La rectification des données relatives à l'identité de genre

La décision Deldits rendue par la Cour de justice de l'Union européenne (CJUE) le 13 mars 2023 marque l'aboutissement d'une évolution jurisprudentielle tendant à une meilleure reconnaissance de la transsexualité. De manière très concrète, la décision de la CJUE, intervenant après celle d'autres juridictions et notamment de la Cour européenne des droits de l'homme (CEDH) met fin à une pratique de certains États subordonnant la reconnaissance par l'état civil d'un changement de l'identité de genre à la preuve d'un traitement chirurgical préalable.

Dans le cas présent, V. P. est une personne de nationalité iranienne qui a obtenu le statut de réfugié en Hongrie, durant l'année 2014. A l'appui de sa demande d'asile, V. P. avait invoqué sa transidentité et produit différentes attestations de gynécologues et de psychiatres. Tous affirmaient que si V. P. était né femme, son identité de genre était masculine. V. P. avait toutefois été enregistré comme femme dans les fichiers recensant les réfugiés. En 2022, V. P. avait déposé une demande auprès de l'autorité en charge de l'asile, visant à rectifier la mention de son genre et à modifier son prénom dans ces fichiers. Mais cette demande a été rejetée, car V. P. n'avait pas démontré avoir subi de traitement chirurgical de réassignation sexuelle. La situation de V. P. était d'ailleurs aggravée par le fait que, depuis 2020, la Hongrie, pays bien peu libéral dans ce domaine, a supprimé toute possibilité de reconnaissance juridique d'un changement d'identité de genre, y compris pour les ressortissants hongrois.

Sur le plan juridique, la demande de V. P. s'appuyait sur l'article 16 du règlement général de protection des données qui confère à la personne fichée "le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes". La Cour de Budapest-Capitale, dans le cadre de ce contentieux, décide de surseoir à statuer et de poser à la CJUE une question préjudicielle portant sur l'interprétation de l'article 16. Contraint-il le droit national, au nom du principe d'exactitude, à corriger des données personnelles relatives au genre lorsqu'elles ont changé depuis l'inscription de la personne dans les registres ? Si la réponse est positive, les juges hongroises demandent alors si elles peuvent subordonner la modification à la preuve que l'intéressé à subi un traitement chirurgical de réassignation sexuelle. 

 

Le devoir de rectification

 

La réponse à la première question est positive. La CJUE rappelle que l'article 16 du RGPD "concrétise le droit fondamental" consacré à l'article 8 § 2 de la Charte européenne des droits fondamentaux, selon lequel toute personne a le droit d'accéder aux données collectées la concernant et, le cas échéant, d'en obtenir rectification. De fait, l'article 16 doit être lu à la lumière de l'article 5 du RGPD qui garantit le droit à l'exactitude des données. Cela signifie que toute donnée inexacte doit être effacée ou rectifiée sans tarder. Dans un arrêt Mousse du 9 janvier 2025, la CJUE rappelle d'ailleurs que ce droit de rectification constitue l'un des aspects essentiels du droit à la protection des données, et donc à la vie privée. 

L'autorité gestionnaire du fichier doit apprécier l'exactitude d'une donnée au regard de la finalité du fichier. En l'espèce, il s'agit d'un traitement recensant les titulaires du droit d'asile en Hongrie, et les données doivent être exactes au moment de leur collecte. Le sexe assigné à V. P. à sa naissance par l'état civil iranien n'est donc plus exact lorsque V. P. a demandé l'asile et il avait lui-même fait savoir qu'il souhaitait figurer dans le fichier avec une identité de genre masculine. Il était donc indispensable d'opérer la rectification, puisque les données étaient inexactes dès leur collecte.

Même si elle n'insiste pas beaucoup sur cette question, la CJUE sanctionne tout de même, en quelque sorte par ricochet, un droit qui écarte désormais tout changement de l'identité de genre sur l'état civil de l'ensemble des citoyens hongrois. Elle affirme ainsi qu'"un État membre ne saurait invoquer l’absence, dans son droit national, de procédure de reconnaissance juridique de la transidentité pour faire obstacle au droit de rectification". Dans une décision du 4 octobre 2024 Mirin, concernant la situation des transgenres en Roumanie, la Cour exige ainsi que la reconnaissance d'un changement d'identité dans un membre doit entrainer cette même reconnaissance dans les autres États. Certes, ce n'est pas le cas de V. P., de nationalité iranienne, mais ce peut être de n'importe quel ressortissant de l'Union européenne s'installant en Hongrie sur le fondement du principe de libre circulation.

Voutch

 

L'exigence d'un traitement chirurgical

 

La seconde question préjudicielle porte sur la possibilité ou non, pour les autorités hongroises, de subordonner le changement d'identité de genre à l'existence d'un traitement chirurgical de transformation sexuelle. Sur le plan strictement juridique, le problème posé est donc celui des moyens de preuve susceptibles de démontrer l'inexactitude des données conservées. Or, l'article 16 du RGPD est muet sur cette question. La Hongrie peut-elle en déduire qu'elle peut librement définir les règles de preuve du changement d'identité ?

La réponse de la CJUE est négative car il s'agirait alors d'écarter le principe d'exactitude, du moins pendant la période durant laquelle le traitement chirurgical n'est pas achevé. Or une dérogation à l'article 5 n'est envisageable, aux termes mêmes du RGPD qui si elle "respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs énumérés par ce même règlement ". Pour la CJUE, ces conditions ne sont pas remplies en l'espèce. 

Il apparaît d'abord que la limitation du droit de rectification ne repose, en Hongrie, sur aucune disposition législative. Ensuite, il est clair qu'elle porte atteinte au droit à la vie privée et à l'intégrité de la personne.

Surtout, la CJUE fait directement état de la jurisprudence de la CEDH.  Celle-ci considère, depuis un arrêt Garçon et Nicot c. France du 6 avril 2017, que le changement d'état civil n’est pas le point d’aboutissement d’un parcours médical mais doit l’accompagner. La loi française du 18 novembre2016 de modernisation de la justice du XXIe siècle permet aujourd’hui de prouver le transsexualisme par tout autre moyen, notamment le fait de se présenter publiquement comme appartenant au sexe revendiqué ou d’avoir déjà changé son prénom.

Le dialogue des juges permet ainsi la création d'un standard européen libéral dans le domaine des droits et libertés des personnes transsexuelles, standard dont on ne rappellera jamais assez qu'il ne s'applique qu'aux personnes majeures, ayant suffisamment de maturité pour assumer pleinement le genre auquel elles veulent être rattachées. On assiste ainsi à une normalisation qui leur permet de mener une vie privée conforme à leur identité. De manière plus générale, se développe ainsi une approche psychologique et non plus uniquement médicale de la transsexualité. L'idée générale est qu'une personne qui se sent prisonnière du genre assigné à sa naissance a le droit de s'en délivrer et de vivre dans un corps où elle se sent bien. 

 

L'identité de genre  : Chapitre 8, section 1 § 2  du manuel de libertés publiques sur internet

La surveillance par drone de l'espace public.

Le cadre juridique de la surveillance par drone de l'espace public est désormais clarifié avec la décision rendue par le Conseil d'État le 30 décembre 2024. Il écarte en effet le recours déposé par la Ligue des droits de l'homme, la Quadrature du net et d'autres associations, contestant la légalité du décret du 19 avril 2023. 

Les opposants au décret avaient placé leur ultime espoir dans cette requête et le Conseil d'État met donc fin aux derniers doutes sur l'usage des drones en matière de sécurité publique.  La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure autorise ainsi les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs. Le décret du 19 avril 2023 prévoit le régime juridique de cet usage. Le Conseil d'État estime que les garanties juridiques que cet ensemble normatif apporte sont suffisantes pour assurer l'ordre public en protégeant la sécurité des personnes et des biens.

Des décisions au cas par cas

L'article L 242-5 du code de la sécurité intérieure énonce que l'usage de dispositifs de captation d'images est subordonné à une décision écrite et motivée du préfet, ou, à Paris, du préfet de police. Il lui appartient de s'assurer du respect des règles applicables et la demande qui lui est transmise doit être suffisamment complète pour lui permettre d'exercer efficacement de contrôle. Au demeurant, l'autorisation du préfet doit se limiter à ce qui est strictement nécessaire au regard de l'espace géographie concerné et du nombre de caméras procédant aux enregistrements. D'une manière générale, l'autorisation peut être délivrée pour trois mois lorsqu'il s'agit de lutter contre le terrorisme et la grande criminalité, ou d'assurer le contrôle des frontières. En revanche, la surveillance de chaque manifestation suppose une demande spécifique.

En jugeant que ces dispositions n'entrainent pas une atteinte excessive aux droits des personnes, le Conseil d'État se place dans la droite ligne de la jurisprudence du Conseil constitutionnel. Dans sa décision du 20 janvier 2022, celui-ci avait déjà estimé que la liste des circonstances dans lesquelles l'usage des drones était possible était satisfaisante, comme les garanties apportées par le législateur. Il avait ajouté que l'autorisation préfectorale ne pouvait être accordée qu'après que le préfet se soit assuré de l'impossibilité d'utiliser des moyens intrusifs pour la vie privée. 

Femme à la fenêtre. Jacques Voyet 1926-2010 

Le régime juridique de l'usage des drones

Les associations requérantes contestaient surtout la légalité de la captation et de la conservation de données considérées comme sensibles. Les images captées par un drone pourraient en effet donner lieu à des applications biométriques permettant d'identifier des personnes qui ne constituent, en aucun cas, un menace pour l'ordre public. Les requérants se plaignent donc que les dispositifs embarqués ne donnent pas lieu à une autorisation de la Commission nationale de l'informatique et des libertés (CNIL).

Sur ce point, le Conseil d'État mentionne que le droit positif est désormais relativement élaboré. Les drones ne peuvent ni capter du son, ni comporter des traitements de reconnaissance faciale, principes rappelés dans l'article L 242-4 du code de la sécurité intérieure. La loi de 2022 a posé cette garantie, et on se souvient que le juge des référés du Conseil d'État, dès une ordonnance du 18 mai 2020, était intervenu sur cette question à propos de la surveillance des rassemblements pendant la période de déconfinement après le Covid. Il avait alors suspendu une autorisation d'usage des drones, car aucun dispositif ne garantissait que le drone volait suffisamment haut pour empêcher l'identification des personnes. Or, s'il volait bas pour précisément capter des images identifiantes, il violait le Règlement général de protection des données (RGPD), puisque l'avis préalable de la Commission nationale de l'informatique et des libertés (CNIL) n'avait pas été demandé.

Aujourd'hui, le Conseil d'État rappelle que les systèmes embarqués sur les drones n'ont pas, en tant que tels, pour objet de capter et de conserver des données sensibles. Mais ils peuvent néanmoins en capter, en quelque sorte de manière collatérale. C'est la raison pour laquelle une analyse d'impact "cadre" est exigée par l'article L 242-5 du code de la sécurité intérieure. Cela signifie concrètement que les garanties mises en place par le système sont transmises à la CNIl qui rend un avis à leur sujet.

En pratique, ces données sensibles captées par accident sont essentiellement les images de l'intérieur des domiciles. Les associations requérantes espéraient obtenir du Conseil d'État la reconnaissance d'une illégalité globale de ce type de captation. Mais le Conseil se montre très réaliste sur ce point. en observant qu'une telle interdiction pourrait compromettre une opération en cours, alors même que l'atteinte à la vie privée est modeste. En effet, les données ainsi recueillies doivent être détruites dans un délai de 48 heures, ce qui réduit considérablement la menace pour la vie privée. Cette analyse laisse ainsi ouverte l'appréciation contextuelle de l'opération, en laissant à l'administration une certaine autonomie dans son déroulement. 

La décision du 30 décembre 2024 était hautement prévisible, car on se souvient que le juge des référés du Conseil d'État avait déjà refusé de suspendre le décret du 19 avril 2023 par une ordonnance du 24 mai 2023. La décision de fond du 30 décembre 2024 valide ainsi, définitivement, le dispositif juridique autorisant l'usage des drones dans le domaine sécuritaire. Les requérants le regretteront sans doute. Mais peut-être pourra-t-on leur apporter une consolation,  en leur faisant observer qu'ils ont contribué à fixer un droit positif clair, permettant de sanctionner plus efficacement d'éventuelles violations ?

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Registre des baptêmes : Tempête dans un bénitier

Est-il possible de faire effacer son nom du registre des baptêmes ? Le Conseil d'État, dans une décision du 2 février 2024, écarte le droit à l'effacement des données personnelles dans le cas particulier d'une personne qui, ayant été baptisée, figure sur le registre des baptêmes géré par le diocèse. La décision est évidemment inédite, sans doute parce que peu de requérants ont eu l'idée de poursuivre ce type de contentieux jusqu'au Conseil d'État.

M. A. B. a décidé de se faire "débaptiser" et il a donc demandé que son nom soit retiré du registre. Si l'association diocésaine a accepté la renonciation au baptême qui à ses yeux qui, à ses yeux, constitue une apostasie, elle a refusé l'effacement des données concernant M. A. B. Elle a seulement ajouté en marge une mention selon laquelle l'intéressé avait "renié son baptême". Notons au passage que cette formulation contient, à l'évidence, une forme de blâme. Dans le vocabulaire utilisé par l'Église, la référence au "reniement" de Pierre est transparente. Sans doute aurait-il été préférable de mentionner que M. A. B. avait "renoncé" à son baptême.

Peut-être M. A. B. aurait-il pu se contenter de cette mention, mais il a contesté devant la Commission nationale de l'informatique et des libertés (CNIL) ce refus d'effacement. Il estime que la mention de son baptême est une donnée personnelle et qu'il est en droit, s'appuyant sur le Règlement général de protection des données, d'exiger son effacement définitif. N'ayant pas obtenu satisfaction devant la CNIL, il s'est tourné vers le Conseil d'État, sans davantage de succès.

 

Les conditions du RGPD

 

Le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018 est un texte européen, dont la CNIL garantit le respect en France. Son article 17 alinéa 1 énumère les motifs susceptibles d'être invoqués pour obtenir l'effacement des données personnelles. On y trouve d'abord les traitements illicites, ce qui n'est évidemment pas le cas du registre des baptêmes. On y trouve aussi les obligations légales d'effacement imposées par le droit de l'UE ou le droit interne, aucune contrainte de ce type n'étant imposée à ce registre. L'opposition de la personne au traitement lui-même n'est pas un motif pertinent en l'espèce, car lors du baptême, personne ne s'est opposé à la mention de l'enfant sur le registre.

Reste l'hypothèse dans laquelle la personne concernée retire son consentement, et c'est évidemment sur ce motif que se fonde M. A. B. Mais il n'est guère satisfaisant puisque, par hypothèse, n'ayant pas donné son consentement lors du baptême, il n'est pas en mesure de le retirer. Ses parents ont évidemment accepté qu'il soit mentionné dans le registre, puisqu'ils ont choisi de le faire baptiser. C'est leur décision, c'est leur consentement, et ce n'est pas celui de l'enfant.

Le Parrain. Francis Ford Coppola. 1972

Scène du baptême

 

La recherche d'un équilibre

L'article 9 du RGPD prévoit qu'un groupement à but non lucratif et poursuivant une finalité religieuse peut développer un fichier qui "se rapporte exclusivement aux membres ou aux anciens membres dudit organisme". La licéité de ce traitement est toutefois subordonnée au principe de non-communication des données aux tiers à cet organisme, sauf consentement de l'intéressé.

Tel est bien le cas en l'espèce, car le registre des baptêmes sert à ficher les personnes baptisées, dans une finalité exclusivement religieuse. Le Conseil d'État note le caractère quelque peu archaïque de ce document "non dématérialisé". Il observe que sa finalité se borne au "suivi du parcours religieux" et que les informations ne sont accessibles qu'à l'intéressé et aux ministres du culte. Il ajoute que ces registres sont conservés dans un lieu clos, jusqu'à leur versement aux archives départementales au terme d'un délai de 120 ans.

Les données conservées, s'il s'agit bien de données personnelles, ne sont pas d'une grande sensibilité. Elles reprennent l'état civil de l'enfant, ainsi que la date du baptême et la mention des parrain et marraine. Mais, bien que peu sensibles, ces données constituent, pour le Conseil d'État, un motif impérieux justifiant leur conservation. En effet, la mention du baptême permet à l'Église d'assurer le suivi religieux de la personne, notamment lors du sacrement du mariage, et lors de son décès. Surtout, le maintien de cette mention permet à M. A. B. de changer d'avis. Dans l'hypothèse où il voudrait réintégrer la communauté des fidèles, il n'aurait pas besoin de recevoir un nouveau baptême. Il lui suffirait de demander l'effacement de la mention selon laquelle il a "renié son baptême".

Le Conseil d'État déduit donc que cette mention suffit à exprimer la volonté du requérant de renoncer à la religion catholique. La mention de son baptême dans le registre, même s'il n'a plus qu'un intérêt historique, demeure nécessaire à la gestion des fidèles par l'Eglise. Avec cette décision, le Conseil d'État trouve une solution permettant de trouver un équilibre entre des intérêts opposés. Cette solution est d'ailleurs celle qui avait été adoptée par la Cour d'appel de Caen le 10 septembre 2013, décision rendue antérieurement au RGPD.

La référence au versement du registre aux archives témoigne aussi d'une autre préoccupation. Depuis l'époque où les registres paroissiaux étaient les seuls documents mentionnant l'état civil des personnes, les fichiers des églises demeurent une source documentaire importante pour les chercheurs. Dans 120 ans, ils seront assurés de disposer d'un fichier dont l'intégrité sera garantie, et ils pourront même apprendre que M. A. B., il y a bien longtemps, a renié son baptême et s'est donné la peine de demander son effacement dans le registre. De quoi susciter la réflexion des historiens et peut être celle des psychologues.

La protection des données personnelles : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5

 

 

 

Les Invités de LLC. Bruno Mathis : L'open data, l'open source et les craintes de la Cour de cassation

Bruno Mathis est chercheur associé au Centre de droit et d'économie de l'ESSEC

L'open data, l'open source 

et les craintes de la Cour de cassation

 

Le 8 octobre 2016 est adoptée la loi pour une République numérique et ses articles prévoyant la mise à disposition du public des décisions de justice. C'est alors une bonne nouvelle pour le chercheur devant qui s'ouvre tout un champ d'investigations possibles, sur l'analyse du contentieux ou le fonctionnement même de la justice. 

Le législateur a choisi de pseudonymiser les décisions de justice, ce que Légifrance faisait déjà pour les arrêts motivés des cours suprêmes et une sélection d’arrêts d’appel. La Cour de cassation lance dès 2016 un projet pour les pseudonymiser elle-même grâce à l’intelligence artificielle, et, après avoir testé un progiciel d’un éditeur privé, décide de développer sa propre solution à base d’apprentissage automatique.

En avril 2020, sinon avant, la Cour décide que sa solution sera en open source. La perspective est également une opportunité pour le chercheur, qui pourrait pseudonymiser automatiquement des décisions qui seraient en sa possession en version intègre, avant d’engager une autre expérimentation. Un exemple est d’extraire des données relatives au parcours du contentieux, de la première saisine jusqu’au dernier recours. Si des arrêts civils d’appel et de cassation sont disponibles en suffisamment grand nombre en open data pour être prêts à l’emploi, l’essentiel des jugements civils de première instance ne sera mis à disposition, au mieux, qu’en 2026. Pseudonymiser des jugements avec le même algorithme ayant pseudonymisé des arrêts permettrait d’éviter un biais dans l’expérimentation. Pourquoi perdre du temps à construire un nouvel outil de pseudonymisation, puisque la Cour a promis de mettre le sien en open source ?

Après avoir fait des pieds et des mains pour l’obtenir, la Cour se voit confier, par un décret de juin 2020, la responsabilité de l’open data des décisions de justice judiciaire. Plus connue comme juridiction suprême, la Cour devient éditeur de logiciel et opérateur technique, non sans risquer le conflit d’intérêts. 

 

 Les chiffres. Joseph Brauner. 1927

 

La demande adressée à la Cour de cassation

 

En octobre 2021, l’auteur de ces lignes demande à la Cour de cassation de lui communiquer, en vertu de l’article L311-1 du Code des relations entre le public et l'administration (CRPA), l’analyse d’impact relative à la protection des données (AIPD) du traitement d’open data des décisions de justice. La Cour envoie alors une AIPD après « occultation des mentions qui ne sont pas communicables en application des articles L. 311-5 et L. 311-6 du même code », c’est-à-dire après l’avoir caviardée aux deux tiers. La partie en clair n’explique même pas clairement que l’outil appelé LABEL sert à corriger manuellement les défauts de pseudonymisation résiduels, après application automatique du modèle d’apprentissage, ni que son développement, comme le recrutement de vingt agents pour l’utiliser, informations publiquement disponibles, ont été décidés au titre de mesure de réduction du risque. Le document précise que « la présente étude d’impact sera mise à jour en fonction des évolutions techniques qui le permettront », et non pas en fonction de l’évolution des risques. Le système n’est pas défini à partir de l’analyse des risques, c’est le contraire. Il n’est pas utile de demander la version intégrale de l’AIPD.

En juillet 2022, une demande est adressée à la Cour de cassation pour obtenir le code source de la pseudonymisation automatique. Elle ne porte pas sur le jeu d’apprentissage lui-même, c’est-à-dire la liste des décisions de justice en version intègre assorties des annotations portées manuellement en vue de leur apprentissage par l’algorithme, mais sur le modèle qui en résulte et le code source qui l’utilise. Pour simplifier, le modèle d’apprentissage remplace par des chiffres tous les mots des décisions apprises ; sans lui, pas de réutilisation possible. La requête fait valoir que le code source est mentionné dans une liste non limitative de documents considérés comme administratifs par l’article L300-2 du CRPA. L’absence de réponse deux mois plus tard conduit alors à la saisine de la Commission d’accès aux documents administratifs (CADA). 

 

L'avis de la CADA

 

L’avis, négatif, de la CADA, indique que «  le premier président de la Cour de cassation s’oppose à la communication des documents sollicités au motif qu’il existe un risque que des opérations de rétro-ingénierie […] permettent de reconstituer les données qui ont été occultées ». La Commission estime que ce risque présente « un caractère suffisant de vraisemblance pour être tenu pour acquis », sans fournir de référence à la littérature scientifique à l’appui de cette affirmation.

Relisons l’AIPD « communicable ». Deux titres de paragraphes laissés en clair, sur « la sécurisation des flux inter-applicatifs » et la « sécurisation des accès aux bases de données » suggèrent l’identification implicite d’un risque de dissémination fortuite, ou d’interception, de données personnelles et d’un risque d’intrusion à froid. La partie en clair ne fait pas valoir le risque aujourd’hui allégué de rétro-ingénierie né de la mise à disposition du public de l’outil, encore moins ledit risque né du simple fait de sa communication. Elle ne fournit pas de précisions sur la taille de l’échantillon de décisions de justice ayant fait l’objet d’un apprentissage supervisé, sans doute de quelques dizaines à quelques milliers. Elle ne tente pas de rapprocher la probabilité d’une reconstitution de données personnelles, par rétro-ingénierie du modèle d’apprentissage, appliquée à cet échantillon une seule fois, avec la probabilité de défaut de pseudonymisation appliquée à quelques millions de décisions de justice mises en open data chaque année. L’AIPD ne se demande pas si la rétro-ingénierie est possible sans y déployer des efforts disproportionnés, réservés à des spécialistes en intelligence artificielle, qui feraient perdre à ces données leur caractère personnel au sens du considérant 26 du RGPD. À supposer que ces données personnelles soient reconstituées sans de tels efforts, et sans altération, l’AIPD ne tente pas davantage d’évaluer le risque que cette reconstitution entraîne une atteinte à la vie privée ou aux droits fondamentaux de ces personnes.

Ou alors ce risque serait mentionné dans la partie occultée ? L’article L311-5 du CRPA mentionne des exceptions à la communicabilité au titre de l’intérêt de l’État (secret des délibérations du pouvoir exécutif, secret de la défense nationale, etc…), et le suivant au titre de la vie privée des personnes, du secret des affaires et du secret médical. Cela n’expliquerait pas pourquoi une exception, mentionnée par l’un de ces articles, justifierait de ne pas faire état de ce risque de rétro-ingénierie à ce moment-là, mais n’empêcherait pas d’en faire état aujourd’hui et de l’opposer au demandeur. Le résultat tient en tous cas du paradoxe : pour ouvrir les décisions de justice, il faudrait fermer l’algorithme qui les produit.

L’emploi d’un argument d’autorité et les contradictions de la Cour ont conduit à un recours auprès du tribunal administratif.

Que craint vraiment la Cour de cassation ? Une atteinte aux droits fondamentaux des personnes ou un examen de ce qu’elle fait dans son nouveau rôle d’éditeur de logiciel ?

Transferts de données vers les États-Unis : vers un arrêt Schrems III ?

L'Américaine Fiona Scott Morton a été nommée économiste en chef à la Direction générale de la concurrence par la Commission européenne. Elle se trouve directement sous l'autorité de la commissaire européenne à la concurrence, Margrethe Vestager, celle-là même qui a pour mission de combattre les pratiques anti concurrentielles des Gafam. 

Ce choix suscite bon nombre d'interrogations. D'une part, on peut s'étonner qu'une Américaine, fut-elle très compétente, soit nommée haut fonctionnaire de l'Union européenne, surtout à un poste clef. N'existe-t-il pas d'économistes de talent ayant la nationalité d'un État membre ? D'autre part, Mme Morton a consacré une partie de sa riche carrière à défendre les grands groupes du secteur numérique comme Apple, Amazon et Microsoft,  ce qui lui fait courir un gros risque de conflits d'intérêts. Au-delà même de ces éléments, une question plus globale se pose et on peut se demander si les groupes américains, après avoir utilisé tous les instruments de lobbying possibles pour faire prévaloir leurs intérêts auprès des bureaux n'ont pas tout simplement décidé de les occuper. 

Cette malencontreuse nomination contribue évidemment au considérable déclin de l'image de l'Union européenne. Conçue à l'origine comme l'instrument d'une paix durable entre les États européens, elle apparaît aujourd'hui comme un champ de bataille entre les lobbyistes, au plus grand profit des intérêts américains.

L'affaire Morton fait sans doute passer au second plan un autre problème, finalement de même nature. La Commission européenne vient d'annoncer le 10 juillet 2023, une "décision d'adéquation" qui permet l'échange de données personnelles entre l'Union européenne et les États-Unis, à la suite d'un accord "Data Privacy Framework". Cette formule figure dans l'article 45 du Règlement général de protection des données (RGPD). Il est ainsi rédigé : "Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique". La récente "décision d'adéquation" est donc celle par laquelle la Commission constate que les systèmes juridiques européens et américains offrent des niveaux de protection des données personnelles jugés équivalents. 

Mais ces niveaux de protection n'ont jamais été équivalents, ne serait-ce que parce que les fondements juridiques de la protection des données personnelles sont bien différents. Elle est régie au plan européen par le RGPD, texte impératif qui n'interdit d'ailleurs pas aux États d'adopter une législation encore plus protectrice. Aux États-Unis, la protection des données personnelles est assurée par un système de certifications et de codes de conduite auxquels les entreprises déclarent se conformer. Quant aux transferts de données effectués au profit des services de renseignement américains, ils sont demeurés très largement incontrôlés. Les citoyens européens sont évidemment victimes de cette situation, notamment ceux installés aux États-Unis qui ne disposent d'aucune voie de recours sérieuse lorsque leurs données personnelles sont captées, au nom de la sécurité nationale américaine.

Cette différence dans les standards de protection est si importante que la Cour de justice de l'Union européenne (CJUE) a déjà annulé deux décisions d'équation. Elle a été saisie à deux reprises par l'avocat autrichien Maximilian Schrems, l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement ces accords d'équivalence, sans équivalence. Et il a déjà obtenu deux victoires importantes devant la CJUE.

 

Schrems I et le Safe Harbor

Maximilian Schrem a contesté une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

A l'époque, le recours s'appuyait sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précisait que "les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers acquiert un niveau de protection adéquat".  

La CJUE remarquait alors que le caractère "adéquat" de la protection américaine relèvait de l'auto-proclamation. Les entreprises américaines déclaraient adhérer aux principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité aux données personnelles provenant de pays de l'Union européenne. Quant au contrôle, il se faisait par certification. Il ne s'agissait cependant pas d'un système de certification par un organisme indépendant, mais d'un système d'"auto-certification" par laquelle l'entreprise déclarait respecter les principes généraux de protection des données, et se contrôlait elle-même. Enfin, la captation des données par les services de renseignement américains n'était pas même envisagée.

Pas dupe sur l'efficacité du système, la Cour a donc pulvérisé le Safe Harbor. Les lobbys se sont remis au travail, et un nouvel accord a été conclu, le Privacy Shield.

That's Hell Folks. Nathalie Faintouch (née en 1965)

 

Schrems II et le Privacy Shield

 

Entrée en vigueur le 1er août 2016, une seconde décision de la Commission a déclaré l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Aux termes de cet accord, les firmes américaines pouvaient conduire un nouveau processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.  

Et précisément Maximilian Schrems veillait. Cette fois, il était en conflit ouvert avec Facebook. Invoquant les révélations d'Edward Snowden, il demandait la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats-Unis, la NSA en particulier. Le requérant s'appuyait une nouvelle fois sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données. Quant à Facebook, il invoquait le respect du Privacy Shield.

Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a donc invalidé, dans un arrêt du 6 juillet 2020, la nouvelle décision de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield.  La seule différence avec l'arrêt Schrems 1 réside dans le fondement juridique retenu par la Cour, puisque, cette fois, le RGPD était en vigueur. Pour le reste, est surtout sanctionnée l'absence de dispositions relatives aux données captées par les services de renseignement américains. Une vague annexe II de la décision d'adéquation se borne à mentionner que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européens pouvaient faire l'objet d'une collecte de masse par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée.

Toujours pas dupe, la CJUE a donc pulvérisé le Privacy Shield comme elle avait pulvérisé Safe Harbor.

 

Schrems III et le "Data Privacy Framework" ?

La question de la durée de vie de la décision d'adéquation du 10 juillet 2023, et l'on peut supposer que Maximilian Schrems est déjà occupé à peaufiner son recours. 

Il est toujours délicat d'annoncer le succès ou l'échec d'une requête avant qu'elle ait été déposée, et la plus grande prudence s'impose. On s'interroge tout de même sur la manière dont la Commission a géré les échecs des accords successifs, sans finalement tenir compte des observations de la Cour. Car le nouvel accord "Data Privacy Framework"n'est guère plus sérieux que les précédents. Il énonce en toute simplicité que les transferts de données pourront se faire « en toute sécurité de l'UE vers des entreprises américaines participant au cadre », sans nécessité de « mettre en place des garanties supplémentaires en matière de protection des données ».

Quant à l'accès des services de renseignement américains aux données personnelles des internautes européens, la question est régie aux États-Unis par un Executive Order purement cosmétique signé par la Président Biden. Il précise qu'il sera limité à "ce qui est nécessaire et proportionné pour la sécurité nationale". En cas de litige, est prévu "un mécanisme de recours indépendant et impartial". Observons bien qu'il ne s'agit pas d'un tribunal mais d'un "délégué à la protection des libertés civiles" directement issu de la communauté du renseignement. Si celui-ci écarte la requête, l'internaute pourra se tourner vers une "Cour" composée de "membres extérieurs au gouvernement". Observons cette fois qu'il ne s'agit pas nécessairement de magistrats. 

Surtout, et c'est sans doute ce qui fera le plus frémir Maximilian Schrems, l'Exécutive Order énonce que la surveillance de masse prévue par le Foreign Intelligence Surveillance Act (FISA Act) est "proportionnée" en vertu d'une "interprétation américaine" non divulguée. Or le FISA Act permet aux agences américaines de surveiller les communications des étrangers à à l'étranger... Cette "interprétation américaine" non divulguée s'analyse donc comme une gigantesque claque infligée aux Européens qui doivent accepter d'être espionnés au nom des intérêts américains. Bien entendu, la "protection équivalente" ne suppose tout de même pas que les Etats européens puissent espionner les citoyens américains sur leur sol... Il reste à se demander comment la CJUE va apprécier l'insulte.

Evidemment la question essentielle est la suivante : comment la Commission européenne a-t-elle pu accepter le "Data Privacy Framework" . Car il faut qu'il ait été signé, et ceux qui l'ont signé ne pouvaient ignorer qu'il allait à l'encontre des droits les plus élémentaires des citoyens européens en autorisant tout simplement qu'ils soient espionnés par les services américains. La réponse se trouve dans le lobbying, ce qui nous ramène évidemment au cas de Mme Morton. Les États-Unis seraient-ils en traint de faire une OPA hostile sur l'Union européenne ?

---

L'usage des drones à des fins de police administrative

Le juge des référés du Conseil d'État met fin, dans une ordonnance du 24 mai 2023 M. X et Association de défense des libertés constitutionnelles (ADELICO), aux incertitudes qui pouvaient encore exister sur la légalité du recours aux drones en matière de police administrative. Il refuse de suspendre le décret du 19 avril 2023 relatif à la mise en oeuvre de traitements d'images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative. Ce texte a été pris sur le fondement de la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure qui autorise les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs.

 

Les précédents jugements

 

Alors même que le décret d'avril 2023 est très récent, l'ordonnance du juge des référés du Conseil d'État n'est pas la première décision de justice visant à contester l'usage des drones, notamment lorsqu'ils sont utilisés pour surveiller les manifestations. La suspension d'arrêtés préfectoraux autorisant leur utilisation avait déjà été demandée devant le juge des référés de différents tribunaux administratifs, notamment à  Paris, Lyon et Bordeaux le 1er mai 2023. Tous avaient refusé la suspension. En revanche, le juge des référés du tribunal administratif de Rouen avait suspendu un arrêté préfectoral autorisant l'usage des drones au Havre, mais dans la seule mesure où l'arrêté couvrait une période de huit heures après le début du cortège. 

L'ordonnance du Conseil d'État n'est pas en contradiction avec celles préalablement rendues par les juges des tribunaux administratifs. Au contraire, elle vient conforter la position de l'ensemble des juges saisis dans ce domaine. Après une période durant laquelle l'usage des drones, en matière de police administrative, n'était pas prévue ni encadrée par le droit, ils prennent acte de la création d'un véritable fondement juridique à cette pratique.

 

 Drone. Jason Bourque. 2017

 

Le précédent de 2020

 

Il y a eu une époque, pas si lointaine, où le drone était l'objet d'une sorte d'improvisation juridique. En 2020, les forces de police avaient utilisé à Paris quatre drones pour repérer les rassemblements de personnes, dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les images captées étaient transmises à un centre de commandement, qui décidait de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parleur intégré au drone pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. 

Le juge des référés du Conseil d'État, dans une ordonnance du 18 mai 2020, avait suspendu l'arrêté préfectoral autorisant un tel usage des drones. Sa décision ne reposait pas sur une opposition de font à cette technologie en matière de gestion des rassemblements, mais bien davantage sur l'absence de garanties offertes aux personnes dont l'image était ainsi captée. Aucun dispositif ne garantissait en effet que le drone volait suffisamment haut pour empêcher l'identification des personnes. Or, s'il volait bas pour précisément capter des images identifiantes, il violait le Règlement général de protection des données (RGPD), puisque l'avis préalable de la Commission nationale de l'informatique et des libertés (CNIL) n'avait pas été demandé.

 

Les garanties apportées par la loi

 

Depuis lors, la loi du 24 janvier 2022 est intervenue, et elle définit le socle juridique sur lequel repose l'usage des drones. L'article L 242-2 du code de la sécurité intérieure (csi) précise que les images captées ne peuvent être visionnées que pendant la durée strictement nécessaire à l'intervention. De même est-il prévu, dans l'article L 242-4 csi que ces dispositifs ne peuvent "ni procéder à la captation du son, ni comporter de traitements automatisés de reconnaissance faciale". Les images ainsi recueillies ne peuvent faire l'objet d'aucune interconnexion avec un autre traitement automatisé. Le décret du 19 avril 2023, celui-là même dont il est demandé la suspension, définit concrètement comment ces garanties sont mises en oeuvres.

Certes, mais elles peuvent être considérées comme insuffisantes et c'est précisément la thèse que soutiennent les requérants. Ils reprochent ainsi au dispositif juridique de ne pas comporter la doctrine d'emploi des drones, c'est-à-dire les situations précises dans lesquelles les drones peuvent être utilisés. De même déplorent-ils qu'il ne soit mentionné nulle part que l'usage des drones s'arrête au domicile des personnes et que le dispositif d'information du public ne soit pas détaillé.

La décision du Conseil constitutionnel du 20 janvier 2022

Les garanties apportées à l'usage des drones en matière de police administrative ont pourtant été jugées suffisantes par le Conseil constitutionnel, dans sa décision du 20 janvier 2022. Il constate que le législateur a dressé une liste précise des finalités d'ordre public qui justifient l'utilisation des drones, notamment lorsque la sécurité des personnes et des biens est particulièrement exposée à des risques de commission de certaines infractions, ou pour protéger des bâtiments publics de tentatives d'intrusion ou de dégradation. S'y ajoutent la menace terroristes et la sécurité des rassemblements de personnes sur la voie publique. Cette dernière finalité est évidemment la plus contestée au nom d'une liberté de manifestation actuellement souvent revendiquée comme absolue. Quoi qu'il en soit, cette liste est considérée comme satisfaisante par le Conseil constitutionnel. De la même manière, il note que l'autorisation préfectorale non seulement détermine cette finalité mais précise aussi le nombre de dispositifs utilisés ainsi que la durée de leur usage. 

Le Conseil constitutionnel a donc déclaré conforme à la Constitution les dispositions législatives autorisant l'usage des drones en matière de police administrative. Dans de telles questions, il était évident que le référé déposé par les requérants demandant la suspension du décret d'application de la loi de 2022 avait peu de chances de prospérer. Sans doute ont-ils pensé que les juges administratifs, qui se sont montrés très protecteurs de la liberté de manifestation en suspendant récemment bon nombre d'arrêtés d'interdiction, continueraient en quelque sorte sur leur lancée, dans une sorte de grand élan protecteur de la liberté de manifester. Mais le Conseil d'État, même en référé, n'est pas aussi enclin que les tribunaux administratifs à adopter des décisions de combat. Surtout, l'ordonnance rendue le 24 mai 2023 ne prive le Conseil d'État d'aucune de ses prérogatives. Il lui appartiendra en effet d'apprécier, au cas par cas, la légalité des arrêtés préfectoraux autorisant l'usage des drones, et de construire une jurisprudence dans ce domaine. Il ne fait aucun doute que les requérants habituels, et notamment l'association ADELICO, l'aideront dans cette mission.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Drone, mode d'emploi

Trois ordonnances rendues par le juge des référés des tribunaux administratifs de Paris, Lyon et Bordeaux le 1er mai 2023 refusent la suspension des arrêtés préfectoraux autorisant l'usage des drones pour la surveillance des manifestations du 1er mai. Seul le juge des référés du tribunal administratif de Rouen donne, très partiellement, satisfaction aux demandeurs. Il sanctionne en effet une autorisation d'usage des drones au Havre qui couvrait une période de huit heures après le début du cortège. Il considère donc que l'atteinte à la liberté d'aller et venir et droit au respect de la vie privée est excessive, et suspend l'autorisation "après 14 heures", sans modifier le périmètre de survol.

Ces décisions sont pratiquement identiques, et la suspension partielle prononcée à Rouen ne modifie en rien l'analyse juridique. Celle-ci était prévisible. Après les premières hésitations sur les conditions de légalité de l'usage des drones dans le domaine de la sécurité, les autorités ont en effet renforcé les fondements juridiques de cette pratique. Les ordonnances de référé rendues le 1er mai prennent acte de cette évolution.

Les premières décisions, ou l'hésitation jurisprudentielle

Tout a commencé avec plusieurs ordonnances rendues par le juge des référés du Conseil d'État le 18 mai 2020, saisi sur le même fondement du référé-liberté. A l'époque, il agissait dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les forces de police avaient alors utilisé, dans la ville de Paris, quatre drones équipés d'un zoom optique et d'un haut-parleur, utilisés deux à trois heures par jour. Le télépilote du drone filmait les lieux dans lesquels des rassemblements étaient susceptibles de se former, en violation des mesures prescrites par l'état d'urgence sanitaire. Les images étaient transmises en temps réel dans un centre de commandement, où il était décidé de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parler pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. Le juge des référés avait suspendu l'arrêté préfectoral autorisant cette pratique pour un motif de procédure. En l'absence de dispositif technique imposant au drone de voler suffisamment haut pour ne pas capter de données identifiantes, il considère que la procédure doit être celle imposée par le Règlement général de protection des données (RGPD). Elle suppose donc un avis préalable de la CNIL, qui n'avait pas été saisie en l'espèce.

La seconde décision dans ce domaine est venue du Conseil constitutionnel. Le 20 mai 2021, il s'est prononcé sur la conformité à la Constitution de la loi "pour une sécurité globale préservant les libertés". Parmi les multiples dispositions annulées par le Conseil, se trouvent celles permettant 'utilisation des drones par les forces de police aux fins de recherche, de constatation ou de poursuite des infractions pénales, ou aux fins de maintien de l'ordre. 

Le Conseil constitutionnel ne conteste pas l'intérêt que peuvent représenter les drones pour ces différentes missions qui ne concernent pas seulement le contrôle des manifestations, mais aussi le repérage des points de drogue ou des rodéos urbains. Il affirme au contraire que le législateur peut autoriser de telles pratiques "pour répondre aux objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions". Mais il note que la mobilité des drones, et la hauteur à laquelle ils peuvent évoluer, rendent possible la captation de l'image d'un grand nombre de personnes et le suivi de leur déplacement, alors même qu'elles n'ont rien à voir avec les finalités d'ordre public poursuivies. Le Conseil censure donc ces dispositions car le législateur aurait dû assortir l'usage des drones de garanties particulières destinées à garantir le respect de la vie privée des personnes.

Cette décision du Conseil offre ainsi au législateur un véritable mode d'emploi des drones dans le domaine de la sécurité. Des textes nouveaux interviennent donc pour rendre l'usage des drones conforme à la jurisprudence du Conseil constitutionnel.

 

 Gus, septembre 1969

Les textes récents

 

La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis d’autoriser les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs. Cette fois, le Conseil constitutionnel déclare, le 20 janvier, le texte conforme à la Constitution. En effet, le législateur a précisément rédigé la loi, de manière à empêcher la captation de données identifiantes.

Les conditions d'usage des drones sont clairement précisées. Il doit avoir pour seule finalité d'assurer la sécurité des interventions des services chargés de la sécurité, pour la seule durée de ces intervention. Un usage généralisé et discrétionnaire des drones est donc illicite, ce qui suppose une définition de sa durée. De même, les images enregistrées concernent les lieux publics, ce qui interdit tout enregistrement dans une habitation privée. Enfin, les instruments biométriques de reconnaissance faciale sont prohibés, comme tout rapprochement ou interconnexion de données. Concrètement, le drone peut donc être utilisé à des fins de police administrative, pour filmer de haut les mouvements de groupes de personnes, sans que les individus puissent être identifiés.

Les manifestations sur la loi travail ont incité les pouvoirs publics à accélérer la mise en oeuvre de ces dispositions. Un décret du 19 avril 2023 définit ainsi un cadre juridique précis pour l'usage des drones en matière de police administrative. Intégré dans la partie réglementaire du code de la sécurité intérieure, il dresse la liste des cas dans lesquels les drones peuvent être utilisés. Y figure notamment "la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public ainsi que l'appui des personnels au sol, en vue de leur permettre de maintenir ou de rétablir l'ordre public, lorsque ces rassemblements sont susceptibles d'entraîner des troubles graves à l'ordre public".

Les différents juges des référés des tribunaux administratifs saisis ne manquent pas de se référer à cette disposition. Il est évident que les manifestations récentes ont donné lieu à des troubles graves à l'ordre public, le plus souvent provoqués par une petite minorité de manifestants violents. Les juges notent également que l'usage des drones est limité à la durée de la manifestation, et d'ailleurs l'arrêté du préfet de Seine Maritime est suspendu pour la seule période allant au-delà de la durée estimée du rassemblement.

Les associations requérantes ont développé un ensemble de moyens qui auraient peut-être pu se révéler efficaces avant la loi du 24 janvier 2022 et le décret du 19 avril 2023. Hélas pour elles, les pouvoirs publics ont voulu éviter une mésaventure telle que celle du 18 mai 2020. Ils ont donc considérablement musclé le droit applicable à l'utilisation des drones en matière de police administrative. Ils ont, en quelque sorte, anticipé les recours. In fine, la question est celle de savoir si les associations requérantes ne se trompent pas de combat. Ils voient les drones, et le disent dans leur recours, comme une atteinte à la liberté de manifester. Mais au contraire, l'utilisation de cette technique, dès lors que les données recueillies ne sont pas identifiantes car filmées de très haut, permet par exemple de déceler la présence de Black Blocs, de voir les violences dès leurs prémices. Il s'agit alors de protéger les manifestants, les vrais, ceux qui viennent pour faire valoir leurs revendications.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Données de connexion : Le dialogue des juges érigé au rang des beaux-arts

Dans quatre décisions du 12 juillet 2022, la Cour de cassation "tire les conséquences" des décisions rendues par la Cour de justice de l'Union européenne (CJUE) en octobre 2020, relatives à la conservation des données de connexion et à leur communication au juge dans le cadre de procédures pénales. La formule est d'une exquise courtoisie à l'égard de la juridiction européenne, mais en réalité la Cour de cassation entend bien marquer son territoire.

Les données de connexion

Rappelons que ces "données de connexion" sont celles relatives à l'identification des personnes, au trafic et aux données de localisation, notamment les célèbres fadettes. Elles sont énumérées dans l'article R 10-13 du code des postes et des télécommunications. A l'époque des faits, l'article 34-1, III de ce même code imposait aux opérateurs de services de communication leur conservation généralisée et indifférenciée pour une durée maximale d'un an. 

 

Un chemin ouvert par le Conseil d'État  

Depuis lors, le dialogue des juges s'est quelque peu durci. Dans trois décisions rendues sur questions préjudicielles le 6 octobre 2020, la CJUE était invitée, par le Conseil d'État, à préciser la portée des règles figurant la directive "vie privée et communications électroniques" ainsi que dans le règlement général sur la protection des données (RGPD). Pour la CJUE, la conservation généralisée et indifférenciée des données de connexion, autres que les données d’identité, ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. Dans tous les autres cas, les données doivent être immédiatement détruites.

Alors même que le Conseil d'État était lui-même l'auteur de la question préjudicielle, il ne s'est pas soumis au principe posé par le juge européen. Dans sa décision du 21 avril 2021, il commence par affirmer que "tout en consacrant l'existence d'un ordre juridique de l'Union européenne intégré à l'ordre juridique interne, l'article 88-1 de la Constitution confirme la place de la Constitution au sommet de ce dernier". La supériorité de la Constitution sur le droit européen est ainsi réaffirmée, ce qui n'est guère surprenant. Il énonce ensuite que "dans le cas où l'application d'une directive ou d'un règlement européen, aurait pour effet de priver de garanties effectives l'une de ces exigences constitutionnelles qui ne bénéficierait pas, en droit de l'Union, d'une protection équivalente, le juge administratif, saisi d'un moyen en ce sens, doit l'écarter dans la stricte mesure où le respect de la Constitution l'impose". 

Le Conseil d'État s'attribue ainsi compétence pour exercer le contrôle de l'équivalence des protections offertes par le système juridique. S'engouffrant dans une brèche ouverte par les arrêts du 6 octobre 2020, il considère que la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales sont des exigences constitutionnelles. Il ne fait guère de doute qu'elles ne bénéficient pas d'une protection équivalente en droit de l'Union, l'essentiel de ces domaines relevant de la compétence des États. Reprenant alors les termes mêmes des arrêts du 6 octobre 2020, il affirme, se référant à la menace terroriste, que la conservation pendant un an des données de connexion peut se justifier, en quelque sorte exceptionnellement, "si l'État fait face à une menace grave, réelle, actuelle ou prévisible". 

 

La mauvaise tête. Spirou et Fantasio. Franquin. 1954

 

L'interprétation de la Cour de cassation

Dans les arrêts du 12 juillet 2022, la Cour de cassation suit sensiblement le même chemin. En l'espèce, elle est saisie de plusieurs demandes d'annulation de réquisitions portant sur des données de trafic et de localisation, délivrées, soit dans le cadre d'une enquête de flagrance placée sous le contrôle du procureur de la République, soit dans le cadre d'une information sur commission rogatoire du juge d'instruction. Pour les requérants, la conservation de ces données est irrégulière car non conforme à la jurisprudence européenne qui a précisément sanctionné la loi de l'époque, celle qui impose aux opérateurs de les conserver pendant un an.

Le droit européen affirme que le juge national doit interpréter le droit français de manière conforme au droit de l'Union. La Cour de cassation doit donc s'assurer régulièrement que la conservation des données de connexion pendant un an pour la protection des intérêts de la Nation et la lutte contre le terrorisme est conforme au droit de l'Union. Elle vérifie donc l'existence d'une menace grave pour la sécurité nationale.

En l'espèce, la Cour relève que les fait relevaient de la grande criminalité, qui s'analyse en soi comme une menace grave pour la sécurité nationale. Selon les pourvois, on trouve le meurtre en bande organisée, le trafic de stupéfiants à dimension internationale, avec notamment la création d'une Start Up "Uber Green" chargée de livrer le cannabis à la demande. Face à cette délinquance, la réquisition des données de connexion et leur exploitation était donc indispensable au déroulement de l'enquête.

Comme le Conseil d'État, la Cour de cassation écarte finalement la rigueur de la jurisprudence européenne, en se livrant à une interprétation qui permet d'en atténuer considérablement la portée. 

 

La loi du 30 juillet 2021

 

Par la suite, les choses ont évolué, mais sans remettre en cause l'essentiel. La loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié le cadre juridique de la conservation des données de connexion. Définissant six types de données, elle reprend les principes posés par la jurisprudence française et persiste dans l'exigence de conservation d'un an des données, lorsqu'est constatée une menace grave, ou susceptible de le devenir, pour la sécurité nationale. Ce dispositif législatif est donc conçu pour renforcer le droit français face à une jurisprudence européenne perçue comme menaçante. 

 

La question du parquet

 

Reste un point sur lequel la Cour de cassation suit la CJUE qui, dans un arrêt du 2 mars 2021, rappelle que toutes les atteintes graves aux libertés individuelles doivent être ordonnées par un magistrat indépendant. Elle précise alors que « l’accès des autorités nationales compétentes aux données conservées est subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante". Sur ce point, la CJUE rejoint largement la jurisprudence de la Cour européenne des droits de l'homme (CEDH) déjà formulée dans l'affaire Moulin c. France du 23 novembre 2010

Certes, l'arrêt du 2 mars 2021 concerne le droit estonien, mais la Cour de cassation met en oeuvre ses principes. Selon les pourvois, elle opère une distinction entre les autorités susceptibles d'accéder à ces données de connexion. Le juge d'instruction, qui exerce une fonction juridictionnelle peut exercer ce droit d'accès. En revanche, le procureur ne peut y accéder directement. Selon le droit de l'Union, il dirige la procédure d'enquête préalable ou de flagrance et n'a donc pas une position de neutralité à l'égard des parties. 

Il est vrai que l'impact réel de ce ralliement à la jurisprudence de la CJUE est finalement modeste. En effet, la Cour de cassation précise que l'acte ayant autorisé l'accès aux données de connexion ne peut être annulé que si il a porté atteinte directement à la vie privée de la personne et si cette dernière a subi un préjudice. Ce principe a d'ailleurs été posé préalablement par la Cour de cassation, dans un arrêt du 7 septembre 2021. Dans les arrêts du 12 juillet 2022, il n'est pas très compliqué de démontrer que l'ingérence dans la vie privée des personnes poursuivies était prévue par la loi, poursuivait un but légitime - la recherche des auteurs d'une infraction pénale - et n'était pas manifestement disproportionnée par rapport à l'objectif poursuivi, si l'on considère la gravité des faits.

Les quatre décisions du 12 juillet 2022 peuvent être considérées comme un petit chef d'oeuvre dans le dialogue des juges mené par la Cour de cassation. On ne peut relever aucune opposition frontale à la CJUE. La nécessité de la conservation des données est interprétée à la lumière de la jurisprudence européenne, mais avec une savante exploitation des dérogations qu'elle autorise. Quant au rôle du parquet, il est certes mis en cause, mais sans que le sanction présente la moindre conséquence sur la procédure pénale en cours. Du grand art.

Sur l'indépendance du parquet : Chapitre 4  section 1, § 1 D du Manuel