Art. 327.

Avertissement : L’auteur a eu le plaisir et l’honneur d’aider deux des requérants dans la contestation de la légalité du fichier de gendarmerie GendNotes.
Pour autant, il s’est efforcé d’être le plus objectif possible dans le commentaire ci-après.

« L’information, c’est tout, à la guerre comme pendant la paix,
dans la politique comme dans la finance.
[C’est] uniquement la connaissance des choses qui, gouverne la France. »^[1]

Le fichier GendNotes fut conçu comme la réponse pour la gendarmerie au besoin de moderniser le carnet de notes du Gendarme. Cette évolution fut l’occasion pour le ministre de l’Intérieur de proposer de mettre à jour ce dispositif en proposant une série de fonctionnalités présentées comme faites pour faciliter l’activité du militaire.

Dans une France où le nombre de fichiers de police est inconnu, la création de cette application mobile fut l’occasion pour le ministre de l’intérieur, d’essayer une approche plus intégrée des mises en relation et interconnexions des fichiers de police, afin de rendre plus transparente et accessible la consultation de ces bases de données par l’agent habilité.

À cet égard, ce fichier poursuivait comme finalité de faciliter le recueil et la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de prérenseignement, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de préventions, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices administrative et judiciaire. Ainsi que faciliter la transmission de comptes rendus aux autorités judiciaires.

Malgré les alertes de la CNIL^[2] sur la légalité d’un « tel couteau suisse », le ministre de l’Intérieur prit le 20 février 2020 le décret n° 2020-151 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes).

Plusieurs associations dont l’Internet Society France, Homosexualités et socialisme, la Ligue des droits de l’Homme ou le Conseil National des Barreaux contestèrent devant le Conseil d’Etat, la légalité de ce décret.

Par un arrêt en date du 13 avril 2021 le Conseil d’État fit droit à une partie des demandes en censurant notamment l’interconnexion automatique du fichier GendNotes avec d’autres fichiers de Gendarmerie.  Pour autant, la diversité des moyens soulevés par les requérants a été l’occasion pour la haute juridiction administrative de rappeler ou de préciser ses positions jurisprudentielles tant au regard des moyens accueillis que des moyens rejetés.

Ainsi, si l’apport jurisprudentiel majeur de cet arrêt porte sur l’obligation de lister dans l’acte réglementaire les fichiers mis en relation ou interconnectés (I), force est de constater que le juge administratif s’est refusé de s’intéresser au fonctionnement, « dans la pratique » du fichier et aux dérives possibles pour se cantonner à une interprétation textuelle des dispositions contestées (II).

I. De l’obligation pour les fichiers de police de préciser les mises en relations entre traitements

L’apport jurisprudentiel majeur de cet arrêt tient en l’obligation pour le pouvoir réglementaire de préciser et lister les fichiers mis en relation avec le traitement qu’il souhaite créer. Cette précision doit être présente dans le décret de création du fichier et ne peut se déduire des avis de la CNIL ou de tout autre élément.

Pour autant, dans l’étude de la motivation qui a présidé à cet apport, montre un choix tactique du juge de privilégier comme norme de référence la loi informatique et libertés (A) que l’article 8 de la Convention européenne des droits de l’Homme (B).

A. Une motivation à l’aune de la loi informatique et libertés

Tout d’abord, alors que l’étendue des finalités pouvait laisser planer un doute, le Conseil d’État exclut des normes de référence de son contrôle le RGPD au profit d’une Directive spéciale^[3].

Partant de ce constat, il considère,  calque de la jurisprudence de la Cour européenne des droits de l’Homme^[4], dans la droite ligne  de sa jurisprudence antérieure^[5] : «que l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ».

C’est ainsi dans les dispositions communes à tous les traitements de la loi informatique et libertés et notamment à son article 4 al. 2 que le Conseil d’État trouve le fondement juridique à l’annulation partielle du décret.

Ce dernier prévoit que les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Or, l’article 1er du décret attaqué en précisant que la finalité consistait en une « exploitation ultérieure dans d’autres traitements » et ne peut être regardée comme déterminée, explicite et légitime, d’autant que cette dernière était quasi-automatique par le recours à un système de préenregistrement.

L’absence de précision quant à la nature, le nombre, ou la dénomination des « autres traitements » entraîne l’indétermination de la finalité. En effet, d’un point de vue théorique, l’interconnexion peut être considérée comme un changement de finalité des données, puisque ces dernières sont alors traitées au regard des finalités du fichier interconnecté et non pour celles qui ont justifié leurs captations.

Les juges du palais royal ont ainsi censuré la mention « en vue de l’exploitation dans d’autres fichiers », à cause de l’imprécision de la formulation retenue.

Ce n’est pas le principe même de la finalité d’interconnexion qui est battu en brèche, mais simplement l’imprécision qui ne permet guère de connaître les fichiers interconnectés. Ainsi, dans une autre espèce, le Conseil d’État avait considéré comme satisfaisant les dispositions de l’article 4 al. 2 de la loi informatique et liberté la finalité d’interconnexion d’un traitement avec sept autres traitements^[6]. À la différence que, dans la jurisprudence, ces derniers étaient limitativement énumérés dans le décret attaqué^[7]. 

Ainsi en l’absence de la liste dans le décret des mises en relations du traitement, le Conseil d’État ne cherche pas à déduire cette liste des avis de la CNIL. Dans le silence du décret, elle considère les conditions de licéité du traitement comme manquantes.

B. Une motivation qui fait fi de la Convention européenne des droits de l’Homme

De manière assez surprenante, si tous les requérants ont cité comme norme de référence pour obtenir l’annulation du décret l’article 8 de la Convention européenne des droits de l’Homme, force est de constater que le Conseil ne l’utilise guère dans sa motivation. Et pourtant, l’application de la jurisprudence de la Cour européenne des droits de l’Homme au cas d’espèce aurait été une source féconde de réflexion.

Contrairement à ce que prévoyait le décret attaqué, dès lors que le régime juridique des données, notamment au regard des finalités, est conditionné par les interconnexions et les mises en relation de ce fichier, le gouvernement ne pouvait passer outre  “l’impératif de prévisibilité de la loi”. Ce dernier prévu, notamment, aux  articles  8§2 et 9§2 de la Convention et de la jurisprudence de la Cour européenne des droits de l’Homme, rendait nécessaire la mention expresse dans le décret des fichiers avec lesquels l’interconnexion ou la mise en relation était envisagée.

En effet, en droit européen des droits de l’Homme, concernant les atteintes aux droits garantis par la Convention, les impératifs de prééminence du droit et de prévisibilité de la loi impliquaient notamment que la disposition soit suffisamment précise pour permettre raisonnablement au citoyen de prévoir les conséquences pouvant dériver d’un acte déterminé et que la disposition juridique est accessible au citoyen.

Ainsi, de manière classique, comme le relevait dès 1984 la Cour européenne^[8] les dispositions  “prévues par la loi”  au sens de l’article 8 al. 2 de la Convention ne se bornent pas à renvoyer au droit interne, mais concernent aussi la qualité de la loi. Cela « implique ainsi (…) que le droit interne doit offrir une certaine protection contre des atteintes arbitraires de la puissance publique aux droits garantis par le paragraphe 1 (art. 8-1) (…). Or le danger d’arbitraire apparaît avec une netteté singulière là où un pouvoir de l’exécutif s’exerce en secret »^[9]. 

Or, en se refusant à préciser dans le texte du décret les interconnexions envisagées, le rédacteur du décret a rendu impossible pour le citoyen de prévoir les conséquences qui peuvent dériver de l’enregistrement de ses informations, violant ainsi l’impératif de prééminence du droit.

D’ailleurs cette argumentation se trouvait renforcée par la question de l’accessibilité de l’information pour le citoyen .

Comme la Cour le précise : « Il faut d’abord que la « loi » soit suffisamment accessible : le citoyen doit pouvoir disposer de renseignements suffisants, dans les circonstances de la cause, sur les normes juridiques applicables à un cas donné »^[10].

Dès lors, ce droit à l’information comme condition d’accessibilité de la norme, ne peut guère être regardé comme satisfait dès lors que le citoyen ne dispose pas dans l’acte qui crée le fichier de la liste des interconnexions envisagées. 

Pour autant, si cette motivation alternative conduisait au même dispositif, et à l’annulation des dispositions, force est de constater que le juge a privilégié le droit de l’Union européenne transposé en droit interne, que l’approche par le droit à la vie privée tel que précisé par la jurisprudence de la Cour européenne des droits de l’Homme.

II. Le rejet de la « privacy by design »  

Dans cet arrêt le raisonnement du Conseil d’État, défenseur de son office, se refuse à connaître des utilisations ou des risques d’utilisation de Gendnotes et partant à y intégrer des garde-fous dès la conception, ce que les Anglo-saxons ont popularisé sous l’expression « privacy by design ».

Ce refus de s’intéresser au fonctionnement « pratique » de ce fichier a pour conséquence que le juge du Palais Royal se refuse à contrôler les mises en relation en cascade de fichiers (A) et de refuser de considérer la zone de commentaire libre comme justement « libre » (B).

A. Le refus d’encadrer les mises en relation en cascade

Au-delà de la position de principe, la Cour ne se prononce guère sur la question des mises en relation en cascade. En effet, dans le silence du décret, était-il possible de trouver dans l’avis de la CNIL^[11], l’indication que le Gouvernement souhaitait interconnecter, dans un premier temps, le fichier attaqué au logiciel de rédaction des procédures de la gendarmerie nationale (LRGPN)^[12] et au traitement de données dénommé « messagerie tactique ».

Il est à noter que ce dernier, ne dispose à l’heure actuelle d’aucune base légale.

Or, ces interconnexions ou mises en relations purement indicatives et non contenues dans un acte normatif pour l’administration, entraînaient en cascade d’autres interconnexions. Ainsi, et la liste est non exhaustive, les mises en relation envisagées entraînaient des mises en relation avec les traitements suivants : le système national des permis de conduire, l’application de gestion des ressortissants étrangers en France, le traitement des antécédents judiciaires, ou le fichier des personnes recherchées. Il ne s’agit là que de l’étape 1 de cette mise en abîme des données.

A titre d’illustration ce dernier fichier se trouve aussi interconnecté avec le Système d’information Schengen ou le fichier des passagers aériens. Autant de fichiers dont l’interconnexion n’était ni prévue ni organisée dans le décret attaqué.  Or, la Cour dans son arrêt ni ne mentionne ni ne précise sa jurisprudence relative à cette problématique.

B. le refus de considérer la « zone de commentaire libre » comme libre.

Le dernier alinéa de l’article 2 du décret attaqué autorise le traitement de données sensibles au sens du I de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Sont ainsi considérées les données « relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle ».

Les informations de ce type, aux termes du dernier alinéa de l’article 2 du décret, ne peuvent être enregistrées que dans la zone de commentaire libre. Il est à noter que par l’emploi du pluriel, l’annexe du décret semble prévoir l’existence de plusieurs zones de commentaire libre, alors même que l’article 2 du décret n’encadre qu’une zone relative aux données sensibles. Il pourrait donc y avoir plusieurs zones de commentaires libres, mais une seule régie par l’article 2 du décret et donc susceptible de recevoir des données sensibles. Au-delà de coquetterie orthographique se cachait tout de même un problème de régime juridique important que le Conseil d’État n’a pas souhaité analyser.

Quant au régime juridique attenant à ces données, il est essentiellement constitué, dans ce même article, par un rappel des principes de nécessité et de finalité dans la collecte des données « de nécessité absolue pour les seules fins et dans le strict respect des conditions définies au présent décret, dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».

Face à cela le Conseil d’État se borne à rappeler que les données sensibles que les militaires pourraient enregistrer, ne peuvent l’être qu’en cas de nécessité absolue. Tout en refusant de considérer dans son contrôle les possibilités de détournement des finalités de ces zones libres. Ainsi, le contrôle du Conseil d’État se limite à une analyse textuelle, laissant à l’agent une grande latitude, présumant de la légalité de l’action du gendarme.

Pour autant, cette position du juge administratif est dans la droite ligne de la jurisprudence antérieure, qui fait fi, des mouvements contemporains de « privacy by design », ou de limitation des possibilités laissées à l’utilisateur pour empêcher le détournement de finalité, au profit d’une analyse plus abstraite et textuelle du décret.

Vous pouvez citer cet article comme suit :
Journal du Droit Administratif (JDA), 2021 ;
Chronique administrative ; Art. 327.

---

^[1] S, Zweig, Fouché, lgf, p. 42.

^[2] CNIL, Délibération n° 2019-123 du 3 octobre 2019 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (demande d’avis n° 17021804)

^[3] DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

^[4] Voir notamment pour les décisions les plus récentes : CEDH, Cour (Grande Chambre), 17 oct. 2019, n° 1874/13;8567/13 , CEDH, Cour (Troisième Section), 19 juin 2018, n° 35252/08. CEDH, Cour (Grande Chambre), 27 juin 2017, n° 931/13.

^[5] CE, 10e – 9e ch. réunies, 18 oct. 2018, n° 404996. / CE, 10-9  chr, 24 oct. 2019, n° 422583.

^[6] CE, 10e – 9e ch. réunies, 11 juill. 2018, n° 414827. 0

^[7] Décret n° 2019-1074 du 21 octobre 2019 modifiant le décret n° 2017-1224 du 3 août 2017 portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD)

^[8] CEDH, 2 août 1984, Malone, n° 8691/79

^[9] CEDH 24 avr. 1990, Kruslin c/ France, §30

^[10] CEDH, Sunday Times c. RU du 26 avril 1979, 6538/74, §40

^[11] CNIL, Délibération n° 2019-123 du 3 octobre 2019 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (demande d’avis n° 17021804)

^[12] Décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l’Intérieur (direction générale de la gendarmerie nationale) d’un traitement automatisé de données à caractère personnel d’aide à la rédaction des procédures (LRPGN)

Tweet