Base de jurisprudence

Ariane Web: Conseil d'État 454907, lecture du 30 juillet 2021, ECLI:FR:CEORD:2021:454907.20210730
Decision n° 454907
Conseil d'État

N° 454907
ECLI:FR:CEORD:2021:454907.20210730
Inédit au recueil Lebon



Lecture du vendredi 30 juillet 2021
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête, enregistrée le 24 juillet 2021 au secrétariat du contentieux du Conseil d'Etat, l'association DataRing demande au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-2 du code de justice administrative :

1°) d'ordonner la suspension de l'application du décret n° 2021-955 du 19 juillet 2021 modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, et plus généralement d'ordonner toute mesure de nature à faire cesser l'atteinte grave et manifestement illégale que ce décret porte à plusieurs libertés fondamentales ;

2) de mettre à la charge de l'Etat la somme de 3 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.



Elle soutient que :
- la requête est recevable ;
- la condition d'urgence posée par l'article L. 521-2 du code de justice administrative est satisfaite dès lors que, d'une part, cette urgence a déjà été admise par le Conseil d'Etat à l'occasion de décisions antérieures relatives à des atteintes graves et manifestement illégales portées à la protection de la vie privée et des données personnelles résultant de mesures sanitaires destinées à prévenir la propagation du virus Covid-19 et que, d'autre part, l'extension du domaine d'application du dispositif du " passe sanitaire " par le décret litigieux aggrave l'atteinte portée aux libertés fondamentales par ce dispositif ;
- il est porté une atteinte grave et manifestement illégale à plusieurs libertés fondamentales ;
- le décret litigieux devait faire l'objet d'une analyse d'impact en application de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et cette étude devait être transmise à l'autorité de contrôle ; l'absence de cette transmission est de nature à constituer une atteinte grave et manifestement illégale à la vie privée et à la protection des données personnelles, et plus généralement d'empêcher d'évaluer avec précision les atteintes portées aux droits fondamentaux par le décret litigieux ;
- le décret litigieux viole le principe de proportionnalité des opérations de traitement au regard des finalités qu'elles poursuivent, posé notamment par l'article 35-7 b du même règlement, dès lors que les atteintes qu'il porte aux libertés fondamentales n'étaient pas nécessaires, au sens des stipulations de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le décret litigieux constitue une violation de la vie privée au sens de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, dès lors qu'il amène les personnes à révéler systématiquement des données de santé ainsi que des données d'état-civil, pour un ensemble très large d'activités sociales quotidiennes;
- le décret litigieux viole la liberté d'aller et venir, dès lors que l'étendue des données intégrées au passe sanitaire et la généralisation de leur utilisation contraignent les personnes voulant se protéger de cette atteinte à leur vie privée à restreindre d'elles-mêmes leur liberté d'aller et venir ;
- le décret viole la liberté de culte, dès lors, en premier lieu, qu'il étend l'exigence de présentation du " passe sanitaire " à un ensemble de lieux qui, sans être spécifiquement consacrés à l'exercice d'un culte, sont susceptibles d'accueillir des célébrations religieuses, qu'en deuxième lieu, la distinction qu'il établit, s'agissant des lieux de culte, entre les activités liées à la pratique de ce culte d'une part, et, d'autre part, les autres activités pouvant être accueillies dans ces lieux , telles que les visites ou les activités culturelles, n'est pas assez précise pour être regardée comme protégeant suffisamment les premières, qu'en troisième lieu enfin, il viole la liberté des personnes dont les convictions religieuses sont opposée à la vaccination, dès lors que la pratique de tests de dépistage ne peut constituer une alternative raisonnable pour les personnes pratiquant leur religion dans des lieux de culte de façon fréquente ou quotidienne ;
- que le décret méconnaît l'article 9-1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, qui interdit les traitements des données à caractère personnel qui révèlent des données concernant la santé des personnes ; qu'il n'entre en effet dans aucun des deux cas de dérogation à cette interdiction, prévus par les articles 9-2(g) et 9-2 (i) de ce règlement ;
- que le décret viole la liberté personnelle des personnes soumises au passe sanitaire ;
- que le décret viole le principe de minimisation des données, telle qu'il résulte notamment de l'article 5-4 la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite Convention 108, et de l'article 5-1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ; qu'en effet le passe sanitaire poursuit une finalité d'authentification, pour permettre l'accès à un lieu déterminé, et pas de révélation de données sur la santé, de sorte que les informations sanitaires intégrées au dispositif ne peuvent être regardées comme la conséquence nécessaire et proportionnée de sa finalité.


Vu les autres pièces du dossier ;

Vu :
- la Constitution, et notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2021-689 du 31 mai 2021 ;
- le décret n°2021-724 du 7 juin 2021 ;
- le code de justice administrative ;



Considérant ce qui suit :

1. Aux termes de l'article L. 521-2 du code de justice administrative : " Saisi d'une demande en ce sens justifiée par l'urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d'une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d'un service public aurait porté, dans l'exercice d'un de ses pouvoirs, une atteinte grave et manifestement illégale. (...) ".

Sur le cadre juridique :

2. En raison de l'amélioration progressive de la situation sanitaire, les mesures de santé publique destinées à prévenir la circulation du virus de la Covid 19 prises dans le cadre de l'état d'urgence sanitaire ont été remplacées, après l'expiration de celui-ci le 1er juin 2021, par celles de la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire et du décret du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de la crise sanitaire.

3. En vertu du A du II de l'article 1er de la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, le Premier ministre peut, à compter du 2 juin 2021 et jusqu'au 30 septembre 2021, imposer la présentation du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la Covid-19, un justificatif de statut vaccinal concernant la Covid-19 ou un certificat de rétablissement à la suite d'une contamination par la Covid-19, d'une part, aux personnes souhaitant se déplacer à destination ou en provenance du territoire hexagonal, de la Corse ou de l'une des collectivités mentionnées à l'article 72-3 de la Constitution et, d'autre part, aux personnes souhaitant accéder à certains lieux, établissements ou événements impliquant de grands rassemblements de personnes pour des activités de loisirs ou des foires ou salons professionnels. Aux termes du B du II du même article : " B. - La présentation du résultat d'un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, d'un justificatif de statut vaccinal concernant la covid-19 ou d'un certificat de rétablissement à la suite d'une contamination par la covid-19 dans les cas prévus au A du présent II peut se faire sur papier ou sous format numérique. / La présentation, sur papier ou sous format numérique, des documents mentionnés au premier alinéa du présent B est réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient. "

4. Le décret du 7 juin 2021 a modifié le décret du 1er juin 2021 pris en application de cette loi, afin d'imposer la présentation du passe sanitaire pour les déplacements mentionnés au titre 2 bis de ce décret et pour l'accès aux établissements, lieux et évènements mentionnés au chapitre 7 de son titre 4 et d'en déterminer les modalités d'utilisation. Pour les établissements, lieux et évènements énumérés au II de l'article 47-1 issu de ce décret, l'accès des personnes âgées de onze ans et plus est subordonné, lorsque ces établissements, lieux et évènements accueillent un nombre de visiteurs ou de spectateurs au moins égal à mille personnes, à la présentation de l'un des documents énumérés au I du même article, à savoir " 1° Le résultat d'un test ou examen de dépistage mentionné au 1° de l'article 2-2 réalisé moins de 48 heures avant l'accès à l'établissement, au lieu ou à l'évènement. Les seuls tests antigéniques pouvant être valablement présentés pour l'application du présent 1° sont ceux permettant la détection de la protéine N du SARS-CoV-2 ; 2° Un justificatif du statut vaccinal délivré dans les conditions mentionnées au 2° de l'article 2-2 ; 3° Un certificat de rétablissement délivré dans les conditions mentionnées au 3° de l'article 2-2 /... ". Le dernier alinéa du I de l'article 47-1 précise qu'à défaut de présentation de l'un de ces documents, l'accès à l'établissement, au lieu ou à l'évènement est refusé.

5. Le décret litigieux du 19 juillet 2021 a modifié les dispositions de l'article 47-1 du décret du 1er juin 2021 afin d'étendre à plusieurs nouvelles catégories d'établissements l'obligation de présenter les documents énumérés au I du même article, faute de quoi l'accès à ces établissements est refusé, et d'abaisser le seuil d'application de cette limitation de l'accès à l'accueil de 50 personnes.

Sur la demande en référé :

6. L'association DataRing demande au juge des référés du Conseil d'Etat d'ordonner la suspension de l'exécution du décret du 19 juillet 2021, modifiant l'article 47-1 du décret du 1er juin 2021, qui fait passer le seuil du nombre de visiteurs ou de clients au-delà duquel l'accès à certains établissements est conditionné par le contrôle du dispositif dit du " passe sanitaire ", de 1000 à 50 personnes, et plus généralement d'ordonner toute mesure nécessaire pour faire cesser les atteintes graves et manifestement illégales portées par ce décret à plusieurs libertés fondamentales.

7. Il résulte toutefois des données scientifiques disponibles qu'à la date du 21 juillet 2021 la situation sanitaire s'est de nouveau dégradée en raison de la diffusion croissante du variant Delta du virus de la Covid 19 sur le territoire, avec près de 80,2 % des tests révélant sa présence, et que la transmissibilité de ce virus est augmentée de 60 % par rapport au variant Alpha. A la date du décret litigieux, le taux d'incidence était marqué par une forte augmentation de la circulation du virus (+ 111 % sur la période du 11 au 17 juillet 2021 par rapport à la période du 4 au 10 juillet, + 244 % par rapport à la période du 27 juin au 3 juillet). Au 21 juillet 2021 le taux d'incidence était de 98,2 pour 100 000 habitants, soit + 143 % par rapport à la semaine du 5 au 11 juillet. Le nombre des entrées à l'hôpital et des admissions en services de soins critiques a augmenté de respectivement 57 % et 67 % pour la semaine du 14 au 21 juillet par rapport à la semaine précédente. Ces données, qui montrent une dégradation de la situation sanitaire au cours de la période très récente, pourraient se révéler encore plus préoccupantes au début du mois d'août, selon les modélisations de l'Institut Pasteur, dans le contexte de diffusion de ce variant, ceci alors que la couverture vaccinale de la population dont, au 20 juillet 2021, seule 46,4 % avait reçu un schéma vaccinal complet, n'est pas suffisante pour conduire à un reflux durable de l'épidémie. L'abaissement à 50 personnes du seuil au-delà duquel un " passe sanitaire " doit être exigé par certains établissements vise à enrayer cette très forte augmentation de la transmission du virus, et à encourager la vaccination et le dépistage, afin de mieux protéger l'ensemble de la population.

Sur l'atteinte grave et manifestement illégale portée par les dispositions litigieuses aux principes gouvernant le recueil, le traitement et la communication de données à caractère personnel :

8. Par une ordonnance n°453505 du 6 juillet 2021, le juge des référés du Conseil d'Etat, saisi sur le fondement de l'article L.521-2 du code de justice administrative, a écarté l'ensemble des moyens tirés de l'atteinte grave et manifeste portée par le dispositif du passe sanitaire au principe d'interdiction de traitement des données à caractère personnel révélant des données relatives à la santé posé par l'article 9-1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, aux dispositions du II de l'article 1er de la loi du 31 mai 2021 et au principe de minimisation des données, ainsi que de l'absence de transmission à la CNIL d'une étude d'impact sur ce dispositif. Les dispositions litigieuses n'ont pas pour objet de modifier le cadre juridique ou la nature de la collecte, du traitement et du contrôle de données inhérents au dispositif du passe sanitaire, mais seulement d'étendre le contrôle obligatoire de ce dernier à un plus grand nombre d'établissements. La situation sanitaire s'étant en outre aggravée depuis que cette ordonnance a été rendue, ainsi qu'il a été dit au point 7, il y a lieu en tout état de cause d'écarter l'ensemble de ces moyens par les mêmes motifs.

9. Si l'association requérante soutient en outre que le décret porte une atteinte grave et manifestement illégale au principe de proportionnalité des opérations de traitement au regard des finalités qu'elles poursuivent posé notamment par l'article 35-7 b du RGPD, car les informations relatives à la santé contenues dans le " passe sanitaire ", étant étrangères à la finalité de celui-ci, qui est limitée selon elle à l'authentification lors du contrôle et exclut la révélation de données relatives à la santé, ne peuvent dès lors être regardées comme lui étant proportionnées, il résulte cependant des dispositions applicables au passe sanitaire citées aux point 3 et 4 que ce dispositif vise à permettre, tout en évitant, d'une part, un traitement croisant les données issues du système d'information national de dépistage et celles contenues dans le traitement automatisé de données à caractère personnel " Vaccin Covid ", et d'autre part, la divulgation de données de santé à l'occasion du contrôle, de vérifier que la personne qui satisfait aux conditions sanitaires exigées par ce dispositif est bien celle qui souhaite accéder à l'établissement soumis à ce contrôle. Il en résulte que l'association ne saurait raisonnablement prétendre que les informations sanitaires intégrées au dispositif sont étrangères à sa finalité, et par suite insusceptibles de lui être proportionnées.

Sur l'atteinte à la liberté personnelle et à la liberté d'aller et venir :

10. Compte tenu de l'évolution de la situation sanitaire rappelée au point 7, et des conditions dans lesquelles la collecte, le traitement et le contrôle des données sont effectués et encadrés, rappelées au points 8 et 9, le décret contesté ne porte pas une atteinte grave et manifestement illégale à la liberté personnelle ou à la liberté d'aller et venir.

Sur l'atteinte à la liberté de culte :

11. Il ressort du texte même du décret du 1er juin 2021, et notamment de son article 47, relatif aux établissements de culte, que l'accès à ceux-ci n'est pas soumis au contrôle d'un passe sanitaire pour les évènements présentant un caractère cultuel. L'article 47-1, tel que modifié par le décret litigieux, n'impose en effet ce contrôle que pour les évènements ne présentant pas ce caractère. Il ne porte donc aucune atteinte directe à la liberté de culte. Si la requérante soutient que la distinction entre ces deux types d'évènements n'est pas assez précise pour protéger effectivement la liberté de culte et que n'est pas prévue la situation de autres lieux qui pourraient être occasionnellement utilisés comme lieux de culte, elle n'assortit ces affirmations d'aucun élément de nature à les étayer sérieusement.

12. Il résulte de l'ensemble de ce qui précède, et alors au demeurant que doit intervenir à très court terme une modification de la loi du 31 mai 2021 rendant caduque l'application du décret litigieux, afin notamment de redéfinir le périmètre des lieux, établissements, services ou évènements dont l'accès est subordonné à la présentation d'un passe sanitaire, de sorte que les mesures prévues par ce décret n'auront qu'une application très brève, que, sans qu'il soit besoin de se prononcer sur l'urgence alléguée, la requête de l'association doit être rejetée selon la procédure prévue par l'article L. 522-3 du code de justice administrative, y compris les conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.


O R D O N N E :
------------------

Article 1er : La requête de l'association DataRing est rejetée.
Article 2 : La présente ordonnance sera notifiée à l'association DataRing et au ministre des solidarités et de la santé.
Copie en sera adressée au Premier ministre et à la Commission nationale de l'informatique et des libertés.