Le Conseil d’État exige du ministère de l’Intérieur la suppression des données se rattachant aux opinions politiques et aux convictions religieuses et philosophiques enregistrées dans trois fichiers de sécurité… Cependant, cette suppression ne vaudra qu’à défaut de nouveaux décrets pris dans les 4 mois par le Premier ministre, après avis de la CNIL.
Voilà un peu plus d’un an, le 4 décembre 2020, trois décrets du ministère de l’Intérieur étaient publiés au Journal officiel :
- Décret Fichier de prévention des atteintes à la sécurité publique (PASP) et avis CNIL
- Décret Gestion de l'information et prévention des atteintes à la sécurité publique (GIPASP) et avis CNIL
- Décret Enquêtes administratives liées à la sécurité publique (EASP) et avis CNIL
Trois fichiers qui, selon le ministère de l’Intérieur, « ont pour finalités de recueillir, conserver et d'analyser les informations qui concernent les personnes (…) ainsi que les groupements dont l'activité individuelle ou collective indique qu'elles peuvent être susceptibles de prendre part à des activités terroristes, de porter atteinte à l'intégrité du territoire ou des institutions de la République ou d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives ».
L’objectif fut donc d’enrichir les fichiers du renseignement territorial et les enquêtes administratives, sachant que PASP, GIPASP et EASP ont pour l'occasion été aiguisés pour aspirer également des données sur les « opinions politiques » et les « convictions philosophiques et religieuses ».
Une situation qui tranche lourdement avec les textes antérieurs (là et là) qui ne se référaient qu’aux « activités » politiques, religieuses et syndicales, notions beaucoup moins subjectives ! De même ont été ajoutées les données de santé, du moins celles « révélant une particulière dangerosité ».
Ce double élargissement a été justifié par l’Intérieur « au regard des troubles graves à l’ordre public qui se sont développés depuis 2015 ». Plusieurs organisations (CGT, FO, FSU, Syndicat de la magistrature et Syndicat des avocats de France) avaient déjà attaqué ces trois décrets au Conseil d’État, mais leurs requêtes furent rejetées en début d’année.
La Ligue des droits de l’homme, la Section française de l’Observatoire international des prisons, la Confédération générale du travail, la Quadrature du Net, Le Conseil national des barreaux ou encore la collectivité de Corse sont repartis au combat avec de nouveaux arguments, à l’occasion d’une pluie de recours.
Des activités aux opinions, une extension annulée sous condition
Il faut dire que dans l’intervalle, la CNIL a elle-même confirmé que si la collecte de données relatives aux «activités politiques, philosophiques, religieuses ou syndicales » était bien déjà prévue par les textes, « les nouveaux décrets font désormais référence (…) aux "opinions" politiques, aux "convictions" philosophiques, religieuses et à l’"appartenance" syndicale ».
Or, ce glissement ne figurait pas dans l’avant-projet qui lui avait été soumis pour avis, mais avait été ajouté après coup par la place Beauvau. Un élargissement de la collecte susceptible « de risques de dérives graves », selon la députée Delphine Batho, dans une question parlementaire posée en décembre 2020 et restée sans réponse à ce jour.
Cette extension du champ d’application aurait normalement exigé « une nouvelle consultation de la Commission, à laquelle il n’a donc pas été procédé », constate le Conseil d’État dans ses trois arrêts.
L’extension des « activités » aux « opinions » aurait donc dû être soumise à la CNIL, et non ajoutée après son avis. Le Conseil d’État annule en conséquence les lignes litigieuses dans chacun des décrets.
Seulement, dans ces jugements finalement favorables au ministère de l’Intérieur, la juridiction demande à Gérald Darmanin de supprimer les données enregistrées dans un délai de quatre mois, sauf... si d’ici là un nouveau décret en Conseil d’État pris après avis motivé et publié de la CNIL autorise cette fois la collecte des opinions.
Sachant que le ministère de l'Intérieur pourra ignorer superbement l'avis de la CNIL, si celle-ci s'oppose au fichage des opinions.
De multiples autres reproches
C’est donc une victoire très relative pour les requérants. D’autant que les autres reproches adressés aux traitements ont tous été repoussés sans ménagement.
La LDH, la CGT ou encore la Quadrature ont également détecté une atteinte manifestement disproportionnée au droit au respect de la vie privée. Les textes permettent en effet le chalutage d’informations relatives aux « activités sur les réseaux sociaux », soit une expression bien trop large, trop imprécise, rendant possible « une collecte massive et automatisée de données personnelles ».
Autres formules épinglées dans les écritures, les notions de « comportements et habitudes de vie », « déplacements » et « facteurs familiaux, sociaux et économiques », jugées « trop vagues ». Mêmes critiques s’agissant des finalités ou du périmètre des agents ayant accès à ces fichiers, considérés comme « excessif »…
De multiples autres critiques… toutes rejetées
Dans ses trois arrêts, le Conseil d’État a validé les finalités des trois traitements : les données intéressant la sûreté de l’État sont « celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ».
Les intérêts fondamentaux de la Nation sont énumérés à l’article L. 811-3 du Code de la sécurité intérieure. « Par suite, la notion d’atteinte à la sûreté de l’État est suffisamment définie ».
Il a de la même manière avalisé les traitements relatifs aux données concernant les personnes physiques entretenant ou ayant entretenu des relations directes et non fortuites avec celui qui fait l’objet d’un suivi par les services :
« ces dispositions prévoient expressément que cette collecte ne peut se faire que "dans la stricte mesure où ces données sont nécessaires pour le suivi de la personne concernée". »
Et peu importe que ces tiers soient des mineurs. « Aucune stipulation conventionnelle […] ni aucune disposition législative ou réglementaire ni aucun principe ne fait obstacle à ce que soit autorisé l’enregistrement, dans un traitement automatisé, de données relatives à des mineurs ».
Pour le même juge administratif, les traitements sont assortis des garanties appropriées et respectent la vie privée.
Réseaux sociaux, une expression suffisamment définie
Sur les débats sémantiques, aucun souci : « le terme "groupement", entendu comme tout groupe organisé de personnes, est suffisamment précis » rétorque-t-il.
« Réseaux sociaux » ? Même assurance : « les termes "réseaux sociaux" désignent les plateformes en ligne permettant aux personnes qu’elles mettent en relation de communiquer entre elles, de mettre à la disposition des autres utilisateurs des contenus tels que des textes, des images et des vidéos et d’accéder à ceux-ci ».
Sort identiques pour les expressions « comportements et habitudes de vie », « déplacements », « pratiques sportives » et « facteurs familiaux, sociaux et économiques » ? Autant de termes « suffisamment précis », assène-t-il.
Pour le Conseil d’État, dès lors, « le moyen tiré de ce que les données susceptibles d’être collectées à ce titre ne seraient pas définies de façon suffisamment claire et précise doit par suite être écarté ».
Les services pourront aspirer toutes les données qui y figurent, relatives aux faits « susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’État », concepts que la juridiction distingue des menaces à l’ordre public.
Enfin, s'agissant des durées de conservation (10 ans « à compter de l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ou à la sûreté de l'État »), elles « n’excèdent pas ce qui est nécessaire au regard de ces finalités ».
Et pour l’accès ? Rien à redire. Si « les agents de la police nationale ou les militaires de la gendarmerie nationale peuvent, alors même qu’ils n’exercent pas de missions de renseignement, être destinataires de données enregistrées dans le traitement, c’est à la condition, d’une part, que la communication des données s’effectue sous réserve et dans la limite du besoin d’en connaître et, d’autre part, que chaque demande, qui doit préciser l’identité du demandeur, l’objet et les motifs de la consultation, soit agréée par le responsable de service concerné ».
Pas de reconnaissance faciale
Maigre consolation, si les décrets PASP et GIPASP abrogent une disposition règlementaire du Code de la sécurité intérieure qui interdisait la reconnaissance faciale, cette suppression, juge-t-il, « n’a pas pour autant eu pour effet d’autoriser la mise en oeuvre de traitements portant sur des données biométriques aux fins d’identifier une personne physique de manière unique ».
