Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

jeudi 15 avril 2021
Facebook Viadeo Linkedin

Conseil d’État, 10ème – 9ème ch. réunies, arrêt du 13 avril 2021

Ligue des droits de l'homme, le Syndicat de la magistrature, le Conseil national des barreaux, et autres

accès aux données - données personnelles - données sensibles - durée de conservation - fichier de police - finalités - obligation de sécurité - proportionnalité

1° Sous le numéro 439360, par une requête sommaire et un mémoire complémentaire, enregistrés les 6 mars et 8 juin 2020 au secrétariat du contentieux du Conseil d’Etat, l’association  » La Ligue des droits de l’homme  » demande au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) de mettre à la charge de l’Etat la somme de 5 000 euros au titre de l’article L. 761-1 du code de justice administrative.

2° Sous le numéro 440978, par une requête et un mémoire en réplique, enregistrés les 2 juin 2020 et 9 mars 2021 au secrétariat du contentieux du Conseil d’Etat, les associations Homosexualités et socialismes et Internet Society France demandent au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) de mettre à la charge de l’Etat la somme de 3 000 euros à verser à chacune des associations au titre de l’article L. 761-1 du code de justice administrative.

…………………………………………………………………………

3° Sous le numéro 441151, par une requête et un mémoire en réplique enregistrés le 12 juin 2020 et le 23 mars 2021 au secrétariat du contentieux du Conseil d’Etat, les associations Mousse, Stop Homophobie, ADHEOS et Familles-A… demandent au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) de mettre à la charge de l’Etat la somme de 3 000 euros au titre de l’article L. 761-1 du code de justice administrative.

…………………………………………………………………………

4° Sous le numéro 442307, par une requête enregistrée le 30 juillet 2020 au secrétariat du contentieux du Conseil d’Etat, l’association AIDES, le Syndicat de la magistrature et le Syndicat des avocats de France demandent au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) de mettre à la charge de l’Etat la somme de 4 000 euros au titre de l’article L. 761-1 du code de justice administrative.

…………………………………………………………………………

Il soutient que le décret attaqué méconnaît l’article 4 de la loi du 6 janvier 1978, la convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et l’article 8 de la charte des droits fondamentaux de l’Union européenne en ce qu’il porte une atteinte excessive au droit au respect de la vie privée et au droit corrélatif à la protection des données personnelles, sans prévoir les garanties appropriées à leur protection en termes de précision sur la finalité du traitement et sur la nature des données collectées, mais aussi en termes de durée de conservation des données, de contrôle des destinataires des données collectées et de sécurité.

…………………………………………………………………………

6° Sous le numéro 442363, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique enregistrés les 2 août et 3 novembre 2020 et le 26 mars 2021 au secrétariat du contentieux du Conseil d’Etat, l’association  » La Quadrature du Net  » demande au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) d’enjoindre au ministre de l’intérieur de procéder à la suppression des données collectées depuis l’entrée en vigueur de ce décret, sous astreinte de 1 024 euros par jour de retard ;

3°) de mettre à la charge de l’Etat la somme de 4 096 euros au titre de l’article L. 761-1 du code de justice administrative.

…………………………………………………………………………

7° Sous le numéro 443239, par une requête enregistrée le 24 août 2020 au secrétariat du contentieux du Conseil d’Etat, l’association  » La Ligue Internationale Contre le Racisme et l’Antisémitisme  » demande au Conseil d’Etat :

1°) à titre principal, d’annuler pour excès de pouvoir le décret n° 2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ;

2°) à titre subsidiaire, d’annuler le dernier alinéa de l’article 2 de ce décret autorisant la collecte de données sensibles ;

3°) de mettre à la charge de l’Etat la somme de 3 000 euros au titre de l’article L. 761-1 du code de justice administrative.

…………………………………………………………………………

Vu les autres pièces des dossiers ;

Vu :
– la Constitution, notamment son Préambule ;
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– la convention n°108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
– la convention internationale relative aux droits de l’enfant ;
– le traité sur l’Union européenne ;
– la charte des droits fondamentaux de l’Union européenne ;
– le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
– la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
– la loi organique n° 2011-833 du 29 mars 2011 ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le code de justice administrative et le décret n°2020-1406 du 18 novembre 2020 ;

Après avoir entendu en séance publique :

– le rapport de Mme Myriam Benlolo-Carabot, maître des requêtes en service extraordinaire,

– les conclusions de de M. Alexandre Lallet, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de la Ligue des droits de l’homme, à la SCP Sevaux, Mathonnet, avocat de l’association Aides, du Syndicat de la magistrature et du Syndicat des avocats de France et à la SCP Boré, Salve de Bruneton, Mégret, avocat du Conseil national des barreaux ;

Considérant ce qui suit :

1. Les requêtes de la Ligue des droits de l’homme, des associations Homosexualités et socialismes et Internet Society France, des associations Mousse, Stop Homophobie, Adheos et Familles A…, de l’association AIDES, du Syndicat de la magistrature et du Syndicat des avocats de France, du Conseil national des barreaux, de la Quadrature du Net et de la Ligue internationale contre le racisme et l’antisémitisme sont dirigées contre le même décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes). Il y a lieu de les joindre pour statuer par une même décision.

2. Le décret attaqué autorise le ministre de l’intérieur à mettre en oeuvre un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ayant pour finalités, aux termes de son article 1er, de  » 1° Faciliter le recueil et la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de police judiciaire et administrative ; / 2° Faciliter la transmission de comptes rendus aux autorités judiciaires « . Aux termes de l’article 2 du décret attaqué :  » Peuvent être enregistrées, dans la stricte mesure où elles sont nécessaires, adéquates et proportionnées aux finalités mentionnées à l’article 1er, les données à caractère personnel et informations (…) relatives : 1° A l’ensemble des éléments relatifs aux personnes, aux lieux ou aux objets qui sont recueillis dans le cadre des interventions des militaires de la gendarmerie nationale ou de l’exécution de leur service ; / 2° A l’ensemble des éléments de procédure qui sont transmis aux magistrats lors de gardes à vue ou lors du traitement de certaines infractions relatives à la police de la route. / (…) La collecte et le traitement des données à caractère personnel de la nature de celles mentionnées au I de l’article 6 de la loi du 6 janvier 1978 susvisée relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle ne sont possibles qu’en cas de nécessité absolue pour les seules fins et dans le strict respect des conditions définies au présent décret, dans les limites des nécessités de la mission au titre de laquelle elles sont collectées « .

Sur la légalité externe du décret attaqué :

3. En premier lieu, l’article 89 de la loi du 6 janvier 1978 dispose :  » (…) II.- Si le traitement porte sur des données mentionnées au I de l’article 6, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l’article 31 « . Aux termes du II de l’article 31 de la même loi :  » Ceux des traitements qui portent sur des données mentionnées au I de l’article 6 sont autorisés par décret en Conseil d’Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement « . Il résulte de ces dispositions que la compétence du pouvoir réglementaire pour autoriser par décret en Conseil d’Etat le traitement décrit au point 2 est prévue par la loi du 6 janvier 1978. Le moyen tiré de l’incompétence du Premier ministre pour adopter le décret attaqué ne peut, en conséquence, qu’être écarté.

4. En deuxième lieu, il ressort des pièces versées au dossier par le ministre de l’intérieur, notamment de la copie de la minute de la section de l’intérieur du Conseil d’Etat, que le décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes) ne contient pas de disposition qui diffèrerait à la fois du projet initial du Gouvernement et du texte adopté par la section de l’intérieur. Par suite, les requérants ne sont pas fondés à soutenir que les règles gouvernant l’examen par le Conseil d’Etat des projets de décret auraient été méconnues.

5. En troisième lieu, il ressort des pièces du dossier qu’ont été publiés au Journal officiel du 22 février 2020 le décret attaqué et la délibération n°2019-123 de la Commission nationale de l’informatique et des libertés en date du 3 octobre 2019. Par suite, le moyen tiré de l’absence de publication de l’avis de cette commission, prévue par les dispositions du II de l’article 31 de la loi du 6 janvier 1978 citées au point 3, manque, en tout état de cause, en fait.

6. En quatrième lieu, l’article 22 de la Constitution dispose :  » Les actes du Premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution.  » S’agissant d’un acte réglementaire, les ministres chargés de son exécution sont ceux qui ont compétence pour signer ou contresigner les mesures réglementaires ou individuelles que comporte nécessairement l’exécution de cet acte. Le décret attaqué n’appelant aucune mesure réglementaire ou individuelle d’exécution de la part du garde des sceaux, ministre de la justice et de la ministre des armées, le moyen tiré du défaut de contreseing de ces deux ministres ne peut qu’être écarté.

Sur la légalité interne du décret attaqué :

7. Le traitement dénommé  » Application mobile de prise de notes  » (GendNotes) autorisé par le décret attaqué est mis en oeuvre dans le cadre des interventions et enquêtes diligentées par les militaires de la gendarmerie nationale, notamment à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique. Il relève à ce titre des dispositions du titre III de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prises pour la transposition de la directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et non du titre II de la même loi relatif aux traitements relevant du régime prévu par le règlement du 27 avril 2016 dit règlement général sur la protection des données ( » RGPD « ). Il relève également des dispositions communes à l’ensemble des traitements de données à caractère personnel figurant au titre I de cette même loi, telles celles de l’article 4 aux termes desquelles :  » Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (…) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. (…) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (…) ; / 5° Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées « . Il résulte de ces dispositions que l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

En ce qui concerne les finalités du traitement :

8. Aux termes de son article premier, le décret attaqué autorise la création d’un traitement automatisé de données à caractère personnel ayant pour finalités, d’une part, de faciliter le recueil et la conservation,  » en vue de leur exploitation ultérieure dans d’autres traitements de données « , notamment par le biais d’un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions et, d’autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires. S’il résulte des éléments versés au dossier dans le cadre de l’instruction que  » l’exploitation ultérieure dans d’autres traitements  » des données collectées viserait notamment l’alimentation automatisée de l’application métier  » Logiciel de Rédaction des Procédures de la Gendarmerie Nationale  » et la mise en relation avec plusieurs autres fichiers via l’application dénommée  » Messagerie tactique « , le décret ne comporte aucune indication quant à la nature et à l’objet des traitements concernés ni quant aux conditions d’exploitation, dans ces autres traitements, des données collectées par le traitement  » Application mobile de prise de notes  » (GendNotes). Il s’ensuit que la finalité consistant en une  » exploitation ultérieure dans d’autres traitements « , notamment par le biais d’un système de pré-renseignement, des données collectées ne satisfait pas à l’exigence d’une finalité  » déterminée, explicite et légitime  » énoncée au 2° de l’article 4 de la loi du 6 janvier 1978 cité au point 7. Les requérants sont, dès lors, fondés à soutenir que le décret attaqué doit être annulé en ce qu’il assigne une telle finalité au traitement qu’il autorise, sans qu’il soit besoin de se prononcer sur les autres moyens des requêtes relatifs à la légalité du décret sur ce point.

9. En revanche, les autres finalités du traitement  » Application mobile de prise de notes  » (GendNotes) consistant, d’une part, à faciliter le recueil et la conservation, pour la réalisation des missions que les lois et règlements leur confient, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions et, d’autre part, à faciliter la transmission de comptes rendus aux autorités judiciaires, qui sont déterminées, explicites et légitimes, ne méconnaissent pas les dispositions de l’article 4 de la loi du 6 janvier 1978. Il y a donc lieu d’examiner les autres moyens soulevés à l’appui des requêtes à l’aune de ces deux finalités du traitement autorisé par le décret attaqué.

En ce qui concerne les données susceptibles d’être enregistrées :

10. Aux termes de l’article 5 de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel en date du 28 janvier 1981 :  » Les données à caractère personnel faisant l’objet d’un traitement automatisé sont : (…) c) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées « , ainsi qu’il est rappelé à l’article 4 de la loi du 6 janvier 1978 cité au point 7. Aux termes de l’article 6 de cette même loi :  » I. – Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. (…) / IV. – De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et soit autorisés dans les conditions prévues au I de l’article 25 ou au II de l’article 26, soit déclarés dans les conditions prévues au V de l’article 22 « . L’article 88 de cette même loi, applicable au traitement litigieux, précise que :  » Le traitement de données mentionnées au I de l’article 6 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est autorisé par une disposition législative ou réglementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée « .

11. Ainsi qu’il a été dit au point 2, l’article 2 du décret attaqué autorise l’enregistrement de données à caractère personnel et d’informations relatives, d’une part, à l’ensemble des éléments relatifs aux personnes, aux lieux ou aux objets qui sont recueillis dans le cadre des interventions des militaires de la gendarmerie nationale ou de l’exécution de leur service et, d’autre part, à l’ensemble des éléments de procédure qui sont transmis aux magistrats lors de gardes à vue ou lors du traitement de certaines infractions relatives à la police de la route. Le décret autorise également la collecte et le traitement de données sensibles relevant du I de l’article 6 de la loi du 6 janvier 1978, relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle, dans les conditions qu’il précise.

12. En premier lieu, aux termes même de l’article 2 du décret attaqué, l’enregistrement de données personnelles dans le traitement  » Application mobile de prise de notes  » (GendNotes) n’est autorisé, conformément aux exigences de l’article 87 de la loi du 6 janvier 1978, que dans la stricte mesure où ces données sont nécessaires, adéquates et proportionnées au regard des finalités poursuivies rappelées au point 9. S’il n’est pas expressément prévu de préciser si la personne dont les données sont collectées, à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative menées par les militaires de la gendarmerie nationale, est mise en cause ou seulement victime ou tiers, ni de qualifier la gravité des faits constatés et le caractère plus ou moins objectif des données enregistrées, il est constant que ces données doivent nécessairement être en rapport direct avec le motif, qui doit être mentionné et peut faire l’objet de précisions dans la zone de commentaires libres, de l’enregistrement dans le traitement de cette personne. Dès lors, les moyens tirés de la méconnaissance des articles 4 et 98 de la loi du 6 janvier 1978 visant à garantir le droit au respect de la vie privée et la protection des données personnelles doivent être écartés.

13. En second lieu, s’agissant des données personnelles à caractère sensible relevant du I de l’article 6 de la loi du 6 janvier 1978, il est, d’une part, expressément précisé qu’elles ne peuvent être enregistrées qu’en cas de nécessité absolue, cette condition devant être appréciée au regard des seules nécessités de l’intervention au cours de laquelle elles sont collectées, notamment pour la compréhension d’un fait ou la qualification ultérieure d’une infraction. D’autre part, ces données sensibles ne peuvent être saisies que dans les zones de commentaires libres prévues au V de l’annexe du décret et il est interdit de sélectionner une catégorie particulière de personnes à partir de ces seules informations. Dans ces conditions, en dépit de la liberté de formulation laissée aux militaires de la gendarmerie nationale pour saisir ces données dans ces zones de commentaires libres, l’autorisation d’enregistrement de données personnelles à caractère sensible dans ces zones présente des garanties appropriées au sens de l’article 88 de la loi du 6 janvier 1978 et ne méconnaît pas, par elle-même, les exigences posées par cette loi au titre du droit au respect de la vie privée, du droit à la protection des données personnelles et de la liberté de pensée, de conscience et de religion garantis par la Constitution, la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et la charte des droits fondamentaux de l’Union européenne.

En ce qui concerne l’accès au traitement :

14. L’article 4 du décret attaqué donne accès à tout ou partie des informations enregistrées dans le traitement, à raison de leurs attributions et dans la limite du besoin d’en connaître, d’une part, au militaire de la gendarmerie nationale rédacteur de la note ainsi que, sauf s’il s’y oppose, aux autres militaires de la gendarmerie nationale affectés dans son unité et, d’autre part, aux militaires de la gendarmerie nationale individuellement désignés par le rédacteur de la note affectés dans une autre unité. Par ailleurs, l’article 4 du décret attaqué prévoit que les autorités judiciaires, dans le cadre et dans les limites des besoins de l’exercice de leurs compétences, sont destinataires des données et informations enregistrées dans ce traitement et que certaines autorités administratives limitativement énumérées peuvent également être destinataires de tout ou partie des données recueillies dans le traitement  » à raison de leurs attributions et dans la stricte limite où l’exercice de leurs compétences le rend nécessaire, sous réserve que le cadre dans lequel ces informations ont été collectées rende possible cette communication, et dans la stricte limite du besoin d’en connaître « . Peuvent ainsi, à ce dernier titre, être destinataires de données enregistrées dans le traitement le préfet et le sous-préfet territorialement compétent, le haut-commissaire de la République en Nouvelle-Calédonie et en Polynésie Française et le maire de la commune concernée. Le décret attaqué prévoit en outre, à son article 6, que les opérations de consultation et de communication de données font l’objet d’un enregistrement de l’auteur, de la date, de l’heure et du motif de l’opération, ainsi que le cas échéant des destinataires de la communication, ces informations étant conservées pendant un délai de six ans. Dans ces conditions, eu égard aux finalités rappelées au point 9, le décret attaqué a pu inclure les autorités administratives qu’il vise parmi les destinataires du traitement en limitant strictement le champ des données concernées aux seules données dont elles ont besoin de prendre connaissance pour l’exercice de leurs attributions. Par suite, le moyen tiré de l’illégalité de l’article 4 du décret attaqué doit être écarté.

En ce qui concerne la durée de conservation des données :

15. L’article 3 du décret attaqué prévoit une durée de conservation des données de trois mois à compter de la date de leur enregistrement, cette durée pouvant être prorogée jusqu’à une durée maximale d’un an. Si les requérants soutiennent que l’exploitation dans d’autres traitements de ces données conduirait à leur conservation pour des durées plus longues, il résulte de ce qui a été dit au point 8 qu’une telle exploitation serait en tout état de cause illégale en l’absence de détermination des traitements susceptibles d’utiliser les données collectées dans le traitement  » Application mobile de prise de notes  » (GendNotes). Au regard des seules finalités du traitement retenues au point 9, la durée de conservation prévue à l’article 3 du décret attaqué n’excède pas celle nécessaire pour y répondre.

En ce qui concerne le droit d’opposition :

16. L’article 107 de la loi du 6 janvier 1978, pris pour la transposition de l’article 15 de la directive du 27 avril 2016, dispose :  » I. Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour : / 1° Eviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ; / 2° Eviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ; / 3° Protéger la sécurité publique ; / 4° Protéger la sécurité nationale ; / 5° Protéger les droits et libertés d’autrui. / Ces restrictions sont prévues par l’acte instaurant le traitement « . D’autre part, conformément à l’article 110 de cette même loi :  » Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. / Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte instaurant le traitement « .

17. L’article 5 du décret attaqué dispose que le droit d’opposition prévu à l’article 110 de la loi du 6 janvier 1978 ne s’applique pas au traitement  » Application mobile de prise de notes  » (GendNotes), conformément au second alinéa de cet article. Il prévoit en outre, conformément à l’article 107 de cette même loi, que  » afin d’éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ou d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, de porter atteinte à la sécurité publique ou la sécurité nationale « , des restrictions peuvent être apportées aux droits d’information, d’accès et de rectification des données, sous le contrôle de la Commission nationale de l’informatique et des libertés auprès de laquelle la personne concernée peut exercer ses droits. Eu égard aux finalités du traitement  » Application mobile de prise de notes  » (GendNotes) retenues au point 9, s’agissant notamment de la transmission d’informations aux autorités judiciaires, les requérants ne sont pas fondés à soutenir que de telles restrictions porteraient une atteinte excessive au droit au respect de la vie privée et à la protection des données personnelles.

En ce qui concerne les données relatives aux mineurs :

18. Si les requérants invoquent les stipulations de l’article 16 de la convention internationale relative aux droits de l’enfant, aux termes desquelles :  » 1. Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. 2. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes « , ni cette convention ni aucun autre texte ni aucun principe ne fait obstacle à ce que soit autorisé l’enregistrement, dans un traitement automatisé, de données relatives à des mineurs, sous réserve que, conformément aux exigences rappelées au point 7, l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée réponde à des finalités légitimes et que le choix, la collecte et le traitement des données soient effectués de manière adéquate et proportionnée au regard de ces finalités. Par suite, le moyen tiré de ce que devrait être prévue au bénéfice des mineurs une protection spécifique de leurs données personnelles ne peut qu’être écarté.

En ce qui concerne l’insuffisante sécurisation des données collectées :

19. L’article 121 de la loi du 6 janvier 1978 dispose :  » Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès « . Ces dispositions, qui imposent au responsable d’un traitement de garantir matériellement la sécurité des données et de s’assurer de ce que le traitement est utilisé conformément aux règles fixées par l’acte ayant autorisé sa création, sont sans incidence sur la légalité de l’acte par lequel le traitement est autorisé. Par suite, le moyen tiré de l’insuffisante sécurisation des données et informations collectées dans le traitement  » Application mobile de prise de notes  » (GendNotes) ne peut qu’être écarté.

20. Il résulte de tout ce qui précède que la Ligue des droits de l’homme, les associations Homosexualités et socialismes et Internet Society France, les associations Mousse, Stop Homophobie, Adheos et Familles A…, l’association AIDES, le Syndicat de la magistrature et le Syndicat des avocats de France, le Conseil national des barreaux, la Quadrature du Net et la Ligue internationale contre le racisme et l’antisémitisme sont seulement fondés à demander l’annulation pour excès de pouvoir des termes  » en vue de leur exploitation dans d’autres traitements, notamment par le biais d’un système de pré-renseignement,  » figurant au 1° de l’article 1er du décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » Application mobile de prise de notes  » (GendNotes). Le surplus des conclusions à fin d’annulation des requêtes doit être rejeté, ainsi que les conclusions présentées par la Quadrature du Net tendant au prononcé d’une injonction.

21. Il y a lieu, dans les circonstances de l’espèce, de mettre à la charge de l’Etat la somme de 3 000 euros à verser à chacun des requérants au titre de l’article L. 761-1 du code de justice administrative.

DECISION

Article 1er : Au 1° de l’article 1er du décret n° 2020-151 du 20 février 2020, les mots  » en vue de leur exploitation dans d’autres traitements, notamment par le biais d’un système de pré-renseignement,  » sont annulés.

Article 2 : L’Etat versera à la Ligue des droits de l’homme une somme de 3 000 euros au titre de l’article L. 761-1 du code de justice administrative, une somme de 3 000 euros aux associations Homosexualités et socialismes et Internet Society France, une somme de 3 000 euros aux associations Mousse, Stop Homophobie, Adheos et Familles A…, une somme de 3 000 euros à l’association AIDES, au Syndicat de la magistrature et au Syndicat des avocats de France, une somme de 3 000 euros au Conseil national des barreaux, une somme de 3 000 euros à la Quadrature du Net et une somme de 3 000 euros à la Ligue internationale contre le racisme et l’antisémitisme.

Article 3 : Le surplus des conclusions des requêtes est rejeté.

Article 4 : La présente décision sera notifiée à la Ligue des droits de l’homme, aux associations Homosexualités et socialismes et Internet Society France, aux associations Mousse, Stop Homophobie, Adheos et Familles A…, à l’association AIDES, au Syndicat de la magistrature, au Syndicat des avocats de France, au Conseil national des barreaux, à la Quadrature du Net et à la Ligue internationale contre le racisme et l’antisémitisme, au Premier ministre et au ministre de l’intérieur.

Le Conseil : Myriam Benlolo Carabot (rapporteur, maître des requêtes en service extraordinaire), Alexandre Lallet (rapporteur public)

Avocats : SCP Spinosi, SCP Sevaux Mathonnet, SCP Boré Salve de Bruneton Mégret

Source : conseil-etat.fr

Lire notre présentation de la décision

 
 

En complément

Maître SCP Bore Salve de Bruneton Megret est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître SCP Sevaux Mathonnet est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître SCP Spinosi est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Alexandre Lallet est également intervenu(e) dans les 3 affaires suivante  :

 

En complément

Le magistrat Myriam Benlolo Carabot est également intervenu(e) dans l'affaire suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.