Archive mensuelle 22 avril 2021

ParJDA

Annulation partielle du Fichier Gendnotes : quand le Conseil d’État censure le calepin du gendarme

par Me Dr. Marc Sztulman
Avocat au Barreau de Toulouse
Docteur en droit public, Institut Maurice Hauriou

Art. 327.

Avertissement : L’auteur a eu le plaisir et l’honneur d’aider deux des requérants dans la contestation de la légalité du fichier de gendarmerie GendNotes.
Pour autant, il s’est efforcé d’être le plus objectif possible dans le commentaire ci-après.

« L’information, c’est tout, à la guerre comme pendant la paix,
dans la politique comme dans la finance.
[C’est] uniquement la connaissance des choses qui, gouverne la France. »[1]

Le fichier GendNotes fut conçu comme la réponse pour la gendarmerie au besoin de moderniser le carnet de notes du Gendarme. Cette évolution fut l’occasion pour le ministre de l’Intérieur de proposer de mettre à jour ce dispositif en proposant une série de fonctionnalités présentées comme faites pour faciliter l’activité du militaire.

Dans une France où le nombre de fichiers de police est inconnu, la création de cette application mobile fut l’occasion pour le ministre de l’intérieur, d’essayer une approche plus intégrée des mises en relation et interconnexions des fichiers de police, afin de rendre plus transparente et accessible la consultation de ces bases de données par l’agent habilité.

À cet égard, ce fichier poursuivait comme finalité de faciliter le recueil et la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de prérenseignement, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de préventions, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices administrative et judiciaire. Ainsi que faciliter la transmission de comptes rendus aux autorités judiciaires.

Malgré les alertes de la CNIL[2] sur la légalité d’un « tel couteau suisse », le ministre de l’Intérieur prit le 20 février 2020 le décret n° 2020-151 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes).

Plusieurs associations dont l’Internet Society France, Homosexualités et socialisme, la Ligue des droits de l’Homme ou le Conseil National des Barreaux contestèrent devant le Conseil d’Etat, la légalité de ce décret.

Par un arrêt en date du 13 avril 2021 le Conseil d’État fit droit à une partie des demandes en censurant notamment l’interconnexion automatique du fichier GendNotes avec d’autres fichiers de Gendarmerie.  Pour autant, la diversité des moyens soulevés par les requérants a été l’occasion pour la haute juridiction administrative de rappeler ou de préciser ses positions jurisprudentielles tant au regard des moyens accueillis que des moyens rejetés.

Ainsi, si l’apport jurisprudentiel majeur de cet arrêt porte sur l’obligation de lister dans l’acte réglementaire les fichiers mis en relation ou interconnectés (I), force est de constater que le juge administratif s’est refusé de s’intéresser au fonctionnement, « dans la pratique » du fichier et aux dérives possibles pour se cantonner à une interprétation textuelle des dispositions contestées (II).

I. De l’obligation pour les fichiers de police de préciser les mises en relations entre traitements

L’apport jurisprudentiel majeur de cet arrêt tient en l’obligation pour le pouvoir réglementaire de préciser et lister les fichiers mis en relation avec le traitement qu’il souhaite créer. Cette précision doit être présente dans le décret de création du fichier et ne peut se déduire des avis de la CNIL ou de tout autre élément.

Pour autant, dans l’étude de la motivation qui a présidé à cet apport, montre un choix tactique du juge de privilégier comme norme de référence la loi informatique et libertés (A) que l’article 8 de la Convention européenne des droits de l’Homme (B).

A. Une motivation à l’aune de la loi informatique et libertés

Tout d’abord, alors que l’étendue des finalités pouvait laisser planer un doute, le Conseil d’État exclut des normes de référence de son contrôle le RGPD au profit d’une Directive spéciale[3].

Partant de ce constat, il considère,  calque de la jurisprudence de la Cour européenne des droits de l’Homme[4], dans la droite ligne  de sa jurisprudence antérieure[5] : «que l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ».

C’est ainsi dans les dispositions communes à tous les traitements de la loi informatique et libertés et notamment à son article 4 al. 2 que le Conseil d’État trouve le fondement juridique à l’annulation partielle du décret.

Ce dernier prévoit que les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Or, l’article 1er du décret attaqué en précisant que la finalité consistait en une « exploitation ultérieure dans d’autres traitements » et ne peut être regardée comme déterminée, explicite et légitime, d’autant que cette dernière était quasi-automatique par le recours à un système de préenregistrement.

L’absence de précision quant à la nature, le nombre, ou la dénomination des « autres traitements » entraîne l’indétermination de la finalité. En effet, d’un point de vue théorique, l’interconnexion peut être considérée comme un changement de finalité des données, puisque ces dernières sont alors traitées au regard des finalités du fichier interconnecté et non pour celles qui ont justifié leurs captations.

Les juges du palais royal ont ainsi censuré la mention « en vue de l’exploitation dans d’autres fichiers », à cause de l’imprécision de la formulation retenue.

Ce n’est pas le principe même de la finalité d’interconnexion qui est battu en brèche, mais simplement l’imprécision qui ne permet guère de connaître les fichiers interconnectés. Ainsi, dans une autre espèce, le Conseil d’État avait considéré comme satisfaisant les dispositions de l’article 4 al. 2 de la loi informatique et liberté la finalité d’interconnexion d’un traitement avec sept autres traitements[6]. À la différence que, dans la jurisprudence, ces derniers étaient limitativement énumérés dans le décret attaqué[7]

Ainsi en l’absence de la liste dans le décret des mises en relations du traitement, le Conseil d’État ne cherche pas à déduire cette liste des avis de la CNIL. Dans le silence du décret, elle considère les conditions de licéité du traitement comme manquantes.

B. Une motivation qui fait fi de la Convention européenne des droits de l’Homme

De manière assez surprenante, si tous les requérants ont cité comme norme de référence pour obtenir l’annulation du décret l’article 8 de la Convention européenne des droits de l’Homme, force est de constater que le Conseil ne l’utilise guère dans sa motivation. Et pourtant, l’application de la jurisprudence de la Cour européenne des droits de l’Homme au cas d’espèce aurait été une source féconde de réflexion.

Contrairement à ce que prévoyait le décret attaqué, dès lors que le régime juridique des données, notamment au regard des finalités, est conditionné par les interconnexions et les mises en relation de ce fichier, le gouvernement ne pouvait passer outre  “l’impératif de prévisibilité de la loi”. Ce dernier prévu, notamment, aux  articles  8§2 et 9§2 de la Convention et de la jurisprudence de la Cour européenne des droits de l’Homme, rendait nécessaire la mention expresse dans le décret des fichiers avec lesquels l’interconnexion ou la mise en relation était envisagée.

En effet, en droit européen des droits de l’Homme, concernant les atteintes aux droits garantis par la Convention, les impératifs de prééminence du droit et de prévisibilité de la loi impliquaient notamment que la disposition soit suffisamment précise pour permettre raisonnablement au citoyen de prévoir les conséquences pouvant dériver d’un acte déterminé et que la disposition juridique est accessible au citoyen.

Ainsi, de manière classique, comme le relevait dès 1984 la Cour européenne[8] les dispositions  “prévues par la loi”  au sens de l’article 8 al. 2 de la Convention ne se bornent pas à renvoyer au droit interne, mais concernent aussi la qualité de la loi. Cela « implique ainsi (…) que le droit interne doit offrir une certaine protection contre des atteintes arbitraires de la puissance publique aux droits garantis par le paragraphe 1 (art. 8-1) (…). Or le danger d’arbitraire apparaît avec une netteté singulière là où un pouvoir de l’exécutif s’exerce en secret »[9]

Or, en se refusant à préciser dans le texte du décret les interconnexions envisagées, le rédacteur du décret a rendu impossible pour le citoyen de prévoir les conséquences qui peuvent dériver de l’enregistrement de ses informations, violant ainsi l’impératif de prééminence du droit.

D’ailleurs cette argumentation se trouvait renforcée par la question de l’accessibilité de l’information pour le citoyen .

Comme la Cour le précise : « Il faut d’abord que la « loi » soit suffisamment accessible : le citoyen doit pouvoir disposer de renseignements suffisants, dans les circonstances de la cause, sur les normes juridiques applicables à un cas donné »[10].

Dès lors, ce droit à l’information comme condition d’accessibilité de la norme, ne peut guère être regardé comme satisfait dès lors que le citoyen ne dispose pas dans l’acte qui crée le fichier de la liste des interconnexions envisagées. 

Pour autant, si cette motivation alternative conduisait au même dispositif, et à l’annulation des dispositions, force est de constater que le juge a privilégié le droit de l’Union européenne transposé en droit interne, que l’approche par le droit à la vie privée tel que précisé par la jurisprudence de la Cour européenne des droits de l’Homme.

II. Le rejet de la « privacy by design »  

Dans cet arrêt le raisonnement du Conseil d’État, défenseur de son office, se refuse à connaître des utilisations ou des risques d’utilisation de Gendnotes et partant à y intégrer des garde-fous dès la conception, ce que les Anglo-saxons ont popularisé sous l’expression « privacy by design ».

Ce refus de s’intéresser au fonctionnement « pratique » de ce fichier a pour conséquence que le juge du Palais Royal se refuse à contrôler les mises en relation en cascade de fichiers (A) et de refuser de considérer la zone de commentaire libre comme justement « libre » (B).

A. Le refus d’encadrer les mises en relation en cascade

Au-delà de la position de principe, la Cour ne se prononce guère sur la question des mises en relation en cascade. En effet, dans le silence du décret, était-il possible de trouver dans l’avis de la CNIL[11], l’indication que le Gouvernement souhaitait interconnecter, dans un premier temps, le fichier attaqué au logiciel de rédaction des procédures de la gendarmerie nationale (LRGPN)[12] et au traitement de données dénommé « messagerie tactique ».

Il est à noter que ce dernier, ne dispose à l’heure actuelle d’aucune base légale.

Or, ces interconnexions ou mises en relations purement indicatives et non contenues dans un acte normatif pour l’administration, entraînaient en cascade d’autres interconnexions. Ainsi, et la liste est non exhaustive, les mises en relation envisagées entraînaient des mises en relation avec les traitements suivants : le système national des permis de conduire, l’application de gestion des ressortissants étrangers en France, le traitement des antécédents judiciaires, ou le fichier des personnes recherchées. Il ne s’agit là que de l’étape 1 de cette mise en abîme des données.

A titre d’illustration ce dernier fichier se trouve aussi interconnecté avec le Système d’information Schengen ou le fichier des passagers aériens. Autant de fichiers dont l’interconnexion n’était ni prévue ni organisée dans le décret attaqué.  Or, la Cour dans son arrêt ni ne mentionne ni ne précise sa jurisprudence relative à cette problématique.

B. le refus de considérer la « zone de commentaire libre » comme libre.

Le dernier alinéa de l’article 2 du décret attaqué autorise le traitement de données sensibles au sens du I de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Sont ainsi considérées les données « relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle ».

Les informations de ce type, aux termes du dernier alinéa de l’article 2 du décret, ne peuvent être enregistrées que dans la zone de commentaire libre. Il est à noter que par l’emploi du pluriel, l’annexe du décret semble prévoir l’existence de plusieurs zones de commentaire libre, alors même que l’article 2 du décret n’encadre qu’une zone relative aux données sensibles. Il pourrait donc y avoir plusieurs zones de commentaires libres, mais une seule régie par l’article 2 du décret et donc susceptible de recevoir des données sensibles. Au-delà de coquetterie orthographique se cachait tout de même un problème de régime juridique important que le Conseil d’État n’a pas souhaité analyser.

Quant au régime juridique attenant à ces données, il est essentiellement constitué, dans ce même article, par un rappel des principes de nécessité et de finalité dans la collecte des données « de nécessité absolue pour les seules fins et dans le strict respect des conditions définies au présent décret, dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».

Face à cela le Conseil d’État se borne à rappeler que les données sensibles que les militaires pourraient enregistrer, ne peuvent l’être qu’en cas de nécessité absolue. Tout en refusant de considérer dans son contrôle les possibilités de détournement des finalités de ces zones libres. Ainsi, le contrôle du Conseil d’État se limite à une analyse textuelle, laissant à l’agent une grande latitude, présumant de la légalité de l’action du gendarme.

Pour autant, cette position du juge administratif est dans la droite ligne de la jurisprudence antérieure, qui fait fi, des mouvements contemporains de « privacy by design », ou de limitation des possibilités laissées à l’utilisateur pour empêcher le détournement de finalité, au profit d’une analyse plus abstraite et textuelle du décret.

Vous pouvez citer cet article comme suit :
Journal du Droit Administratif (JDA), 2021 ;
Chronique administrative ; Art. 327.


[1] S, Zweig, Fouché, lgf, p. 42.

[2] CNIL, Délibération n° 2019-123 du 3 octobre 2019 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (demande d’avis n° 17021804)

[3] DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

[4] Voir notamment pour les décisions les plus récentes : CEDH, Cour (Grande Chambre), 17 oct. 2019, n° 1874/13;8567/13 , CEDH, Cour (Troisième Section), 19 juin 2018, n° 35252/08. CEDH, Cour (Grande Chambre), 27 juin 2017, n° 931/13.

[5] CE, 10e – 9e ch. réunies, 18 oct. 2018, n° 404996. / CE, 10-9  chr, 24 oct. 2019, n° 422583.

[6] CE, 10e – 9e ch. réunies, 11 juill. 2018, n° 414827. 0

[7] Décret n° 2019-1074 du 21 octobre 2019 modifiant le décret n° 2017-1224 du 3 août 2017 portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD)

[8] CEDH, 2 août 1984, Malone, n° 8691/79

[9] CEDH 24 avr. 1990, Kruslin c/ France, §30

[10] CEDH, Sunday Times c. RU du 26 avril 1979, 6538/74, §40

[11] CNIL, Délibération n° 2019-123 du 3 octobre 2019 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (demande d’avis n° 17021804)

[12] Décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l’Intérieur (direction générale de la gendarmerie nationale) d’un traitement automatisé de données à caractère personnel d’aide à la rédaction des procédures (LRPGN)

   Send article as PDF   
ParJDA

40 ans de décentralisation(s)

art. 326.

40 regards
sur 40 ans de décentralisation(s)

mars 1982- mars 2022

Dossier spécial du Journal du droit administratif

Dir. Prs F. Crouzatier-Durand & M. Touzeil-Divina

On annonce la présente parution :

  • en partie en ligne (par extraits dans un premier temps) sur le présent site Internet mais aussi
  • à l’intérieur d’un ouvrage publié aux Éditions l’Épitoge.

Décentralisation(s). Joyeux anniversaire la décentralisation ou plutôt joyeux anniversaires tant ils sont nombreux les points de vue(s) et les possibilités – tant positives que négatives – tant laudatives que dépréciatives – de considérer les décentralisations assumées, avérées, imaginées, redoutées ou encore fantasmées et parfois même repoussées que la France a connu entre les mois de mars 1982 et 2022.

Tel a bien été l’objectif que nous nous sommes fixé en proposant aux lecteurs et aux citoyens « 40 points de vue(s) », « 40 contributions », « 40 regards » sur 40 ans de décentralisation(s) et non de décentralisation au singulier. Partant, le présent projet s’inscrit dans deux « traditions » que matérialisent au quotidien de leurs travaux le Journal du Droit Administratif (Jda) et le Collectif L’Unité du Droit (Clud), partenaires de la présente publication aux côtés de l’Université Toulouse 1 Capitole et de son laboratoire, l’Institut Maurice Hauriou (Imh).

Le Jda, en effet, a pour vocation, depuis 1853[1] lors de sa première création depuis la Faculté de Droit de Toulouse, d’offrir et de diffuser des points de vue(s) et des publications qui non seulement cherchent à mettre « à la portée de tous » et donc des citoyennes et des citoyens des questions juridiques potentiellement réservées à des juristes spécialistes mais encore à diversifier sciemment et volontairement ces points de vue en confrontant des opinions diverses mais surtout complémentaires afin que chacun, in fine, se forge sa propre opinion née de la confrontation potentielle des avis éclairants d’autres auteurs. C’est aussi pleinement la vocation du Clud et de ses éditions (les Éditions L’Épitoge) qui depuis dix-huit années déjà (autre anniversaire de majorité !) emploient et assument dans leurs contributions l’usage du « s » dit cludien (sic) placé entre parenthèses et évoquant de façon assumée la potentialité des avis et d’éventuelles diffractions doctrinales.

Voici donc bien 40 regards… sur 40 ans de décentralisation(s).

L’ouvrage en est construit autour de quatre thématiques : celle des bilans et perspectives (I), celle des compétences décentralisées au cours des 40 dernières années (services publics, finances publiques avec une focale sur le secteur sanitaire et social) (II), celle de la mise en perspective(s) des territoires (III) ainsi qu’une série conclusive de tribunes et de témoignages (IV).

Ont ainsi participé au 40e anniversaire de la décentralisation française en nous offrant leurs contributions : Célia Alloune, Jean-Bernard Auby, Robert Botteghi, Jordan Chekroun, Pierre-Yves Chicot, Jean-Marie Crouzatier, Florence Crouzatier-Durand, Méghane Cucchi, Carole Delga, Virginie Donier, Maylis Douence, Vincent Dussart, Mélina Elshoud, Delphine EspagnoAbadie, Pierre EsplugasLabatut, Bertrand Faure, André Fazi, Léo Garcia, Nicolas Kada, Marietta Karamanli, Florent Lacarrère, Franck Lamas, Éric Landot, Xavier Latour, Jean-Michel Lattes, Pierre-Paul Leonelli, Alexis Le Quinio, Marine de Magalhaes, Wanda Mastor, Clément Matteo, Jean-Luc Moudenc, Isabelle MullerQuoy, Jean-Marie Pontier, Laurent Quessette, Anne Rainaud, Claude Raynal, Jean-Gabriel Sorbara, Marie-Christine SteckelAssouère, Mathieu Touzeil-Divina, Michel Verpeaux & André Viola.

Table des matières

Extraits en ligne :

Le JDA est par ailleurs heureux en ce jour anniversaire de la Loi du 2 mars 1982 de vous proposer en ligne et en accès libre outre l’introduction dudit dossier, 22 extraits (puisque 2022) des 40 contributions précitées :

Art. 389. 1982-2022 : 40 ans de décentralisation(s) en 40 contributions

Par Florence Crouzatier-Durand & Mathieu Touzeil-Divina

Art. 390. La décentralisation, une volonté politique de François Mitterrand

Par Delphine Espagno-Abadie

Art. 391. Décentralisation : 40 ans de navigation à vue ?

Par Nicolas Kada

Art. 392. Vers un nouvel acte de la décentralisation ?

Par Jean-Luc Moudenc

Art. 393. Les 40 ans de la décentralisation : à la recherche d’un nouveau souffle

Par André Viola

Art. 394. Du mythe de l’abolition de la tutelle de l’État sur les collectivités territoriales.
La décentralisation inaboutie

Par Florent Lacarrère

Art. 395. De l’émergence progressive d’un service public local d’éducation

Par Marine de Magalhaes

Art. 396. Transports publics et décentralisation 

Par Jean-Michel Lattes

Art. 397. 40 ans de décentralisation : quels effets sur la sécurité intérieure ?

Par Xavier Latour

Art. 398. Décentraliser le système de santé : un problème insoluble ?

Par Jean-Marie Crouzatier

Art. 399. La collectivité départementale de 1982 à aujourd’hui :
retour sur quelques vicissitudes du droit de la décentralisation

Par Virginie Donier

Art. 400. 40 ans de finances locales et toujours à la recherche de l’autonomie financière des collectivités territoriales !

Par Vincent Dussart

Art. 401. 40 années d’autonomie financière des collectivités territoriales

Par Claude Raynal

Art. 402. 40 ans de décentralisation à travers la Dgf : un anniversaire en demi-teinte

Par Léo Garcia

Art. 403. De la décentralisation à l’autonomie : l’hypothèse de la Corse

Par Wanda Mastor

Art. 404. 40 ans de décentralisation dans l’outre-mer de droit commun : de la rigueur de l’identité législative à l’émergence d’un droit différencié

Par Pierre-Yves Chicot

Art. 405. L’échec de la décentralisation française : l’État, les élus et les règles

Par Bertrand Faure

Art. 406. 1982-2022, ou 40 nuances de décentralisation

Par Michel Verpeaux

Art. 407. À propos du rôle de l’élu local : les tourments d’un élu en charge de politiques culturelles  

Par Pierre Esplugas-Labatut

Art. 408. La décentralisation 40 ans après : un désastre

Par Jean-Bernard Auby

Art. 409. Plaidoyer pour une autonomie retrouvée des départements

Par Mélina Elshoud

Art. 410. 40 ans de décentralisation

Par Carole Delga

Art. 411. Décentralisation, le jour sans fin ?

Par Marietta Karamanli

Vous pouvez citer cet article comme suit :
Journal du Droit Administratif (JDA), 2021-2022 ; Dossier 09 – 40 ans de décentralisation(s) ;
dir. F. Crouzatier-Durand & M. Touzeil-Divina ; Art. 326.


[1] Sur le média : Touzeil-Divina M., « Le premier et le second Journal du Droit Administratif : littératures populaires du droit public ? » in Littératures populaires du Droit ; Paris, Lextenso ; 2019 ; p. 177 et s.

   Send article as PDF