| Fichier « ELOI » : Suite et fin

Note sous Conseil d’État, 30 décembre 2009, Association SOS Racisme – Groupe d’information et de soutien aux immigrés et autres, Req. nos 312051-313760.

La question de la création de fichiers de données par le pouvoir réglementaire et de leur utilisation par les autorités administrative, policière et judiciaire se pose avec d’autant plus d’acuité que leur création s’accélère depuis 1987, date de la mise en place du fichier automatisé des empreintes digitales : 1998 pour les empreintes génétiques, 2001 pour le fichier de police relatif aux infractions constatées (2006 pour le fichier du même type pour la gendarmerie), 2004 pour celui relatif aux infractions sexuelles, etc. D’ailleurs, dès 2006, Alex Türk soulignait, lors de la conférence internationale des commissaires à la protection des données de Londres, qu’une « vague « sécuritaire » … traduite par la création ou l’extension de nombreux fichiers et la mise en place, au profit des autorités de police, de nouveaux moyens d’investigation dans les systèmes d’information, pourrait bien submerger nos autorités. »^[1]

Notes

[1] CNIL, Rapport d’activités 2006, Paris, La Documentation française, 2007, p. 89

Le fichier « ELOI » relatif aux procédures d’expulsions, un des derniers nés, avait fait l’objet d’une censure par le Conseil d’État en 2007 car adopté par un arrêté ministériel alors qu’il ne pouvait l’être que par un décret en Conseil d’État et après avis de la CNIL^[1]. La nouvelle version de ce dernier, adoptée par le décret du 26 décembre 2006, prévoit précisément qu’il a pour objet de permettre le suivi de la mise en œuvre des mesures d’éloignement des étrangers et d’établir des statistiques relatives à ces mesures et à leur exécution^[2]. L’opiniâtreté des associations requérantes a conduit le juge administratif suprême à rendre un nouvel arrêt le 30 décembre 2009 à ce propos. En France, la création de fichiers automatisés est soumise tant à des règles de droit interne (loi « Foyer » modifiée^[3]) qu’à des normes internationales telles que la Convention européenne pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel^[4] et la directive du 24 octobre 1995^[5]. Le Conseil d’État a donc assis son raisonnement sur ces normes, ce qui l’a conduit à censurer la durée trop longue de conservation de données, ainsi que l’enregistrement dans le fichier automatisé du numéro des ressortissants étrangers en France ayant demandé un titre de séjour.

Les juges du Palais-Royal ont donc censuré certaines dispositions du décret au regard de la légalité interne à travers un contrôle de proportionnalité ; il n’en reste pas moins que les questions de légalité externe présentent elles aussi un certain intérêt

LA PORTEE DU CONTROLE DE LEGALITE EXTERNE

Le contrôle de la légalité externe du décret du 26 décembre 2006 porte tant sur sa forme que sur la procédure d’adoption, particulièrement les règles relatives aux consultations obligatoires.

SUR LA FORME DU DECRET

Lorsqu’un décret doit être adopté en Conseil d’État, le texte ne peut différer du projet qui lui est soumis ou du texte adopté par celui-ci. Effectivement, la minute déposée à la section de l’intérieur du Conseil d’État prévoyait que les données relatives aux noms, prénoms et adresses des visiteurs des étrangers placés en centre de rétention administrative seraient enregistrées dans ledit fichier. Or, cette catégorie de données ne figure plus dans le texte adopté. En l’espèce, les juges du Palais-Royal considèrent que « la suppression … de ces seules dispositions, qui sont divisibles des autres dispositions du décret, ne modifie ni la portée, ni l’économie générale du texte adopté par le Conseil d’État ». Ce grief est donc écarté.

Ensuite, les requérants soutenaient que le décret publié aurait dû être soumis au contreseing du garde des sceaux aux termes de l’article 22 de la Constitution^[6]. En effet, le fichier sera enrichi des informations relatives à la détention des étrangers faisant l’objet d’une mesure d’éloignement. Il n’en reste pas moins que le décret ne prévoit aucune mesure d’exécution de la part du ministre de la justice ce qui justifie que le Conseil d’État écarte ce moyen.

La procédure d’adoption dudit décret concerne les consultations, autorisations et avis obligatoires.

SUR LES PROCEDURES D’ELABORATION DU DECRET

Selon les requérants, en tant que l’article 1er du décret (notamment l’article R. 611-25 b qu’il instaure) prévoit une utilisation statistique des données enregistrées ; il aurait du être soumis au Conseil national de l’information statistique, chargé, aux termes de la l’article 1er de la loi du 7 juin 1951, « de coordonner les enquêtes statistiques des services publics, à l’exclusion des travaux statistiques d’ordre intérieur ne comportant par le concours de personnes étrangères à l’administration »^[7]. Or, ces dispositions ne s’appliquent que lorsqu’une enquête statistique est mise en place. En l’espèce, le décret prévoit uniquement « une exploitation statistique des données »^[8] dont le but est de faciliter la gestion de mesures d’éloignement. Par conséquent, ce moyen est aussi écarté par le juge administratif.

La question des règles relatives à la consultation de la CNIL sont quant à elles davantage problématiques. L’article 25 de la loi du 6 janvier 1978 dispose que la création de fichiers automatisés doit être soumise à l’autorisation de la CNIL. Les requérants estimaient donc que le pouvoir réglementaire avait méconnu cette obligation législative en ne recueillant qu’un avis. Or, l’article 11-III de la loi relative à la maîtrise de l’immigration du 26 novembre 2003^[9] (les dispositions en question figurent à l’article L. 611-5 du Code de l’entrée et du séjour des étrangers et du droit d’asile), modifiant l’ordonnance du 2 novembre 1945, prévoit qu’un décret en Conseil d’État, pris après avis de la CNIL, fixe les modalités de création dudit traitement automatisé. Le juge administratif suprême estime naturellement que « le législateur a entendu autoriser directement la création du traitement automatisé de données objet du décret attaqué, en écartant celles des formalités et règles de la loi du 6 janvier 1978 … auxquelles il entendait déroger parmi lesquelles figurent celles de l’article 25 ». Il est naturellement loisible au législateur de contourner un texte qu’il a lui-même élaboré ; seulement, immanquablement se pose la question de la cohérence législative : quelle logique y a-t-il à adopter une loi d’envergure, à portée générale – celle de 1978 – pour ensuite contourner son dispositif par une disposition de convenance ? Plus largement se pose la question de la constitutionnalisation de la protection de la vie privée. En effet, le Conseil constitutionnel a donné valeur constitutionnelle à ce principe^[10] , ce qui n’est pas le cas des conditions de sa mise en œuvre. Selon le « Comité Veil », la constitutionnalisation du droit au respect de la vie privée « serait dépourvue de toute portée pratique, faute d’ajouter une composante significative aux contraintes juridiques auxquelles est d’ores et déjà soumis le législateur par le double effet de la jurisprudence du Conseil constitutionnel et des traités internationaux. »^[11]. A contrario, selon le député Huyghe, membre de la CNIL, « la protection des données personnelles est reconnue par le conseil Constitutionnel sic comme un principe de référence, la loi « informatique et libertés » ayant le statut des lois assurant la protection d’un principe de valeur constitutionnelle, à savoir la liberté individuelle, elle-même constitutive d’un principe fondamental garanti par les lois de la République. »^[12]. Il semble possible de contourner ce débat en le faisant glisser sur le terrain du droit processuel et non plus matériel, simplement en constitutionnalisant le principe d’autorisation de la CNIL en matière de création de fichier, ce qui, par ailleurs, serait « acceptable » par le constituant dans la mesure où les règles processuelles n’entrent pas dans le cadre du contrôle de constitutionnalité a posteriori.

Outre ces considérations de légalité externe, le juge administratif a analysé le décret au regard de sa légalité interne.

LE DECRET AU CRIBLE DU CONTROLE DE PROPORTIONNALITE

Sur le fond, les règles relatives à la création de fichiers automatisés imposent que les données recueillies soient « adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées »^[13]. De plus, un traitement automatisé ne peut porter que sur des données recueillies de manière loyale et licite, les données collectées ne peuvent l’être que pour des finalités explicites et légitimes, enfin, ces données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées^[14]. Ainsi, le juge administratif va-t-il devoir opérer un contrôle de proportionnalité. Selon lui, « pour l’application de ces stipulations et de ces dispositions, les données pertinentes et regard sic de la finalité d’un traitement automatisé d’informations nominatives sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité ». De ce point de vue, le Conseil d’État élabore traditionnellement un tel contrôle lorsqu’il a à connaître de fichiers automatisés^[15].

En rejetant les griefs relatifs à la question du traitement statistique, le juge administratif en précise la portée en s’assurant de la déconnexion entre la mesure statistique et l’identification des personnes recensées. À propos de la nature des données, de leur durée de conservation et de la protection de leur accessibilité, le juge administratif censure une durée de conservation excessive.

SUR L’UTILISATION DU FICHIER A DES FINS STATISTIQUES

Les requérants estimaient que les données enregistrées pourraient faire l’objet d’une utilisation illicite et déloyale. Seulement, cet argument n’est pas étayé par une preuve. Par conséquent, le moyen est écarté car manquant en fait.

Sur ce même objet, les associations parties arguaient du fait que la gestion du fichier automatisé confiée au ministère de l’immigration ne présenterait par toutes les garanties nécessaires dans la mesure où les données statistiques pourraient permettre la prise de décision à l’égard des personnes dont les noms figurent dans le traitement automatisé. En ce sens, elles pourraient faire l’objet d’une utilisation déloyale et illicite. Le juge administratif de considérer « que le ministre soutient, sans être utilement contredit, que le traitement automatisé ne permet pas de procéder à une identification nominative des intéressés à partir des résultats statistiques ». A contrario, si une telle identification avait été possible, il est envisageable que le Conseil d’État l’eût censuré dans la mesure où les moyens auraient été disproportionnés par rapport aux fins. En effet, le fichier a uniquement pour objet de permettre le suivi de la mise en œuvre des mesures d’éloignement des étrangers et d’établir des statistiques relatives à ces mesures et à leur exécution.

Le juge administratif a eu à connaître de la pertinence et de l’adéquation des données enregistrées au regard de l’objectif assigné au traitement, à savoir l’amélioration de la gestion des mesures d’éloignement.

SUR LES DONNEES ENREGISTREES ET LEUR PROTECTION

Les règles relatives à la création de fichiers automatisés précisent que les données compilées doivent être adéquates et pertinentes. Selon les requérants, elles ne le seraient pas tant au regard de la finalité statistique qu’à celle de la gestion des procédures d’éloignement. Sur la finalité statistique d’abord, le Conseil d’État estime que l’impossible identification à partir de ces données des personnes recensées assure l’adéquation des fins aux moyens. Sur l’amélioration de la gestion des procédures d’éloignement ensuite, le juge administratif suprême considère que les données relatives au nom, prénom et âge des enfants mineurs de la personne fichée, l’utilisation d’un pictogramme de couleur (en fonction de l’état de la procédure d’éloignement) « sans précision quant à la nature des faits pouvant être reprochés, de la nécessité d’une surveillance particulière, au regard de l’ordre public, de l’étranger faisant l’objet d’une procédure d’éloignement » ; que les données concernant l’éventuelle détention d’une personne frappée d’une procédure d’éloignement ou celle relatives à son hospitalisation et ses expertises médicales, que la mention faite de l’assignation à résidence (en cas de prolongation d’une mesure de rétention administrative) ainsi que les nom, prénoms et adresse de la personne hébergeant l’étranger sont des données pertinentes.

En revanche, les juges du Palais-Royal estiment que l’enregistrement du numéro national d’identification des étrangers ayant demandé un titre de séjour dans un fichier ayant pour objet la simplification du traitement des mesures d’éloignement des étrangers en situation irrégulière constitue une donnée non pertinente est disproportionnée par rapport aux finalités de ce fichier. En effet, un tel recensement aurait conduit à ficher l’ensemble des étrangers faisant une demande de titre de séjour dans une base de donnée relative à l’éloignement d’étrangers en situation irrégulière. De ce fait, le fichier aurait dépassé son objectif premier.

Ensuite, le juge administratif a eu à connaître de la durée de conservation des données enregistrées. Ainsi que le prévoit le 5e de l’article 6 de la loi du 6 janvier 1978, les données à caractère personnel « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». L’article 1er du décret prévoit que les données sont effacées trois mois après la date d’éloignement effectif ; toutefois, certaines d’entre elles peuvent être conservées durant trois ans^[16].

Sur ce point, les requérants estimaient tout d’abord que le décret n’a pas prévu un dispositif permettant l’effacement immédiat des données relatives aux mesures d’éloignement ayant fait l’objet d’une annulation contentieuse définitive, d’un retrait ou d’une abrogation expresse. Le juge administratif estime que ce moyen manque en fait, le décret se bornant à préciser que ces données doivent être effacées. Seul l’avenir permettra de savoir si les requérants avaient raison ; seulement, la mauvaise gestion du système de traitement des infractions constatées (STIC) démontre amplement les dysfonctionnements dudit fichier^[17]. Seulement, le juge administratif suprême estime que si la durée de trois mois est justifiée au regard de l’objectif qui consiste à mieux gérer les procédures d’expulsion, il ne peut en être de même pour les données destinées à être conservées durant trois années. En effet, une telle durée transforme le ficher que l’on peut qualifier de système de gestion en un système de fichage des étrangers éloignés du territoire national. En conséquence, le fichier ainsi établi permettrait de faciliter une nouvelle mesure d’éloignement d’un étranger déjà éloigné et qui serait revenu sur le territoire national. C’est donc ainsi que les juges du Palais-Royal censurent cette durée de conservation disproportionnée.

Enfin, comme ultime moyen, les associations estimaient que l’article 34 de la loi du 6 janvier 1978, disposant que le responsable du traitement doit prendre toutes les mesures utiles afin de garantir la sécurité et la confidentialité des données, était méconnu. Le Conseil d’État a estimé que les agents de police et de gendarmerie en charge de la gestion des lieux de rétention administrative et de l’exécution des mesures d’éloignement devant être individuellement désignés et habilités par le directeur départemental de la sécurité publique, le directeur départemental de la police aux frontières ou le commandant de gendarmerie, le décret ne pouvait être regardé comme méconnaissant l’article 34.

Notes

[1] CE, 12 mars 2007, Gisti et autres, Association SOS Racisme et Syndicat de la magistrature, Rec. Lebon 2007, observations, C. de Gaudemont, 13 mars 2007, Dalloz actualités, www.dalloz.fr

[2] Art. R. 611-25 du Code de l’entrée et du séjour des étrangers et du droit d’asile issu du décret n° 2007-1890 du 26 décembre 2007 portant création d’un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l’objet d’une mesure d’éloignement et modifiant la partie réglementaire du code de l’entrée et du séjour des étrangers et du droit d’asile, JORF 30 décembre 2001, p. 21946

[3] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF 7 janvier 1978, p. 227 modifiée par la loi n°2005-1549du 12 décembre 2005 relative au traitement de la récidive des infractions pénales, JORF 13 décembre 2005, p. 19152

[4] Ratification française par la loi n°82-890 du 19 octobre 1982 autorisant l’approbation de la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, signé à Strasbourg le 28 janvier 1981, JORF 20 octobre 1982, p. 3163

[5] Directive du 24 octobre 1995 n°95/46 CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE, n° L 281 du 23/11/1995. Sur ce point, v. notamment M.-C. Ponthoreau, « La directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », RFDA 1997, pp. 125-138

[6] Art. 22 C : « Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution. »

[7] Loi n°51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, JORF 8 juin 1951, p. 5013

[8] Art. R. 611-25 b

[9] Loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise de l’immigration, au séjour des étrangers en France et à la nationalité, JORF 27 novembre 2003 p. 20136

[10] CC déc. n° 76-75 DC, 12 janvier 1977, Loi autorisant la visite des véhicules en vue de la recherche et de la prévention des infractions pénales, Rec. p. 33 ; déc. n° 94-352 DC, 18 janvier 1995, loi d’orientation et de programmation relative à la sécurité, Rec. p 170 ; déc. n°99-416 DC, 23 juillet 1999, Loi portant création d’une couverture maladie universelle, Rec. p. 100 ; déc. n° 2003-467 DC, 13 mars 2003, Loi pour la sécurité intérieure, Rec. p. 211

[11] Rapport au Président de la République, Comité de réflexion sur le Préambule de la Constitution, p. 99

[12] CNIL, Rapport d’activités 2008, Paris, La Documentation française, 2009, p. 27

[13] Art. 5 conventions pour la protection des personnes à l’égard du traitement automatisent des données à caractère personnel, préc

[14] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, préc

[15] CE, 30 octobre 2001, Association française des sociétés financières, Rec. Lebon, ou CE, 26 juillet 2006, Gisti et autres, Rec. Lebon

[16] Nom, prénoms, sexe, numéro d’identification, date et lieu de naissance, nationalité, noms et prénom du père et de la mère, noms, prénoms et date de naissance des enfants, photographie, alias éventuel, type et numéro, date et lieu de délivrance et durée de validité du document d’identité, motif de l’interpellation, autorité ayant prononcé la mesure d’éloignement, date, heure et notification des mesures administratives, date de la réunion de la commission d’expulsion, décisions de remises aux autorités d’autres États, date de début et de fin des mesures judiciaires d’interdiction du territoire, Préfecture en charge de l’expulsion, soustraction à la mesure d’éloignement, recours contentieux, demande de laissez-passer consulaire. Si la procédure d’expulsion n’a pas été exécutée, le délai de suppression court à compter de la fin de la rétention

[17] V. notamment sur ce point S. Lavric, « Fichiers de police : publication d’un rapport parlementaire », Rec. Dalloz 2009, p. 938. Sur le contrôle opéré par la Cour européenne des droits de l’homme de la conservation de données, v. notamment S. Peyrou-Pistouley, « L’affaire Marper c/ Royaume-Uni : un arrêt fondateur pour la protection des données dans l’espace de liberté, sécurité, justice de l’Union européenne, RFDA 2009, pp. 741-758