionnées à l'article 1er ", c'est-à-dire dont l'activité individuelle ou collective indique qu'ils peuvent porter atteinte à la sécurité publique ; que la durée de conservation des données est réduite, en ce qui concerne les mineurs, à trois ans à compter de l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement ; que, dans ces conditions, en tant qu'ils concernent les mineurs âgés d'au moins treize ans, le choix, la collecte et le traitement des données sont effectués de manière adaptée, nécessaire et proportionnée au regard des finalités du traitement ;
En ce qui concerne les moyens tirés de la violation des articles 9, 10 et 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales :
27. Considérant que le décret attaqué ne porte par lui-même aucune atteinte ni à la liberté de pensée, de conscience et de religion, ni à la liberté d'expression, ni à la liberté de réunion et d'association ; que, par suite, les organisations requérantes ne sont pas fondées à soutenir qu'il méconnaîtrait les articles 9, 10 et 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
En ce qui concerne les moyens tirés de la méconnaissance des articles 32, 34, 38 et 39 de la loi du 6 janvier 1978 :
28. Considérant, en premier lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 32 de la loi du 6 janvier 1978 en disposant que le droit d'information ne s'applique pas au traitement " Prévention des atteintes à la sécurité publique ", ce moyen ne peut qu'être écarté dès lors, d'une part, que le V de cet article 32 prévoit explicitement la possibilité que le droit d'information ne s'applique pas aux données qui n'ont pas été recueillies auprès de la personne concernée et qui sont " utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant (...) la sécurité publique (...), dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement " et, d'autre part, que les données à caractère personnel enregistrées dans le traitement créé par le décret attaqué ne sont pas recueillies auprès de la personne concernée ;
29. Considérant, en deuxième lieu, que les organisations requérantes soutiennent que le décret attaqué méconnaît l'article 34 de la loi du 6 janvier 1978 dès lors qu'il n'énonce pas suffisamment précisément les précautions techniques que le responsable du traitement doit prendre pour garantir la sécurité des données ; que, toutefois, ainsi qu'il a été dit au point 10, si les dispositions de l'article 34 de la loi du 6 janvier 1978 imposent au responsable d'un traitement, une fois le traitement en fonctionnement, de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, elles sont sans incidence sur la légalité de l'acte par lequel le traitement est autorisé ; que le moyen est, par suite, inopérant ;
30. Considérant, en troisième lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 38 de la loi du 6 janvier 1978 en disposant que le droit d'opposition ne s'applique pas au traitement " Prévention des atteintes à la sécurité publique ", ce moyen ne peut qu'être écarté dès lors que, si cet article 38 prévoit le droit d'opposition en son premier alinéa, il précise en son dernier alinéa que : " Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement " ;
31. Considérant, en quatrième lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 39 de la loi du 6 janvier 1978 en prévoyant que le droit d'accès aux données s'exerce dans les conditions prévues par l'article 41 de cette loi et non dans celles prévues par cet article 39, ce moyen ne peut qu'être écarté dès lors que l'article 41 précise en son premier alinéa que : " Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient " ;
32. Considérant qu'il résulte de tout ce qui précède que les requérants ne sont pas fondés à demander l'annulation du décret attaqué ; que, par suite, leurs conclusions tendant à l'application de l'article L. 761-1 du code de justice administrative ne peuvent qu'être rejetées ;
D E C I D E :
--------------
Article 1er : L'intervention du Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) est admise.
Article 2 : Les requêtes de l'association SOS Racisme - Touche pas à mon pote et du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigrés, de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire, de l'association INTER-LGBT et de l'association AIDES sont rejetées.
Article 3 : La présente décision sera notifiée à l'association SOS Racisme - Touche pas à mon pote, au Syndicat de la magistrature, premier requérant dénommé de la requête n° 334189, au Premier ministre et au ministre de l'intérieur.
Les autres requérants de la requête n° 334189 seront informés de la présente décision par la SCP H. Masse-Dessen, G. Thouvenin, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.
N° 332886
ECLI:FR:CESSR:2013:332886.20130311
Inédit au recueil Lebon
10ème et 9ème sous-sections réunies
M. Nicolas Labrune, rapporteur
Mme Delphine Hedary, rapporteur public
SCP MONOD, COLIN, avocats
Lecture du lundi 11 mars 2013
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu, 1° sous le n° 332886, la requête sommaire et le mémoire complémentaire, enregistrés les 20 octobre 2009 et 5 janvier 2010 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'association SOS Racisme - Touche pas à mon pote, dont le siège est 51, avenue de Flandre à Paris (75019) ; l'association SOS Racisme - Touche pas à mon pote demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
Vu, 2° sous le n° 334189, la requête sommaire et le mémoire complémentaire, enregistrés les 30 novembre 2009 et 23 février 2010, présentés pour le Syndicat de la magistrature, dont le siège est 12-14, rue Charles Fourier à Paris (75013), le Syndicat des avocats de France, dont le siège est 34, rue Saint-Lazare à Paris (75009), l'Union syndicale Solidaires, dont le siège est 144, boulevard de la Villette à Paris (75019), la Ligue de l'enseignement, dont le siège est 3, rue Récamier à Paris (75341 Cedex 07), la Ligue des droits de l'Homme, dont le siège est 138, rue Marcadet à Paris (75018), le Groupe d'information et de soutien des immigrés (GISTI), dont le siège est 3, villa Marcès à Paris (75011), la Fédération syndicale unitaire, dont le siège est 104, rue Romain Rolland aux Lilas (93260), la Confédération générale du travail (CGT), dont le siège est 263, rue de Paris à Montreuil (93516 Cedex), la Confédération française démocratique du travail (CFDT), dont le siège est 4, boulevard de la Villette à Paris (75955 Cedex 19), l'association Imaginons un réseau internet solidaire (IRIS), dont le siège est 40, rue de la Justice à Paris (75020), l'association INTER-LGBT, dont le siège est 5, rue Perrée à Paris (75003) et l'association AIDES, dont le siège est 14, rue Scandicci à Pantin (93508 Cedex) ; les organisations requérantes demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
....................................................................................
Vu les autres pièces des dossiers ;
Vu la note en délibéré, enregistrée le 13 février 2013, présentée pour l'association SOS Racisme - Touche pas à mon pote, sous le n° 332886 ;
Vu la Constitution, notamment ses articles 1er et 22 ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment ses articles 8 à 11 ;
Vu la convention relative aux droits de l'enfant, notamment ses articles 3 et 16 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, notamment ses articles 5 et 6 ;
Vu la loi n° 51-711 du 7 juin 1951 ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le décret n° 2009-318 du 20 mars 2009 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Nicolas Labrune, Auditeur,
- les observations de la SCP Monod, Colin, avocat de l'association SOS Racisme - Touche pas à mon pote, et de la SCP Masse-Dessen, Thouvenin, Coudray, avocat du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigres (GISTI), de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire (IRIS), de l'association INTER-LGBT et de l'association AIDES ,
- les conclusions de Mme Delphine Hedary, rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Monod, Colin, avocat de l'association SOS Racisme - Touche pas à mon pote, et à la SCP Masse-Dessen, Thouvenin, Coudray, avocat du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigres (GISTI), de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire (IRIS), de l'association INTER-LGBT et de l'association AIDES ;
1. Considérant que les requêtes visées ci-dessus sont dirigées contre le même décret du 16 octobre 2009 portant création d'un traitement automatisé de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ; qu'il y a lieu de les joindre pour statuer par une seule décision ;
Sur l'intervention du Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) :
2. Considérant que le Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) a intérêt à l'annulation du décret attaqué ; qu'ainsi, son intervention est recevable ;
Sur la légalité externe :
En ce qui concerne la compétence du pouvoir réglementaire :
3. Considérant, en premier lieu, qu'en vertu des dispositions combinées du I et du IV de l'article 8 et du II de l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ; que la constitutionnalité de ces dispositions législatives ne peut être contestée que par la voie d'une question prioritaire de constitutionnalité ; que la question prioritaire de constitutionnalité soulevée par les organisations requérantes à l'encontre de ces dispositions n'a pas été renvoyée au Conseil constitutionnel ; que, par suite et en application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat après avis de la Commission nationale de l'informatique et des libertés, le traitement automatisé relatif à la prévention des atteintes à la sécurité publique ; que le pouvoir réglementaire était également compétent, en vertu des dispositions combinées du IV de l'article 8 et du II de l'article 26 de la loi du 6 janvier 1978, pour déroger, par le décret attaqué, à l'interdiction posée par le I de l'article 8 de cette même loi ;
4. Considérant, en deuxième lieu, que les organisations requérantes ne sauraient invoquer utilement les dispositions de la Déclaration universelle des droits de l'homme, qui ne figure pas au nombre des traités et accords qui, ayant été régulièrement ratifiés ou approuvés, ont, aux termes de l'article 55 de la Constitution, une autorité supérieure à celle de la loi ;
5. Considérant, en troisième lieu, que si en vertu des stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales les restrictions apportées à la protection de la vie privée doivent être " prévues par la loi ", ces mots doivent s'entendre des conditions prévues par des textes généraux, le cas échéant de valeur réglementaire, pris en conformité avec les dispositions constitutionnelles ; que les organisations requérantes ne sont, par suite, pas fondées à soutenir que ces stipulations faisaient obstacle à ce que le pouvoir réglementaire pût compétemment créer le traitement automatisé relatif à la prévention des atteintes à la sécurité publique ;
6. Considérant, en quatrième lieu, que les dispositions du décret attaqué n'ont ni pour objet ni pour effet de fixer des règles pénales ; que, par suite, les organisations requérantes ne sauraient utilement soutenir que le pouvoir réglementaire aurait, de manière incompétente, porté atteinte aux principes fondamentaux reconnus par les lois de la République d'atténuation de la responsabilité pénale des mineurs en fonction de l'âge et de nécessité de rechercher le relèvement éducatif et moral des enfants délinquants par des mesures adaptées à leur âge et à leur personnalité, prononcées par une juridiction spécialisée ou selon des procédures appropriées ;
En ce qui concerne la régularité de la procédure suivie :
7. Considérant, en premier lieu, qu'il ressort de la copie de la minute de la section de l'intérieur du Conseil d'Etat, telle qu'elle a été produite au dossier par le ministre de l'intérieur, que le texte publié ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement, et du texte adopté par la section de l'intérieur ; qu'ainsi, aucune méconnaissance des règles qui gouvernent l'examen par le Conseil d'Etat des projets de décret ne saurait être retenue ;
8. Considérant, en deuxième lieu, que l'article 1 bis de la loi du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques dispose, dans sa rédaction applicable à la date du décret attaqué que : " I. Le Conseil national de l'information statistique est chargé, auprès de l'Institut national de la statistique et des études économiques, d'organiser la concertation entre les producteurs et les utilisateurs de la statistique publique. Il fait des propositions pour l'élaboration du programme de travaux statistiques et la coordination des enquêtes statistiques menées par les personnes chargées d'une mission de service public. (...) " ; qu'aux termes de l'article 1er du décret du 20 mars 2009 relatif au Conseil national de l'information statistique et au comité du secret statistique, dont l'article 29 abroge à compter du 1er mai 2009 le décret du 7 avril 2005 : " Le Conseil national de l'information statistique institué par l'article 1er bis de la loi du 7 juin 1951 susvisée assure une fonction de concertation au cours des étapes de conception, de production et de diffusion de l'information statistique publique, que celle-ci provienne des enquêtes statistiques et des recensements ou de l'exploitation à des fins d'information générale des données issues de l'activité administrative. / Il donne son avis notamment : / (...) 5° Sur les projets d'exploitation, à des fins d'information générale, des données issues de l'activité des administrations, des organismes publics et des organismes privés chargés d'un service public " ;
9. Considérant qu'il résulte de ces dispositions qu'un traitement automatisé de données ne doit être soumis à l'avis préalable du Conseil national de l'information statistique que lorsque sa réalisation, décidée dans le cadre de la loi du 7 juin 1951, entraîne soit l'exploitation, à des fins d'intérêt général, de données issues d'une administration, soit la création d'un traitement à cette fin, soumis en tant que tel à avis de la Commission nationale de l'informatique et des libertés ; qu'il suit de là que la simple mise en oeuvre, ainsi que l'autorise le 2° de l'article 6 de la loi du 6 janvier 1978, d'une fonction statistique d'un traitement automatisé de données par l'administration concernée ne relève pas du champ des avis du Conseil national de l'information statistique ; que le décret attaqué n'a eu ni pour objet, ni pour effet de déclencher une " enquête statistique " au sens de la loi du 7 juin 1951 ; qu'il n'a pas davantage, contrairement à ce que soutiennent les organisations requérantes, été créé sur le fondement du 7° du II de l'article 8 de la loi du 6 janvier 1978, qui, dans le cas où un traitement automatisé réalisé, dans le respect de la loi du 7 juin 1951, par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels, prévoit d'enregistrer celles des données dont le I de l'article 8 interdit en principe l'utilisation, impose le recours à une procédure spécifique ; qu'ainsi, le décret attaqué, n'avait pas à être précédé de l'avis du Conseil national de l'information statistique ; que, par suite, le moyen tiré du défaut de consultation de ce conseil doit être écarté ;
10. Considérant, en troisième lieu, que les organisations requérantes soutiennent que l'avis que la Commission nationale de l'informatique et des libertés a rendu sur le décret attaqué est irrégulier, faute que celle-ci ait disposé de suffisamment d'informations relatives aux précautions techniques prises par le responsable du traitement créé par le décret pour garantir la sécurité des données ; qu'aux termes du premier alinéa de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès " ; que si ces dispositions imposent au responsable d'un traitement, une fois le traitement en fonctionnement, de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, elles sont sans incidence sur la légalité de l'acte par lequel le traitement est autorisé ; que le moyen est, par suite, et en tout état de cause, inopérant ;
En ce qui concerne le moyen tiré du défaut de contreseings :
11. Considérant qu'aux termes de l'article 22 de la Constitution : " Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution " ; que, s'agissant d'actes de nature réglementaire, les ministres chargés de leur exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l'exécution de ces actes ; que, contrairement à ce que soutiennent les organisations requérantes, l'exécution du décret attaqué ne comporte pas nécessairement de mesures réglementaires ou individuelles qu'un ministre autre que celui de l'intérieur aurait à signer ou à contresigner ; que la portée de l'exigence du contreseing doit s'apprécier, dans le cas d'un décret modificatif, en fonction des matières auxquelles se rapportent les modifications apportées au décret initial ; que si l'article 11 du décret attaqué modifie l'article 1er du décret du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ce n'est que pour ajouter, dans la liste qui figure à cet article, le traitement créé par le décret attaqué ; qu'ainsi, le décret attaqué pouvait ne pas être revêtu du contreseing de chacun des ministres ayant contresigné le décret du 15 mai 2007 qu'il modifiait, le seul contreseing du ministre concerné suffisant à sa régularité ; qu'il résulte de ce qui précède que le décret attaqué ne requérait le contreseing que du seul ministre de l'intérieur ; que, dès lors que le décret attaqué comporte ce contreseing, le moyen tiré du défaut de contreseings doit être écarté ;
Sur la légalité interne :
En ce qui concerne le moyen tiré de la méconnaissance de l'article 1er de la Constitution :
12. Considérant qu'aux termes de l'article 1er de la Constitution : " La France assure l'égalité devant la loi de tous les citoyens, sans distinction d'origine, de race ou de religion " ;
13. Considérant qu'en disposant que " Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données concernant les personnes mentionnées à l'article 1er et relatives : / (...) - à l'origine géographique (...) ", l'article 3 du décret attaqué ne saurait méconnaître les dispositions constitutionnelles précitées dès lors que les données pouvant être enregistrées au titre de l'origine géographique, d'une part, doivent être en rapport direct avec le motif de l'enregistrement de la personne en cause dans le traitement et, d'autre part, ne peuvent être que de nature factuelle et objective ;
En ce qui concerne les moyens tirés de la méconnaissance de la présomption d'innocence et de l'absence de contrôle d'un magistrat sur le fonctionnement du traitement :
14. Considérant que le deuxième alinéa de l'article 1er du décret attaqué autorise l'enregistrement dans le traitement intitulé " Prévention des atteintes à la sécurité publique " d'informations sur des personnes " susceptibles d'être impliquées dans des actions de violences collectives" ; que le 8° de l'article 2 de ce même décret autorise l'enregistrement d'agissements " susceptibles de recevoir une qualification pénale " ; que, toutefois, le fait pour une personne d'être regardée comme " susceptible d'être impliquée dans des actions de violences collectives ", au sens de l'article 1er du décret, n'emporte ni déclaration ni présomption de culpabilité et ne saurait ainsi méconnaître le principe de la présomption d'innocence ; que, de la même façon, le fait pour un agissement d'être regardé comme " susceptible de recevoir une qualification pénale " au sens de l'article 2 du décret ne confère à cet agissement aucune qualification pénale ; qu'il ne saurait, par suite, être utilement soutenu que le traitement ne pourrait fonctionner que sous le contrôle d'un magistrat ;
En ce qui concerne le moyen tiré de la violation du principe fondamental reconnu par les lois de la République selon lequel les règles applicables aux mineurs en difficulté doivent rechercher leur relèvement éducatif et moral :
15. Considérant, ainsi qu'il a été dit au point 6, que les organisations requérantes ne sauraient utilement soutenir que le décret attaqué méconnaît le principe fondamental reconnu par les lois de la République selon lequel les règles applicables aux mineurs en difficulté doivent rechercher leur relèvement éducatif et moral, dès lors que les dispositions de ce décret n'ont ni pour objet ni pour effet de fixer des règles pénales et ne sauraient donc porter atteinte à ce principe ;
En ce qui concerne les moyens tirés de la méconnaissance de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, des articles 3-1 et 16 de la convention internationale relative aux droits de l'enfant, des articles 5 et 6 de la convention n° 108 du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, et de l'article 6 de la loi du 6 janvier 1978 :
16. Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. /2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui " ; qu'aux termes de l'article 3-1 de la convention relative aux droits de l'enfant, signée à New York le 26 janvier 1990 : " Dans toutes les décisions qui concernent les enfants, qu'elles soient le fait des institutions publiques ou privées de protection sociale, des tribunaux, des autorités administratives ou des organes législatifs, l'intérêt supérieur de l'enfant doit être une considération primordiale " ; qu'aux termes de l'article 16 de cette même convention : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes " ; qu'aux termes de l'article 5 de la convention n° 108 du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel : " Les données à caractère personnel faisant l'objet d'un traitement automatisé sont : / a. obtenues et traitées loyalement et licitement ; / b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ; / c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ; / d. exactes et si nécessaire mises à jour ; / e. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées " ; qu'aux termes de l'article 6 de cette même convention : " Les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales " ; qu'aux termes de l'article 6 de la loi du 6 janvier 1978 : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / 1° Les données sont collectées et traitées de manière loyale et licite ; / 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (...) ; / 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; / 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; / 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées " ;
17. Considérant qu'il résulte de l'ensemble de ces stipulations et dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adaptée, nécessaire et proportionnée au regard de ces finalités ;
Quant aux finalités du traitement :
18. Considérant qu'aux termes de l'article 1er du décret attaqué, le traitement de données à caractère personnel, intitulé " Prévention des atteintes à la sécurité publique", a pour finalité " de recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique " et a " notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives " ; que les finalités légitimes de protection de la sécurité publique ainsi assignées au traitement sont énoncées de façon suffisamment précise ; qu'en outre, l'indication du motif pour lequel il est procédé à l'enregistrement, prévue par le 1° de l'article 2 du décret attaqué, permettra de contrôler que seules sont enregistrées dans le traitement des informations relatives aux personnes visées par les dispositions précitées de l'article 1er ;
Quant aux données enregistrées :
19. Considérant, en premier lieu, que l'article 2 du décret attaqué autorise l'enregistrement, " dans la stricte mesure où elles sont nécessaires à la poursuite de la finalité mentionnée à l'article 1er ", des catégories de données à caractère personnel suivantes : " (...) 2° Informations ayant trait à l'état civil, à la nationalité et à la profession, adresses physiques, numéros de téléphone et adresses électroniques ; / (...) 7° Activités publiques, comportement et déplacements ; / 8° Agissements susceptibles de recevoir une qualification pénale ; / 9° Personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé " ; que ces catégories de données sont désignées de façon suffisamment précise au regard des finalités du traitement ; que les données enregistrées en application de ces dispositions ne peuvent l'être que dans la stricte mesure où elles sont nécessaires à la poursuite des finalités du traitement et doivent, en conséquence, être en rapport direct avec le motif de l'enregistrement dans le traitement de la personne en cause ; qu'en application du premier alinéa de l'article 3 du décret attaqué, aucune donnée à caractère personnel qui ferait apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ne pourra être enregistrée à ce titre ; que l'enregistrement d'agissements " susceptibles de recevoir une qualification pénale " n'a ni pour objet ni pour effet de conférer une qualification pénale à ces agissements et ne confère pas une finalité de police judiciaire au traitement ; que le 9° de l'article 2 du décret attaqué n'autorise l'enregistrement que de l'identité des " personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé ", à l'exclusion de toute autre information sur ces personnes ;
20. Considérant, en second lieu, que l'article 3 du décret attaqué dispose que : " Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données concernant les personnes mentionnées à l'article 1er et relatives : / (...) à l'origine géographique ; / - à des activités politiques, philosophiques, religieuses ou syndicales (...) " ; que ces catégories de données sont énoncées de façon suffisamment précise au regard des finalités du traitement ; que les données pouvant être enregistrées à ce titre doivent, d'une part, être en rapport direct avec le motif de l'enregistrement dans le traitement de la personne en cause, d'autre part, n'être que de nature factuelle et objective ; qu'il est interdit, en application du dernier alinéa de l'article 3 du décret attaqué, de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données ;
21. Considérant qu'il résulte de l'ensemble de ces règles et limitations que le choix, la collecte et le traitement des données enregistrées dans le traitement automatisé sont effectués de manière adaptée, nécessaire et proportionnée au regard des finalités poursuivies par le traitement ;
Quant à la durée de conservation des données :
22. Considérant que l'article 4 du décret attaqué dispose que : " Les données mentionnées aux articles 2 et 3 ne peuvent être conservées plus de dix ans après l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement " ; que cette durée de dix ans n'excède pas la durée nécessaire pour répondre aux finalités du traitement ; qu'est sans incidence à cet égard la durée durant laquelle sont conservées les informations relatives aux consultations du traitement automatisé ;
Quant à l'accès au traitement automatisé :
23. Considérant qu'aux termes de l'article 6 du décret attaqué : " Dans la limite du besoin d'en connaître, y compris pour des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 susvisée, sont autorisés à accéder aux données mentionnées aux articles 2 et 3 : / 1° Les fonctionnaires relevant de la sous-direction de l'information générale de la direction centrale de la sécurité publique, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique ; / 2° Les fonctionnaires des directions départementales de la sécurité publique affectés dans les services d'information générale, individuellement désignés et spécialement habilités par le directeur départemental ; / 3° Les fonctionnaires de la préfecture de police affectés dans les services chargés du renseignement, individuellement désignés et spécialement habilités par le préfet de police. / Les fonctionnaires des groupes spécialisés dans la lutte contre les violences urbaines ou les phénomènes de bandes, individuellement désignés et spécialement habilités par le directeur départemental de la sécurité publique ou par le préfet de police, sont autorisés à accéder aux données mentionnées aux articles 2 et 3 relevant de la finalité mentionnée au deuxième alinéa de l'article 1er. / En outre, peut être destinataire des données mentionnées aux articles 2 et 3, dans la limite du besoin d'en connaître, tout autre agent d'un service de la police nationale ou de la gendarmerie nationale, sur demande expresse précisant l'identité du demandeur, l'objet et les motifs de la consultation. Les demandes sont agréées par les responsables des services mentionnés aux 1° à 3° " ;
24. Considérant, en premier lieu, que l'article 8 du décret attaqué dispose que : " Le traitement ne fait l'objet d'aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d'autres traitements ou fichiers " ; qu'une interconnexion doit être regardée comme l'objet même d'un traitement qui permet d'accéder à, d'exploiter, et de traiter automatiquement les données collectées pour un autre traitement et enregistrées dans le fichier qui en est issu ; que la possibilité de consulter le traitement intitulé " Prévention des atteintes à la sécurité publique " pour des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 ne constitue aucunement une interconnexion, un rapprochement ou une mise en relation avec d'autres traitements ou fichiers et qu'elle répond aux finalités du traitement ;
25. Considérant, en second lieu, que les personnes ayant habituellement accès au traitement sont limitativement énumérées et doivent avoir été individuellement désignées et spécialement habilitées ; que si tout autre agent d'un service de la police nationale ou de la gendarmerie nationale peut être destinataire des données enregistrées dans le traitement, ce n'est qu'à la suite d'une demande expresse précisant son identité, l'objet et les motifs de sa demande, celle-ci devant être agréée par les responsables des services ayant habituellement accès au traitement ; que la possibilité d'accéder au traitement " dans la limite du besoin d'en connaître " est suffisamment encadrée dès lors qu'elle renvoie ainsi aux finalités du traitement ; que l'enregistrement des informations relatives à la consultation du traitement et leur conservation pendant une durée de cinq ans permettront de contrôler que le traitement ne fait pas l'objet de consultations abusives ; que le moyen tiré de ce que le décret attaqué prévoirait un accès trop large aux informations traitées doit, par suite, être écarté ;
Quant à l'application du décret aux mineurs âgés d'au moins treize ans :
26. Considérant que l'article 5 du décret attaqué autorise l'enregistrement de données relatives aux mineurs âgés d'au moins treize ans ; qu'aucune stipulation conventionnelle, notamment pas celles des articles 3-1 et 16 de la convention relative aux droits de l'enfant, ni aucune disposition législative ou réglementaire ni aucun principe ne fait obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs ; qu'en l'espèce, ne peuvent être concernés que les mineurs " au nombre des personnes mentionnées à l'article 1er ", c'est-à-dire dont l'activité individuelle ou collective indique qu'ils peuvent porter atteinte à la sécurité publique ; que la durée de conservation des données est réduite, en ce qui concerne les mineurs, à trois ans à compter de l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement ; que, dans ces conditions, en tant qu'ils concernent les mineurs âgés d'au moins treize ans, le choix, la collecte et le traitement des données sont effectués de manière adaptée, nécessaire et proportionnée au regard des finalités du traitement ;
En ce qui concerne les moyens tirés de la violation des articles 9, 10 et 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales :
27. Considérant que le décret attaqué ne porte par lui-même aucune atteinte ni à la liberté de pensée, de conscience et de religion, ni à la liberté d'expression, ni à la liberté de réunion et d'association ; que, par suite, les organisations requérantes ne sont pas fondées à soutenir qu'il méconnaîtrait les articles 9, 10 et 11 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
En ce qui concerne les moyens tirés de la méconnaissance des articles 32, 34, 38 et 39 de la loi du 6 janvier 1978 :
28. Considérant, en premier lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 32 de la loi du 6 janvier 1978 en disposant que le droit d'information ne s'applique pas au traitement " Prévention des atteintes à la sécurité publique ", ce moyen ne peut qu'être écarté dès lors, d'une part, que le V de cet article 32 prévoit explicitement la possibilité que le droit d'information ne s'applique pas aux données qui n'ont pas été recueillies auprès de la personne concernée et qui sont " utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant (...) la sécurité publique (...), dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement " et, d'autre part, que les données à caractère personnel enregistrées dans le traitement créé par le décret attaqué ne sont pas recueillies auprès de la personne concernée ;
29. Considérant, en deuxième lieu, que les organisations requérantes soutiennent que le décret attaqué méconnaît l'article 34 de la loi du 6 janvier 1978 dès lors qu'il n'énonce pas suffisamment précisément les précautions techniques que le responsable du traitement doit prendre pour garantir la sécurité des données ; que, toutefois, ainsi qu'il a été dit au point 10, si les dispositions de l'article 34 de la loi du 6 janvier 1978 imposent au responsable d'un traitement, une fois le traitement en fonctionnement, de garantir matériellement la sécurité des données et de s'assurer de ce que le traitement est utilisé conformément aux règles fixées par l'acte ayant autorisé sa création, elles sont sans incidence sur la légalité de l'acte par lequel le traitement est autorisé ; que le moyen est, par suite, inopérant ;
30. Considérant, en troisième lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 38 de la loi du 6 janvier 1978 en disposant que le droit d'opposition ne s'applique pas au traitement " Prévention des atteintes à la sécurité publique ", ce moyen ne peut qu'être écarté dès lors que, si cet article 38 prévoit le droit d'opposition en son premier alinéa, il précise en son dernier alinéa que : " Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement " ;
31. Considérant, en quatrième lieu, que si les organisations requérantes soutiennent que l'article 9 du décret attaqué méconnaît l'article 39 de la loi du 6 janvier 1978 en prévoyant que le droit d'accès aux données s'exerce dans les conditions prévues par l'article 41 de cette loi et non dans celles prévues par cet article 39, ce moyen ne peut qu'être écarté dès lors que l'article 41 précise en son premier alinéa que : " Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient " ;
32. Considérant qu'il résulte de tout ce qui précède que les requérants ne sont pas fondés à demander l'annulation du décret attaqué ; que, par suite, leurs conclusions tendant à l'application de l'article L. 761-1 du code de justice administrative ne peuvent qu'être rejetées ;
D E C I D E :
--------------
Article 1er : L'intervention du Mouvement contre le racisme et pour l'amitié entre les peuples (MRAP) est admise.
Article 2 : Les requêtes de l'association SOS Racisme - Touche pas à mon pote et du Syndicat de la magistrature, du Syndicat des avocats de France, de l'Union syndicale Solidaires, de la Ligue de l'enseignement, de la Ligue des droits de l'Homme, du Groupe d'information et de soutien des immigrés, de la Fédération syndicale unitaire, de la Confédération générale du travail, de la Confédération française démocratique du travail, de l'association Imaginons un réseau internet solidaire, de l'association INTER-LGBT et de l'association AIDES sont rejetées.
Article 3 : La présente décision sera notifiée à l'association SOS Racisme - Touche pas à mon pote, au Syndicat de la magistrature, premier requérant dénommé de la requête n° 334189, au Premier ministre et au ministre de l'intérieur.
Les autres requérants de la requête n° 334189 seront informés de la présente décision par la SCP H. Masse-Dessen, G. Thouvenin, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.