Par Patrick Canin, membre du Bureau national de la LDH
Le 4 août 2017 a été publié au Journal officiel le décret n°2017-1224 du 3 août 2017 portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données (ACCReD) ».
Ce traitement permet la consultation automatique et, le cas échéant, simultanée de neuf traitements de données à caractère personnel ou fichiers, par exemple : le traitement d’antécédents judiciaires, le traitement automatisé dénommé « Enquêtes administratives liées à la sécurité publique », le traitement « Prévention des atteintes à la sécurité publique », le fichier des personnes recherchées…
Ce décret, dans certaines de ses dispositions, pose problème comme l’a relevé la CNIL dans sa délibération n°2017-152 du 18 mai 2017, publiée au JO en même temps que le décret.
Le décret autorise donc le ministre de l’Intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale) à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité de « faciliter la réalisation d’enquêtes administratives en application des articles L.114-1, L.114-2 et L. 211-11-1 du code de la sécurité intérieure et d’exploiter les informations recueillies dans ce cadre ».
Les articles L.114-1 et 2 du code de la sécurité intérieure prévoient, en effet, que les décisions administratives de recrutement, d’affectation, d’autorisation, d’agrément ou d’habilitation dans les secteurs – très larges – qu’il cite (par exemple, emplois publics participant à l’exercice des missions de souveraineté de l’État, emplois publics ou privés relevant du domaine de la sécurité ou de la défense…) peuvent être précédés d’enquêtes administratives destinées à vérifier que « le comportement des personnes physiques ou morales (sic) intéressées n’est pas incompatibles avec l’exercice des fonctions ou des missions envisagées ».
Et l’article L. 211-11-1 du même code vise les enquêtes administratives concernant l’accès des personnes (autres que les spectateurs et participants) aux installations où se déroulent de « grands évènements », exposés « par leur ampleur ou leurs circonstances particulières à un risque exceptionnel de menace terroriste », désignés par décret. Cet article fait également référence au « comportement et aux agissements de la personne » de nature à porter atteinte « à la sécurité des personnes, à la sécurité publique ou à la sûreté de l’État ».
Or, la Cnil relève que, contrairement aux promesses du ministre qui avait affirmé vouloir limiter le dispositif « au secteur du nucléaire », du moins dans un premier temps, aucune limite d’application du texte n’a été prévue. Comme le souligne la Cnil, les enquêtes administratives précitées « conditionnent l’adoption de décisions administratives très nombreuses, très diverses et ne présentant pas toutes le même degré de sensibilité ». Aussi, a-t-elle recommandé (ce qu’ignore le décret) que la consultation de certains traitements que permet ACCReD soit réservé aux enquêtes préalables à certaines décisions « compte tenu de leur objet spécifique ».
Sur ce point, la Cnil en conclut que « en l’absence de précisions fournies par le ministère sur les enquêtes précisément concernées par le dispositif projeté et en l’absence de justification sur la nécessité, pour chacune d’entre elles, de consulter ces traitements sensibles, la commission estime que la proportionnalité du dispositif n’est pas démontrée ».
Mais il y a plus. En effet, l’article 3, alinéa 2, du décret dispose : « Par dérogation [aux dispositions du I de l’article 8 de la loi du 6 janvier 1978 qui interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses… »] sont autorisés, pour les seules fins et dans le strict respect des conditions définies par le présent décret, la collecte, la conservation, et le traitement de données mentionnées au I du même article 8, à la condition que leur collecte soit indispensable à la réalisation des enquêtes administratives et dans les seuls cas où ces données se rapportent à des opinions politiques, philosophiques ou religieuses ».
Même si le ministère a enlevé (sur demande de la Cnil) du décret les origines raciales ou ethniques, ce qui montre jusqu‘où le ministère voulait aller, l’objectif des enquêtes administratives est de porter une appréciation sur le comportement ou les agissements des personnes à partir des divers fichiers dont l’ACCReD permet la connexion. Il apparaît, par conséquent, ni nécessaire, ni adapté ni proportionné à ce que figure dans les données collectées les opinions politiques, philosophiques ou religieuses des personnes (on voit tout de suite lesquelles). L’autorité administrative doit se fonder sur des éléments objectifs caractérisant un comportement ou des agissements et non des opinions, tremplin vers une appréciation purement subjective pouvant conduire à l’arbitraire. Au surplus, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans son article 8.II qui prévoit des exceptions à l’interdiction, ne paraît pas viser le type de traitement automatisé autorisé par le décret.
Quelques autres points ont été soulignés par la Cnil et non pris en compte par le décret :
S’agissant de la durée de conservation des données, l’article 4 du décret dispose que « Les données et informations mentionnées à l’article 2 peuvent être conservées pendant une durée de cinq ans à compter de leur enregistrement ».
Par dérogation, les données et informations mentionnées aux b et c du 3° de l’article 2 sont conservées jusqu’à l’expiration du délai de recours contentieux dirigé contre l’avis ou la décision ou en cas de recours, jusqu’à ce qu’il ait été définitivement statué sur le litige ». Or, la Cnil a relevé qu’il ressort « des précisions apportées par le ministère que, contrairement à ce que semble indiquer le projet de décret, le délai de conservation sera systématiquement celui du délai de recours contentieux et que la durée de conservation ne dépassera ce délai qu’en cas de contentieux effectif, ce dont la commission se félicite. Elle considère toutefois que la rédaction du projet de décret induit en erreur et doit être revue, la mention du délai de conservation de cinq ans et d’une « « dérogation » » possible à ce délai étant finalement injustifiée ».
S’agissant de la communication au préfet du département du lieu d’exercice de l’emploi ou de l’établissement du sens des avis rendus à la suite des enquêtes administratives concernées, la Cnil considère que cette communication « n’est pas justifiée par les finalités précisément poursuivies par le traitement ACCReD et que les données utiles [pour l’information du préfet] doivent donc être extraites d’un autre traitement ». La commission demande donc que la disposition prévoyant la communication au préfet du sens des avis rendus soit « supprimée du projet de décret ». Or, cette communication figure toujours à l’article 5.II 3°.
Il me paraît pertinent d’envisager un recours en annulation pour excès de pouvoir devant le Conseil d’État à l’encontre de ce décret.