Registre des baptêmes : Tempête dans un bénitier

Est-il possible de faire effacer son nom du registre des baptêmes ? Le Conseil d'État, dans une décision du 2 février 2024, écarte le droit à l'effacement des données personnelles dans le cas particulier d'une personne qui, ayant été baptisée, figure sur le registre des baptêmes géré par le diocèse. La décision est évidemment inédite, sans doute parce que peu de requérants ont eu l'idée de poursuivre ce type de contentieux jusqu'au Conseil d'État.

M. A. B. a décidé de se faire "débaptiser" et il a donc demandé que son nom soit retiré du registre. Si l'association diocésaine a accepté la renonciation au baptême qui à ses yeux qui, à ses yeux, constitue une apostasie, elle a refusé l'effacement des données concernant M. A. B. Elle a seulement ajouté en marge une mention selon laquelle l'intéressé avait "renié son baptême". Notons au passage que cette formulation contient, à l'évidence, une forme de blâme. Dans le vocabulaire utilisé par l'Église, la référence au "reniement" de Pierre est transparente. Sans doute aurait-il été préférable de mentionner que M. A. B. avait "renoncé" à son baptême.

Peut-être M. A. B. aurait-il pu se contenter de cette mention, mais il a contesté devant la Commission nationale de l'informatique et des libertés (CNIL) ce refus d'effacement. Il estime que la mention de son baptême est une donnée personnelle et qu'il est en droit, s'appuyant sur le Règlement général de protection des données, d'exiger son effacement définitif. N'ayant pas obtenu satisfaction devant la CNIL, il s'est tourné vers le Conseil d'État, sans davantage de succès.

 

Les conditions du RGPD

 

Le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018 est un texte européen, dont la CNIL garantit le respect en France. Son article 17 alinéa 1 énumère les motifs susceptibles d'être invoqués pour obtenir l'effacement des données personnelles. On y trouve d'abord les traitements illicites, ce qui n'est évidemment pas le cas du registre des baptêmes. On y trouve aussi les obligations légales d'effacement imposées par le droit de l'UE ou le droit interne, aucune contrainte de ce type n'étant imposée à ce registre. L'opposition de la personne au traitement lui-même n'est pas un motif pertinent en l'espèce, car lors du baptême, personne ne s'est opposé à la mention de l'enfant sur le registre.

Reste l'hypothèse dans laquelle la personne concernée retire son consentement, et c'est évidemment sur ce motif que se fonde M. A. B. Mais il n'est guère satisfaisant puisque, par hypothèse, n'ayant pas donné son consentement lors du baptême, il n'est pas en mesure de le retirer. Ses parents ont évidemment accepté qu'il soit mentionné dans le registre, puisqu'ils ont choisi de le faire baptiser. C'est leur décision, c'est leur consentement, et ce n'est pas celui de l'enfant.

Le Parrain. Francis Ford Coppola. 1972

Scène du baptême

 

La recherche d'un équilibre

L'article 9 du RGPD prévoit qu'un groupement à but non lucratif et poursuivant une finalité religieuse peut développer un fichier qui "se rapporte exclusivement aux membres ou aux anciens membres dudit organisme". La licéité de ce traitement est toutefois subordonnée au principe de non-communication des données aux tiers à cet organisme, sauf consentement de l'intéressé.

Tel est bien le cas en l'espèce, car le registre des baptêmes sert à ficher les personnes baptisées, dans une finalité exclusivement religieuse. Le Conseil d'État note le caractère quelque peu archaïque de ce document "non dématérialisé". Il observe que sa finalité se borne au "suivi du parcours religieux" et que les informations ne sont accessibles qu'à l'intéressé et aux ministres du culte. Il ajoute que ces registres sont conservés dans un lieu clos, jusqu'à leur versement aux archives départementales au terme d'un délai de 120 ans.

Les données conservées, s'il s'agit bien de données personnelles, ne sont pas d'une grande sensibilité. Elles reprennent l'état civil de l'enfant, ainsi que la date du baptême et la mention des parrain et marraine. Mais, bien que peu sensibles, ces données constituent, pour le Conseil d'État, un motif impérieux justifiant leur conservation. En effet, la mention du baptême permet à l'Église d'assurer le suivi religieux de la personne, notamment lors du sacrement du mariage, et lors de son décès. Surtout, le maintien de cette mention permet à M. A. B. de changer d'avis. Dans l'hypothèse où il voudrait réintégrer la communauté des fidèles, il n'aurait pas besoin de recevoir un nouveau baptême. Il lui suffirait de demander l'effacement de la mention selon laquelle il a "renié son baptême".

Le Conseil d'État déduit donc que cette mention suffit à exprimer la volonté du requérant de renoncer à la religion catholique. La mention de son baptême dans le registre, même s'il n'a plus qu'un intérêt historique, demeure nécessaire à la gestion des fidèles par l'Eglise. Avec cette décision, le Conseil d'État trouve une solution permettant de trouver un équilibre entre des intérêts opposés. Cette solution est d'ailleurs celle qui avait été adoptée par la Cour d'appel de Caen le 10 septembre 2013, décision rendue antérieurement au RGPD.

La référence au versement du registre aux archives témoigne aussi d'une autre préoccupation. Depuis l'époque où les registres paroissiaux étaient les seuls documents mentionnant l'état civil des personnes, les fichiers des églises demeurent une source documentaire importante pour les chercheurs. Dans 120 ans, ils seront assurés de disposer d'un fichier dont l'intégrité sera garantie, et ils pourront même apprendre que M. A. B., il y a bien longtemps, a renié son baptême et s'est donné la peine de demander son effacement dans le registre. De quoi susciter la réflexion des historiens et peut être celle des psychologues.

La protection des données personnelles : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5

 

 

 

Les Invités de LLC. Bruno Mathis : L'open data, l'open source et les craintes de la Cour de cassation

Bruno Mathis est chercheur associé au Centre de droit et d'économie de l'ESSEC

L'open data, l'open source 

et les craintes de la Cour de cassation

 

Le 8 octobre 2016 est adoptée la loi pour une République numérique et ses articles prévoyant la mise à disposition du public des décisions de justice. C'est alors une bonne nouvelle pour le chercheur devant qui s'ouvre tout un champ d'investigations possibles, sur l'analyse du contentieux ou le fonctionnement même de la justice. 

Le législateur a choisi de pseudonymiser les décisions de justice, ce que Légifrance faisait déjà pour les arrêts motivés des cours suprêmes et une sélection d’arrêts d’appel. La Cour de cassation lance dès 2016 un projet pour les pseudonymiser elle-même grâce à l’intelligence artificielle, et, après avoir testé un progiciel d’un éditeur privé, décide de développer sa propre solution à base d’apprentissage automatique.

En avril 2020, sinon avant, la Cour décide que sa solution sera en open source. La perspective est également une opportunité pour le chercheur, qui pourrait pseudonymiser automatiquement des décisions qui seraient en sa possession en version intègre, avant d’engager une autre expérimentation. Un exemple est d’extraire des données relatives au parcours du contentieux, de la première saisine jusqu’au dernier recours. Si des arrêts civils d’appel et de cassation sont disponibles en suffisamment grand nombre en open data pour être prêts à l’emploi, l’essentiel des jugements civils de première instance ne sera mis à disposition, au mieux, qu’en 2026. Pseudonymiser des jugements avec le même algorithme ayant pseudonymisé des arrêts permettrait d’éviter un biais dans l’expérimentation. Pourquoi perdre du temps à construire un nouvel outil de pseudonymisation, puisque la Cour a promis de mettre le sien en open source ?

Après avoir fait des pieds et des mains pour l’obtenir, la Cour se voit confier, par un décret de juin 2020, la responsabilité de l’open data des décisions de justice judiciaire. Plus connue comme juridiction suprême, la Cour devient éditeur de logiciel et opérateur technique, non sans risquer le conflit d’intérêts. 

 

 Les chiffres. Joseph Brauner. 1927

 

La demande adressée à la Cour de cassation

 

En octobre 2021, l’auteur de ces lignes demande à la Cour de cassation de lui communiquer, en vertu de l’article L311-1 du Code des relations entre le public et l'administration (CRPA), l’analyse d’impact relative à la protection des données (AIPD) du traitement d’open data des décisions de justice. La Cour envoie alors une AIPD après « occultation des mentions qui ne sont pas communicables en application des articles L. 311-5 et L. 311-6 du même code », c’est-à-dire après l’avoir caviardée aux deux tiers. La partie en clair n’explique même pas clairement que l’outil appelé LABEL sert à corriger manuellement les défauts de pseudonymisation résiduels, après application automatique du modèle d’apprentissage, ni que son développement, comme le recrutement de vingt agents pour l’utiliser, informations publiquement disponibles, ont été décidés au titre de mesure de réduction du risque. Le document précise que « la présente étude d’impact sera mise à jour en fonction des évolutions techniques qui le permettront », et non pas en fonction de l’évolution des risques. Le système n’est pas défini à partir de l’analyse des risques, c’est le contraire. Il n’est pas utile de demander la version intégrale de l’AIPD.

En juillet 2022, une demande est adressée à la Cour de cassation pour obtenir le code source de la pseudonymisation automatique. Elle ne porte pas sur le jeu d’apprentissage lui-même, c’est-à-dire la liste des décisions de justice en version intègre assorties des annotations portées manuellement en vue de leur apprentissage par l’algorithme, mais sur le modèle qui en résulte et le code source qui l’utilise. Pour simplifier, le modèle d’apprentissage remplace par des chiffres tous les mots des décisions apprises ; sans lui, pas de réutilisation possible. La requête fait valoir que le code source est mentionné dans une liste non limitative de documents considérés comme administratifs par l’article L300-2 du CRPA. L’absence de réponse deux mois plus tard conduit alors à la saisine de la Commission d’accès aux documents administratifs (CADA). 

 

L'avis de la CADA

 

L’avis, négatif, de la CADA, indique que «  le premier président de la Cour de cassation s’oppose à la communication des documents sollicités au motif qu’il existe un risque que des opérations de rétro-ingénierie […] permettent de reconstituer les données qui ont été occultées ». La Commission estime que ce risque présente « un caractère suffisant de vraisemblance pour être tenu pour acquis », sans fournir de référence à la littérature scientifique à l’appui de cette affirmation.

Relisons l’AIPD « communicable ». Deux titres de paragraphes laissés en clair, sur « la sécurisation des flux inter-applicatifs » et la « sécurisation des accès aux bases de données » suggèrent l’identification implicite d’un risque de dissémination fortuite, ou d’interception, de données personnelles et d’un risque d’intrusion à froid. La partie en clair ne fait pas valoir le risque aujourd’hui allégué de rétro-ingénierie né de la mise à disposition du public de l’outil, encore moins ledit risque né du simple fait de sa communication. Elle ne fournit pas de précisions sur la taille de l’échantillon de décisions de justice ayant fait l’objet d’un apprentissage supervisé, sans doute de quelques dizaines à quelques milliers. Elle ne tente pas de rapprocher la probabilité d’une reconstitution de données personnelles, par rétro-ingénierie du modèle d’apprentissage, appliquée à cet échantillon une seule fois, avec la probabilité de défaut de pseudonymisation appliquée à quelques millions de décisions de justice mises en open data chaque année. L’AIPD ne se demande pas si la rétro-ingénierie est possible sans y déployer des efforts disproportionnés, réservés à des spécialistes en intelligence artificielle, qui feraient perdre à ces données leur caractère personnel au sens du considérant 26 du RGPD. À supposer que ces données personnelles soient reconstituées sans de tels efforts, et sans altération, l’AIPD ne tente pas davantage d’évaluer le risque que cette reconstitution entraîne une atteinte à la vie privée ou aux droits fondamentaux de ces personnes.

Ou alors ce risque serait mentionné dans la partie occultée ? L’article L311-5 du CRPA mentionne des exceptions à la communicabilité au titre de l’intérêt de l’État (secret des délibérations du pouvoir exécutif, secret de la défense nationale, etc…), et le suivant au titre de la vie privée des personnes, du secret des affaires et du secret médical. Cela n’expliquerait pas pourquoi une exception, mentionnée par l’un de ces articles, justifierait de ne pas faire état de ce risque de rétro-ingénierie à ce moment-là, mais n’empêcherait pas d’en faire état aujourd’hui et de l’opposer au demandeur. Le résultat tient en tous cas du paradoxe : pour ouvrir les décisions de justice, il faudrait fermer l’algorithme qui les produit.

L’emploi d’un argument d’autorité et les contradictions de la Cour ont conduit à un recours auprès du tribunal administratif.

Que craint vraiment la Cour de cassation ? Une atteinte aux droits fondamentaux des personnes ou un examen de ce qu’elle fait dans son nouveau rôle d’éditeur de logiciel ?

Transferts de données vers les États-Unis : vers un arrêt Schrems III ?

L'Américaine Fiona Scott Morton a été nommée économiste en chef à la Direction générale de la concurrence par la Commission européenne. Elle se trouve directement sous l'autorité de la commissaire européenne à la concurrence, Margrethe Vestager, celle-là même qui a pour mission de combattre les pratiques anti concurrentielles des Gafam. 

Ce choix suscite bon nombre d'interrogations. D'une part, on peut s'étonner qu'une Américaine, fut-elle très compétente, soit nommée haut fonctionnaire de l'Union européenne, surtout à un poste clef. N'existe-t-il pas d'économistes de talent ayant la nationalité d'un État membre ? D'autre part, Mme Morton a consacré une partie de sa riche carrière à défendre les grands groupes du secteur numérique comme Apple, Amazon et Microsoft,  ce qui lui fait courir un gros risque de conflits d'intérêts. Au-delà même de ces éléments, une question plus globale se pose et on peut se demander si les groupes américains, après avoir utilisé tous les instruments de lobbying possibles pour faire prévaloir leurs intérêts auprès des bureaux n'ont pas tout simplement décidé de les occuper. 

Cette malencontreuse nomination contribue évidemment au considérable déclin de l'image de l'Union européenne. Conçue à l'origine comme l'instrument d'une paix durable entre les États européens, elle apparaît aujourd'hui comme un champ de bataille entre les lobbyistes, au plus grand profit des intérêts américains.

L'affaire Morton fait sans doute passer au second plan un autre problème, finalement de même nature. La Commission européenne vient d'annoncer le 10 juillet 2023, une "décision d'adéquation" qui permet l'échange de données personnelles entre l'Union européenne et les États-Unis, à la suite d'un accord "Data Privacy Framework". Cette formule figure dans l'article 45 du Règlement général de protection des données (RGPD). Il est ainsi rédigé : "Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique". La récente "décision d'adéquation" est donc celle par laquelle la Commission constate que les systèmes juridiques européens et américains offrent des niveaux de protection des données personnelles jugés équivalents. 

Mais ces niveaux de protection n'ont jamais été équivalents, ne serait-ce que parce que les fondements juridiques de la protection des données personnelles sont bien différents. Elle est régie au plan européen par le RGPD, texte impératif qui n'interdit d'ailleurs pas aux États d'adopter une législation encore plus protectrice. Aux États-Unis, la protection des données personnelles est assurée par un système de certifications et de codes de conduite auxquels les entreprises déclarent se conformer. Quant aux transferts de données effectués au profit des services de renseignement américains, ils sont demeurés très largement incontrôlés. Les citoyens européens sont évidemment victimes de cette situation, notamment ceux installés aux États-Unis qui ne disposent d'aucune voie de recours sérieuse lorsque leurs données personnelles sont captées, au nom de la sécurité nationale américaine.

Cette différence dans les standards de protection est si importante que la Cour de justice de l'Union européenne (CJUE) a déjà annulé deux décisions d'équation. Elle a été saisie à deux reprises par l'avocat autrichien Maximilian Schrems, l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement ces accords d'équivalence, sans équivalence. Et il a déjà obtenu deux victoires importantes devant la CJUE.

 

Schrems I et le Safe Harbor

Maximilian Schrem a contesté une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

A l'époque, le recours s'appuyait sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précisait que "les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers acquiert un niveau de protection adéquat".  

La CJUE remarquait alors que le caractère "adéquat" de la protection américaine relèvait de l'auto-proclamation. Les entreprises américaines déclaraient adhérer aux principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité aux données personnelles provenant de pays de l'Union européenne. Quant au contrôle, il se faisait par certification. Il ne s'agissait cependant pas d'un système de certification par un organisme indépendant, mais d'un système d'"auto-certification" par laquelle l'entreprise déclarait respecter les principes généraux de protection des données, et se contrôlait elle-même. Enfin, la captation des données par les services de renseignement américains n'était pas même envisagée.

Pas dupe sur l'efficacité du système, la Cour a donc pulvérisé le Safe Harbor. Les lobbys se sont remis au travail, et un nouvel accord a été conclu, le Privacy Shield.

That's Hell Folks. Nathalie Faintouch (née en 1965)

 

Schrems II et le Privacy Shield

 

Entrée en vigueur le 1er août 2016, une seconde décision de la Commission a déclaré l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Aux termes de cet accord, les firmes américaines pouvaient conduire un nouveau processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.  

Et précisément Maximilian Schrems veillait. Cette fois, il était en conflit ouvert avec Facebook. Invoquant les révélations d'Edward Snowden, il demandait la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats-Unis, la NSA en particulier. Le requérant s'appuyait une nouvelle fois sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données. Quant à Facebook, il invoquait le respect du Privacy Shield.

Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a donc invalidé, dans un arrêt du 6 juillet 2020, la nouvelle décision de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield.  La seule différence avec l'arrêt Schrems 1 réside dans le fondement juridique retenu par la Cour, puisque, cette fois, le RGPD était en vigueur. Pour le reste, est surtout sanctionnée l'absence de dispositions relatives aux données captées par les services de renseignement américains. Une vague annexe II de la décision d'adéquation se borne à mentionner que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européens pouvaient faire l'objet d'une collecte de masse par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée.

Toujours pas dupe, la CJUE a donc pulvérisé le Privacy Shield comme elle avait pulvérisé Safe Harbor.

 

Schrems III et le "Data Privacy Framework" ?

La question de la durée de vie de la décision d'adéquation du 10 juillet 2023, et l'on peut supposer que Maximilian Schrems est déjà occupé à peaufiner son recours. 

Il est toujours délicat d'annoncer le succès ou l'échec d'une requête avant qu'elle ait été déposée, et la plus grande prudence s'impose. On s'interroge tout de même sur la manière dont la Commission a géré les échecs des accords successifs, sans finalement tenir compte des observations de la Cour. Car le nouvel accord "Data Privacy Framework"n'est guère plus sérieux que les précédents. Il énonce en toute simplicité que les transferts de données pourront se faire « en toute sécurité de l'UE vers des entreprises américaines participant au cadre », sans nécessité de « mettre en place des garanties supplémentaires en matière de protection des données ».

Quant à l'accès des services de renseignement américains aux données personnelles des internautes européens, la question est régie aux États-Unis par un Executive Order purement cosmétique signé par la Président Biden. Il précise qu'il sera limité à "ce qui est nécessaire et proportionné pour la sécurité nationale". En cas de litige, est prévu "un mécanisme de recours indépendant et impartial". Observons bien qu'il ne s'agit pas d'un tribunal mais d'un "délégué à la protection des libertés civiles" directement issu de la communauté du renseignement. Si celui-ci écarte la requête, l'internaute pourra se tourner vers une "Cour" composée de "membres extérieurs au gouvernement". Observons cette fois qu'il ne s'agit pas nécessairement de magistrats. 

Surtout, et c'est sans doute ce qui fera le plus frémir Maximilian Schrems, l'Exécutive Order énonce que la surveillance de masse prévue par le Foreign Intelligence Surveillance Act (FISA Act) est "proportionnée" en vertu d'une "interprétation américaine" non divulguée. Or le FISA Act permet aux agences américaines de surveiller les communications des étrangers à à l'étranger... Cette "interprétation américaine" non divulguée s'analyse donc comme une gigantesque claque infligée aux Européens qui doivent accepter d'être espionnés au nom des intérêts américains. Bien entendu, la "protection équivalente" ne suppose tout de même pas que les Etats européens puissent espionner les citoyens américains sur leur sol... Il reste à se demander comment la CJUE va apprécier l'insulte.

Evidemment la question essentielle est la suivante : comment la Commission européenne a-t-elle pu accepter le "Data Privacy Framework" . Car il faut qu'il ait été signé, et ceux qui l'ont signé ne pouvaient ignorer qu'il allait à l'encontre des droits les plus élémentaires des citoyens européens en autorisant tout simplement qu'ils soient espionnés par les services américains. La réponse se trouve dans le lobbying, ce qui nous ramène évidemment au cas de Mme Morton. Les États-Unis seraient-ils en traint de faire une OPA hostile sur l'Union européenne ?

---

L'usage des drones à des fins de police administrative

Le juge des référés du Conseil d'État met fin, dans une ordonnance du 24 mai 2023 M. X et Association de défense des libertés constitutionnelles (ADELICO), aux incertitudes qui pouvaient encore exister sur la légalité du recours aux drones en matière de police administrative. Il refuse de suspendre le décret du 19 avril 2023 relatif à la mise en oeuvre de traitements d'images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative. Ce texte a été pris sur le fondement de la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure qui autorise les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs.

 

Les précédents jugements

 

Alors même que le décret d'avril 2023 est très récent, l'ordonnance du juge des référés du Conseil d'État n'est pas la première décision de justice visant à contester l'usage des drones, notamment lorsqu'ils sont utilisés pour surveiller les manifestations. La suspension d'arrêtés préfectoraux autorisant leur utilisation avait déjà été demandée devant le juge des référés de différents tribunaux administratifs, notamment à  Paris, Lyon et Bordeaux le 1er mai 2023. Tous avaient refusé la suspension. En revanche, le juge des référés du tribunal administratif de Rouen avait suspendu un arrêté préfectoral autorisant l'usage des drones au Havre, mais dans la seule mesure où l'arrêté couvrait une période de huit heures après le début du cortège. 

L'ordonnance du Conseil d'État n'est pas en contradiction avec celles préalablement rendues par les juges des tribunaux administratifs. Au contraire, elle vient conforter la position de l'ensemble des juges saisis dans ce domaine. Après une période durant laquelle l'usage des drones, en matière de police administrative, n'était pas prévue ni encadrée par le droit, ils prennent acte de la création d'un véritable fondement juridique à cette pratique.

 

 Drone. Jason Bourque. 2017

 

Le précédent de 2020

 

Il y a eu une époque, pas si lointaine, où le drone était l'objet d'une sorte d'improvisation juridique. En 2020, les forces de police avaient utilisé à Paris quatre drones pour repérer les rassemblements de personnes, dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les images captées étaient transmises à un centre de commandement, qui décidait de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parleur intégré au drone pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. 

Le juge des référés du Conseil d'État, dans une ordonnance du 18 mai 2020, avait suspendu l'arrêté préfectoral autorisant un tel usage des drones. Sa décision ne reposait pas sur une opposition de font à cette technologie en matière de gestion des rassemblements, mais bien davantage sur l'absence de garanties offertes aux personnes dont l'image était ainsi captée. Aucun dispositif ne garantissait en effet que le drone volait suffisamment haut pour empêcher l'identification des personnes. Or, s'il volait bas pour précisément capter des images identifiantes, il violait le Règlement général de protection des données (RGPD), puisque l'avis préalable de la Commission nationale de l'informatique et des libertés (CNIL) n'avait pas été demandé.

 

Les garanties apportées par la loi

 

Depuis lors, la loi du 24 janvier 2022 est intervenue, et elle définit le socle juridique sur lequel repose l'usage des drones. L'article L 242-2 du code de la sécurité intérieure (csi) précise que les images captées ne peuvent être visionnées que pendant la durée strictement nécessaire à l'intervention. De même est-il prévu, dans l'article L 242-4 csi que ces dispositifs ne peuvent "ni procéder à la captation du son, ni comporter de traitements automatisés de reconnaissance faciale". Les images ainsi recueillies ne peuvent faire l'objet d'aucune interconnexion avec un autre traitement automatisé. Le décret du 19 avril 2023, celui-là même dont il est demandé la suspension, définit concrètement comment ces garanties sont mises en oeuvres.

Certes, mais elles peuvent être considérées comme insuffisantes et c'est précisément la thèse que soutiennent les requérants. Ils reprochent ainsi au dispositif juridique de ne pas comporter la doctrine d'emploi des drones, c'est-à-dire les situations précises dans lesquelles les drones peuvent être utilisés. De même déplorent-ils qu'il ne soit mentionné nulle part que l'usage des drones s'arrête au domicile des personnes et que le dispositif d'information du public ne soit pas détaillé.

La décision du Conseil constitutionnel du 20 janvier 2022

Les garanties apportées à l'usage des drones en matière de police administrative ont pourtant été jugées suffisantes par le Conseil constitutionnel, dans sa décision du 20 janvier 2022. Il constate que le législateur a dressé une liste précise des finalités d'ordre public qui justifient l'utilisation des drones, notamment lorsque la sécurité des personnes et des biens est particulièrement exposée à des risques de commission de certaines infractions, ou pour protéger des bâtiments publics de tentatives d'intrusion ou de dégradation. S'y ajoutent la menace terroristes et la sécurité des rassemblements de personnes sur la voie publique. Cette dernière finalité est évidemment la plus contestée au nom d'une liberté de manifestation actuellement souvent revendiquée comme absolue. Quoi qu'il en soit, cette liste est considérée comme satisfaisante par le Conseil constitutionnel. De la même manière, il note que l'autorisation préfectorale non seulement détermine cette finalité mais précise aussi le nombre de dispositifs utilisés ainsi que la durée de leur usage. 

Le Conseil constitutionnel a donc déclaré conforme à la Constitution les dispositions législatives autorisant l'usage des drones en matière de police administrative. Dans de telles questions, il était évident que le référé déposé par les requérants demandant la suspension du décret d'application de la loi de 2022 avait peu de chances de prospérer. Sans doute ont-ils pensé que les juges administratifs, qui se sont montrés très protecteurs de la liberté de manifestation en suspendant récemment bon nombre d'arrêtés d'interdiction, continueraient en quelque sorte sur leur lancée, dans une sorte de grand élan protecteur de la liberté de manifester. Mais le Conseil d'État, même en référé, n'est pas aussi enclin que les tribunaux administratifs à adopter des décisions de combat. Surtout, l'ordonnance rendue le 24 mai 2023 ne prive le Conseil d'État d'aucune de ses prérogatives. Il lui appartiendra en effet d'apprécier, au cas par cas, la légalité des arrêtés préfectoraux autorisant l'usage des drones, et de construire une jurisprudence dans ce domaine. Il ne fait aucun doute que les requérants habituels, et notamment l'association ADELICO, l'aideront dans cette mission.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Drone, mode d'emploi

Trois ordonnances rendues par le juge des référés des tribunaux administratifs de Paris, Lyon et Bordeaux le 1er mai 2023 refusent la suspension des arrêtés préfectoraux autorisant l'usage des drones pour la surveillance des manifestations du 1er mai. Seul le juge des référés du tribunal administratif de Rouen donne, très partiellement, satisfaction aux demandeurs. Il sanctionne en effet une autorisation d'usage des drones au Havre qui couvrait une période de huit heures après le début du cortège. Il considère donc que l'atteinte à la liberté d'aller et venir et droit au respect de la vie privée est excessive, et suspend l'autorisation "après 14 heures", sans modifier le périmètre de survol.

Ces décisions sont pratiquement identiques, et la suspension partielle prononcée à Rouen ne modifie en rien l'analyse juridique. Celle-ci était prévisible. Après les premières hésitations sur les conditions de légalité de l'usage des drones dans le domaine de la sécurité, les autorités ont en effet renforcé les fondements juridiques de cette pratique. Les ordonnances de référé rendues le 1er mai prennent acte de cette évolution.

Les premières décisions, ou l'hésitation jurisprudentielle

Tout a commencé avec plusieurs ordonnances rendues par le juge des référés du Conseil d'État le 18 mai 2020, saisi sur le même fondement du référé-liberté. A l'époque, il agissait dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les forces de police avaient alors utilisé, dans la ville de Paris, quatre drones équipés d'un zoom optique et d'un haut-parleur, utilisés deux à trois heures par jour. Le télépilote du drone filmait les lieux dans lesquels des rassemblements étaient susceptibles de se former, en violation des mesures prescrites par l'état d'urgence sanitaire. Les images étaient transmises en temps réel dans un centre de commandement, où il était décidé de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parler pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. Le juge des référés avait suspendu l'arrêté préfectoral autorisant cette pratique pour un motif de procédure. En l'absence de dispositif technique imposant au drone de voler suffisamment haut pour ne pas capter de données identifiantes, il considère que la procédure doit être celle imposée par le Règlement général de protection des données (RGPD). Elle suppose donc un avis préalable de la CNIL, qui n'avait pas été saisie en l'espèce.

La seconde décision dans ce domaine est venue du Conseil constitutionnel. Le 20 mai 2021, il s'est prononcé sur la conformité à la Constitution de la loi "pour une sécurité globale préservant les libertés". Parmi les multiples dispositions annulées par le Conseil, se trouvent celles permettant 'utilisation des drones par les forces de police aux fins de recherche, de constatation ou de poursuite des infractions pénales, ou aux fins de maintien de l'ordre. 

Le Conseil constitutionnel ne conteste pas l'intérêt que peuvent représenter les drones pour ces différentes missions qui ne concernent pas seulement le contrôle des manifestations, mais aussi le repérage des points de drogue ou des rodéos urbains. Il affirme au contraire que le législateur peut autoriser de telles pratiques "pour répondre aux objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions". Mais il note que la mobilité des drones, et la hauteur à laquelle ils peuvent évoluer, rendent possible la captation de l'image d'un grand nombre de personnes et le suivi de leur déplacement, alors même qu'elles n'ont rien à voir avec les finalités d'ordre public poursuivies. Le Conseil censure donc ces dispositions car le législateur aurait dû assortir l'usage des drones de garanties particulières destinées à garantir le respect de la vie privée des personnes.

Cette décision du Conseil offre ainsi au législateur un véritable mode d'emploi des drones dans le domaine de la sécurité. Des textes nouveaux interviennent donc pour rendre l'usage des drones conforme à la jurisprudence du Conseil constitutionnel.

 

 Gus, septembre 1969

Les textes récents

 

La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis d’autoriser les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs. Cette fois, le Conseil constitutionnel déclare, le 20 janvier, le texte conforme à la Constitution. En effet, le législateur a précisément rédigé la loi, de manière à empêcher la captation de données identifiantes.

Les conditions d'usage des drones sont clairement précisées. Il doit avoir pour seule finalité d'assurer la sécurité des interventions des services chargés de la sécurité, pour la seule durée de ces intervention. Un usage généralisé et discrétionnaire des drones est donc illicite, ce qui suppose une définition de sa durée. De même, les images enregistrées concernent les lieux publics, ce qui interdit tout enregistrement dans une habitation privée. Enfin, les instruments biométriques de reconnaissance faciale sont prohibés, comme tout rapprochement ou interconnexion de données. Concrètement, le drone peut donc être utilisé à des fins de police administrative, pour filmer de haut les mouvements de groupes de personnes, sans que les individus puissent être identifiés.

Les manifestations sur la loi travail ont incité les pouvoirs publics à accélérer la mise en oeuvre de ces dispositions. Un décret du 19 avril 2023 définit ainsi un cadre juridique précis pour l'usage des drones en matière de police administrative. Intégré dans la partie réglementaire du code de la sécurité intérieure, il dresse la liste des cas dans lesquels les drones peuvent être utilisés. Y figure notamment "la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public ainsi que l'appui des personnels au sol, en vue de leur permettre de maintenir ou de rétablir l'ordre public, lorsque ces rassemblements sont susceptibles d'entraîner des troubles graves à l'ordre public".

Les différents juges des référés des tribunaux administratifs saisis ne manquent pas de se référer à cette disposition. Il est évident que les manifestations récentes ont donné lieu à des troubles graves à l'ordre public, le plus souvent provoqués par une petite minorité de manifestants violents. Les juges notent également que l'usage des drones est limité à la durée de la manifestation, et d'ailleurs l'arrêté du préfet de Seine Maritime est suspendu pour la seule période allant au-delà de la durée estimée du rassemblement.

Les associations requérantes ont développé un ensemble de moyens qui auraient peut-être pu se révéler efficaces avant la loi du 24 janvier 2022 et le décret du 19 avril 2023. Hélas pour elles, les pouvoirs publics ont voulu éviter une mésaventure telle que celle du 18 mai 2020. Ils ont donc considérablement musclé le droit applicable à l'utilisation des drones en matière de police administrative. Ils ont, en quelque sorte, anticipé les recours. In fine, la question est celle de savoir si les associations requérantes ne se trompent pas de combat. Ils voient les drones, et le disent dans leur recours, comme une atteinte à la liberté de manifester. Mais au contraire, l'utilisation de cette technique, dès lors que les données recueillies ne sont pas identifiantes car filmées de très haut, permet par exemple de déceler la présence de Black Blocs, de voir les violences dès leurs prémices. Il s'agit alors de protéger les manifestants, les vrais, ceux qui viennent pour faire valoir leurs revendications.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Données de connexion : Le dialogue des juges érigé au rang des beaux-arts

Dans quatre décisions du 12 juillet 2022, la Cour de cassation "tire les conséquences" des décisions rendues par la Cour de justice de l'Union européenne (CJUE) en octobre 2020, relatives à la conservation des données de connexion et à leur communication au juge dans le cadre de procédures pénales. La formule est d'une exquise courtoisie à l'égard de la juridiction européenne, mais en réalité la Cour de cassation entend bien marquer son territoire.

Les données de connexion

Rappelons que ces "données de connexion" sont celles relatives à l'identification des personnes, au trafic et aux données de localisation, notamment les célèbres fadettes. Elles sont énumérées dans l'article R 10-13 du code des postes et des télécommunications. A l'époque des faits, l'article 34-1, III de ce même code imposait aux opérateurs de services de communication leur conservation généralisée et indifférenciée pour une durée maximale d'un an. 

 

Un chemin ouvert par le Conseil d'État  

Depuis lors, le dialogue des juges s'est quelque peu durci. Dans trois décisions rendues sur questions préjudicielles le 6 octobre 2020, la CJUE était invitée, par le Conseil d'État, à préciser la portée des règles figurant la directive "vie privée et communications électroniques" ainsi que dans le règlement général sur la protection des données (RGPD). Pour la CJUE, la conservation généralisée et indifférenciée des données de connexion, autres que les données d’identité, ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. Dans tous les autres cas, les données doivent être immédiatement détruites.

Alors même que le Conseil d'État était lui-même l'auteur de la question préjudicielle, il ne s'est pas soumis au principe posé par le juge européen. Dans sa décision du 21 avril 2021, il commence par affirmer que "tout en consacrant l'existence d'un ordre juridique de l'Union européenne intégré à l'ordre juridique interne, l'article 88-1 de la Constitution confirme la place de la Constitution au sommet de ce dernier". La supériorité de la Constitution sur le droit européen est ainsi réaffirmée, ce qui n'est guère surprenant. Il énonce ensuite que "dans le cas où l'application d'une directive ou d'un règlement européen, aurait pour effet de priver de garanties effectives l'une de ces exigences constitutionnelles qui ne bénéficierait pas, en droit de l'Union, d'une protection équivalente, le juge administratif, saisi d'un moyen en ce sens, doit l'écarter dans la stricte mesure où le respect de la Constitution l'impose". 

Le Conseil d'État s'attribue ainsi compétence pour exercer le contrôle de l'équivalence des protections offertes par le système juridique. S'engouffrant dans une brèche ouverte par les arrêts du 6 octobre 2020, il considère que la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales sont des exigences constitutionnelles. Il ne fait guère de doute qu'elles ne bénéficient pas d'une protection équivalente en droit de l'Union, l'essentiel de ces domaines relevant de la compétence des États. Reprenant alors les termes mêmes des arrêts du 6 octobre 2020, il affirme, se référant à la menace terroriste, que la conservation pendant un an des données de connexion peut se justifier, en quelque sorte exceptionnellement, "si l'État fait face à une menace grave, réelle, actuelle ou prévisible". 

 

La mauvaise tête. Spirou et Fantasio. Franquin. 1954

 

L'interprétation de la Cour de cassation

Dans les arrêts du 12 juillet 2022, la Cour de cassation suit sensiblement le même chemin. En l'espèce, elle est saisie de plusieurs demandes d'annulation de réquisitions portant sur des données de trafic et de localisation, délivrées, soit dans le cadre d'une enquête de flagrance placée sous le contrôle du procureur de la République, soit dans le cadre d'une information sur commission rogatoire du juge d'instruction. Pour les requérants, la conservation de ces données est irrégulière car non conforme à la jurisprudence européenne qui a précisément sanctionné la loi de l'époque, celle qui impose aux opérateurs de les conserver pendant un an.

Le droit européen affirme que le juge national doit interpréter le droit français de manière conforme au droit de l'Union. La Cour de cassation doit donc s'assurer régulièrement que la conservation des données de connexion pendant un an pour la protection des intérêts de la Nation et la lutte contre le terrorisme est conforme au droit de l'Union. Elle vérifie donc l'existence d'une menace grave pour la sécurité nationale.

En l'espèce, la Cour relève que les fait relevaient de la grande criminalité, qui s'analyse en soi comme une menace grave pour la sécurité nationale. Selon les pourvois, on trouve le meurtre en bande organisée, le trafic de stupéfiants à dimension internationale, avec notamment la création d'une Start Up "Uber Green" chargée de livrer le cannabis à la demande. Face à cette délinquance, la réquisition des données de connexion et leur exploitation était donc indispensable au déroulement de l'enquête.

Comme le Conseil d'État, la Cour de cassation écarte finalement la rigueur de la jurisprudence européenne, en se livrant à une interprétation qui permet d'en atténuer considérablement la portée. 

 

La loi du 30 juillet 2021

 

Par la suite, les choses ont évolué, mais sans remettre en cause l'essentiel. La loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié le cadre juridique de la conservation des données de connexion. Définissant six types de données, elle reprend les principes posés par la jurisprudence française et persiste dans l'exigence de conservation d'un an des données, lorsqu'est constatée une menace grave, ou susceptible de le devenir, pour la sécurité nationale. Ce dispositif législatif est donc conçu pour renforcer le droit français face à une jurisprudence européenne perçue comme menaçante. 

 

La question du parquet

 

Reste un point sur lequel la Cour de cassation suit la CJUE qui, dans un arrêt du 2 mars 2021, rappelle que toutes les atteintes graves aux libertés individuelles doivent être ordonnées par un magistrat indépendant. Elle précise alors que « l’accès des autorités nationales compétentes aux données conservées est subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante". Sur ce point, la CJUE rejoint largement la jurisprudence de la Cour européenne des droits de l'homme (CEDH) déjà formulée dans l'affaire Moulin c. France du 23 novembre 2010

Certes, l'arrêt du 2 mars 2021 concerne le droit estonien, mais la Cour de cassation met en oeuvre ses principes. Selon les pourvois, elle opère une distinction entre les autorités susceptibles d'accéder à ces données de connexion. Le juge d'instruction, qui exerce une fonction juridictionnelle peut exercer ce droit d'accès. En revanche, le procureur ne peut y accéder directement. Selon le droit de l'Union, il dirige la procédure d'enquête préalable ou de flagrance et n'a donc pas une position de neutralité à l'égard des parties. 

Il est vrai que l'impact réel de ce ralliement à la jurisprudence de la CJUE est finalement modeste. En effet, la Cour de cassation précise que l'acte ayant autorisé l'accès aux données de connexion ne peut être annulé que si il a porté atteinte directement à la vie privée de la personne et si cette dernière a subi un préjudice. Ce principe a d'ailleurs été posé préalablement par la Cour de cassation, dans un arrêt du 7 septembre 2021. Dans les arrêts du 12 juillet 2022, il n'est pas très compliqué de démontrer que l'ingérence dans la vie privée des personnes poursuivies était prévue par la loi, poursuivait un but légitime - la recherche des auteurs d'une infraction pénale - et n'était pas manifestement disproportionnée par rapport à l'objectif poursuivi, si l'on considère la gravité des faits.

Les quatre décisions du 12 juillet 2022 peuvent être considérées comme un petit chef d'oeuvre dans le dialogue des juges mené par la Cour de cassation. On ne peut relever aucune opposition frontale à la CJUE. La nécessité de la conservation des données est interprétée à la lumière de la jurisprudence européenne, mais avec une savante exploitation des dérogations qu'elle autorise. Quant au rôle du parquet, il est certes mis en cause, mais sans que le sanction présente la moindre conséquence sur la procédure pénale en cours. Du grand art.

Sur l'indépendance du parquet : Chapitre 4  section 1, § 1 D du Manuel

Université, neutralité, et campagne électorale

La campagne électorale en vue du second tour des présidentielles ne laisse aux électeurs que bien peu de temps pour reprendre leur souffle et réfléchir à leur choix. Ils sont saturés de messages dans les médias et sur les réseaux sociaux qui leurs expliquent pour qui, ou contre qui, ils doivent voter. 

Les plus jeunes électeurs, notamment les étudiants, sont les plus courtisés. Les sondages nous apprennent en effet qu'une bonne partie d'entre eux s'est partagée au premier tour entre l'abstention et le vote Mélenchon. Il convient donc de les conduire aux urnes et de leurs donner de bons conseils. On voit des professeurs éminents des Universités signer des tribunes pour expliquer aux étudiants, et aux autres, dans quel sens ils doivent voter. Auraient-ils la simplicité de penser que la mention de leur nom suffit à faire pencher la balance dans un sens ou dans l'autre ? A moins qu'ils estiment que ces jeunes gens, pourtant majeurs, ne sont pas suffisamment éduqués pour faire le devoir de citoyen, et qu'il convient de leur tenir la main, surtout celle qui tient un bulletin de vote ?  Si ces enseignants surestiment peut-être leur influence, il n'en demeure pas moins qu'ils ont parfaitement le droit de signer des tribunes dans la presse. 

Un problème juridique se pose toutefois lorsque ces professeurs interviennent au nom de l'institution universitaire et conduisent à l'engager. C'est ainsi que la présidente de l'Université de Nantes a cru bon d'envoyer à l'ensemble des étudiants de cet établissement un courriel intitulé «Le 24 avril, faites barrage à l’extrême droite». Elle se présentait alors comme «profondément attachée aux valeurs démocratiques et républicaines, à l’état de droit, au respect des droits fondamentaux et individuels, à un universalisme fondé sur le respect des différences, à la liberté d’expression et à la construction européenne». Elle appelait ensuite «solennellement à voter le 24 avril pour faire barrage à l’extrême droite et donc au Rassemblement national». Le courriel a évidemment suscité nombre de commentaires. Les uns y voyaient une atteinte à l'obligation de réserve, d'autres invoquaient "la liberté d'expression de l'universitaire". 

Ces deux analyses semblent également dépourvues de crédibilité juridique. En tout état de cause, cependant, le courriel envoyé par la présidente de l'Université de Nantes relève pourtant du droit pénal et du droit disciplinaire de la fonction public.

 

Le détournement de fichier

 

A l'évidence, une infraction été commise, concernant l'utilisation du fichier des étudiants. L'article 226-21 du code pénal sanctionne de cinq ans d'emprisonnement et de 300 000 € d'amende " le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement". 

Une université est un établissement public à caractère culturel, et elle gère à ce titre un fichier public qui comporte des données personnelles relatives aux étudiants qui y sont inscrits et aux personnels, enseignants ou non, qui y travaillent. Dès le 3 décembre 1996, la Commission nationale de l'informatique et des libertés (CNIL) adoptait une recommandation relative à l'utilisation de fichiers à des fins politiques. Toujours en vigueur, elle précise clairement que "chaque fichier public a une finalité particulière qui ne comporte pas celle de faire de la prospection politique". Ce principe a ensuite été réaffirmé par le droit de l'Union européenne avec le règlement général sur la protection des données (RGPD). Dans son article 5, il énonce que les données personnelles sont "collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités".

L'infraction de détournement de finalité est rarement sanctionnée, tout simplement parce que la preuve de l'utilisation illicite du fichier n'est pas toujours facile à apporter. Le plus souvent, les donnée sont volées, et transmises à un tiers plus ou moins repérable, qui va ensuite les utiliser à des fins politiques. Dans le cas présent, la présidente de l'Université assume parfaitement sa démarche, et apporte ainsi elle-même la preuve de l'infraction. 

 

 

Astérix en Corse. René Goscinny et Albert Uderzo. 1973
 

 

L'obligation de réserve

 

D'origine purement jurisprudentielle, l'obligation de réserve apparaît dès 1935, dans un arrêt du Conseil d'Etat Bouzanquet, pour fonder la sanction frappant un employé à la chefferie du Génie à Tunis, qui avait tenu des propos publics très critiques à l'égard de la politique du gouvernement.  Elle impose à l'agent une certaine retenue dans l'expression. Surtout, elle lui interdit  d'utiliser sa fonction pour d'autres finalités que celles qui lui sont attachées, par exemple à des fins de propagande politique ou de dénigrement. Il est exact qu'en l'espèce, la présidente de l'Université utilise sa fonction pour intervenir dans le débat électoral. 

On ne peut cependant pas constater clairement un manquement à la réserve. Cette obligation n'interdit pas d'exprimer son opinion, mais sanctionne plutôt l'absence de mesure dans cette expression. En outre, elle a pour objet de sanctionner des critiques formulées par un fonctionnaire à l'encontre de son administration ou du gouvernement qui l'emploie. En l'espèce, la présidente de l'Université s'exprime avec mesure et ne critique pas son administration ni le gouvernement. L'idée est au contraire d'inciter les étudiants à voter pour le président sortant et tout le propos vise à "faire barrage à l'extrême droite". 

 

L'obligation de neutralité

Le devoir de neutralité est, en revanche, clairement malmené par le courriel qu'a envoyé la présidente de l'Université. Règle d'organisation du service public, il a été consacré par le Conseil constitutionnel comme  le "corollaire du principe d'égalité" dans sa décision n° 86-217 DC du 18 septembre 1986. S'il est vrai que la neutralité est, dans la période actuelle, particulièrement invoquée comme instrument de mise en oeuvre du principe de laïcité, son champ d'application est beaucoup plus large. D'une manière générale, elle a pour finalité d'empêcher que le service public soit assuré de manière différenciée en fonction des convictions politiques ou religieuses de son personnel ou de ses usagers. 

Dans son  article L121-2, le code général de la fonction publique énonce que «dans l’exercice de ses fonctions, l’agent public est tenu à l’obligation de neutralité». L' article L 952-2 du code de l'éducation, quant à lui, affirme que "les enseignants-chercheurs, les enseignants et les chercheurs jouissent d'une pleine indépendance et d'une entière liberté d'expression dans l'exercice de leurs fonctions d'enseignement et de leurs activités de recherche, sous les réserves que leur imposent, conformément aux traditions universitaires et aux dispositions du présent code, les principes de tolérance et d'objectivité". Ces dispositions sont issues de la jurisprudence du Conseil constitutionnel qui, depuis sa décision du Conseil constitutionnel du 20 janvier 1984 fait de l'indépendance et de la libre expression des professeurs d'Université un principe fondamental reconnu par les lois de la République, principe ensuite étendu à l'ensemble des enseignants-chercheurs par la décision du 28 juillet 1993. De cet ensemble normatif, on doit déduire que l'obligation de réserve doit être conciliée avec la liberté d'expression académique. L'article 7 du règlement intérieur de l'Université de Nantes énonce ainsi, de manière très logique, que "les personnels sont notamment tenus au devoir de réserve, à la discrétion professionnelle, et au respect des principes de laïcité et de neutralité politique du service public". 

Sans doute la présidente de l'Université n'avait-elle pas une connaissance très approfondie du règlement intérieur de son Université. Certains commentateurs ont certes essayé de faire valoir la liberté académique, mais hélas l'article L 952-2 du code de l'éducation précise bien que celle-ci s'applique "dans l'exercice de leurs fonctions d'enseignement et de leurs activités de recherche". En l'espèce, le courriel contesté montre clairement qu'il émanait non pas d'un professeur de droit privé intervenant comme enseignant-chercheur, mais de la présidente de l'Université exerçant son autorité. L'auteur signe d'ailleurs de son titre de "Présidente", et s'adresse à "tous les étudiants" et tous les collègues de l'Université, pas seulement ceux qui suivent ses enseignements ou participent aux activités de son centre de recherche. La présidente n'est donc clairement pas en position d'invoquer la liberté académique pour justifier sa démarche. Celle-ci émane, non d'un enseignant-chercheur, mais d'une autorité administrative.

La situation de la présidente de l'Université de Nantes ne suscite guère d'inquiétudes, sauf peut-être en ce qui concerne ses connaissances sur le droit de la protection des données et le droit de la fonction publique. Mais elle a des excuses car elle enseigne le droit civil. En tout cas, il est fort probable qu'aucune procédure pénale ne sera engagée pour le détournement de fichier, et qu'aucune procédure disciplinaire ne résultera du manquement au devoir de neutralité. Peut-être même sera-t-elle prochainement récompensée par un emploi de recteur ou un poste dans un cabinet ministériel ? De la distance académique à la proximité politique, il n'y a qu'un pas.

Les cookies de Google devant le Conseil d'État

Dans un arrêt du 28 janvier 2022, le Conseil d'État confirme les légalité des deux amendes d'un montant total de 100 millions d'euros infligées à Google par la Commission nationale de l'informatique et des libertés (CNIL). Dans sa délibération du 7 décembre 2020, l'autorité indépendante avait en effet estimé que la firme n'avait pas respecté les obligations en matière de recueil préalable du consentement des utilisateurs pour le dépôt de cookies. 

Rappelons qu'un cookie peut être rapidement défini, comme un petit fichier informatique, un traceur, déposé dans le système de l'utilisateur. Il permet de connaître ses consultations de sites internet, sa lecture de courriers électroniques, les logiciels ou applications qu'il installe. Google est évidemment un grand utilisateur de cookies, pratique qui lui permet de valoriser les données personnelles de ses utilisateurs en les vendant à diverses entreprises. Dans un contrôle réalisé au printemps 2020, la CNIL avait ainsi établi que 7 cookies étaient automatiquement installés sur les ordinateurs des utilisateurs dès leur arrivée sur le site Google, dont 4 qui n’avaient pas d'autre finalité que publicitaire.

Précisément, le droit français et européen impose le consentement des utilisateurs car les données auxquelles les cookies donnent accès sont des données personnelles. Mais Google s'est toujours efforcé de se soustraire à cette contrainte, estimant que les données personnelles de ses utilisateurs sont des biens de consommation, simple information qui peut se vendre et s'acheter. A cet égard, l'arrêt du 28 janvier 2022 a l'avantage de conforter un droit européen et français beaucoup plus protecteur de la vie privée que le droit américain. Il n'est donc guère surprenant que Google affirme depuis longtemps que ses activités relèvent du droit américain, et de lui seul.

La compétence de la CNIL

Cette revendication se heurte désormais au mur du droit européen. Les deux sociétés sanctionnées, Google LLC et Google Ireland Limited, estimaient que la CNIL n'était pas compétente pour leur infliger une sanction. A leurs yeux, cette procédure aurait dû être diligentée par le mécanisme de guichet unique européen organisé par le Règlement général de protection des données (RGPD). Il définit une autorité chef de file, chargée des questions transfrontières. Dans le cas présent, Google considérait que l'autorité chef de file était l'autorité irlandaise de protection des données. Nul n'ignore que les GAFA installent leur siège européen en Irlande, véritable paradis fiscal où l'impôt sur les sociétés ne dépasse pas 12, 5 % du chiffre d'affaires. Dans ces conditions, l'autorité irlandaise de protection des données n'est guère encline à prononcer des sanctions contre ces entreprises qui apportent au pays des revenus fiscaux importants. L'autorité de contrôle est alors plutôt une autorité d'absence de contrôle.

Certes, l'article 56 du RGPD prévoit la désignation d'une autorité chef de file, mais cette procédure ne concerne que les traitements transfrontaliers effectués par le responsable du traitement ou son sous-traitant. Mais, dans le cas présent, la CNIL n'a pas besoin de s'interroger sur le caractère transfrontalier ou non du système de gestion des cookies mis en oeuvre par Google.

La directive du 12 juillet 2002 vie privée et communications électroniques vient en effet offrir à la CNIL un fondement extrêmement solide à son pouvoir de sanction. Cette directive fait figure de texte spécial par rapport au RGPD, dans ce domaine particulier des communications électroniques. Aux termes de son article 5, "les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni (...) d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données". Cette obligation est reprise dans l'article 82 de la loi du 6 janvier 1978, et tout manquement peut susciter l'engagement d'une procédure de sanction. Aucun guichet unique et aucun chef de file ne sont alors prévus, puisque, précisément, ce n'est pas le RGPD qui s'applique.

Cette interprétation est celle affirmée à deux reprises par la Cour de justice de l'Union européenne (CJUE), d'abord dans son arrêt du 1er octobre 2019 Bundesverband des Verbraucherzentralen und Verbraucherverbände c. Planet 49 GmbH, puis dans son arrêt du 15 juin 2021 Facebook Ireland Ltd. Dans les deux cas, la CJUE affirme que le consentement au recueil de données personnelles ne saurait être exprimé au moyen d'une case pré-cochée. Et elle note que si la procédure de guichet unique a bien été prévue dans le RGPD pour les opérations de lecture et d'écriture dans le terminal d'un ordinateur, c'est la directive de 2002 qui s'applique pour les opérations d'accès et d'inscription d'informations. Le caractère transfrontalier ou non du fichier n'est pas une question pertinente dans ce cas. Cette jurisprudence est suffisamment solide pour que le Conseil d'État refuse à Google la saisine de la CJUE d'une question préjudicielle portant sur ce point.

Le Conseil d'État s'inscrit ainsi dans la ligne de la jurisprudence européenne. Mais cela ne signifie pas que, dans une hypothèse où la directive de 2002 ne serait pas applicable, il déclarerait la CNIL incompétente. Les articles 16 et 20 de la loi du 6 janvier 1978, dans son écriture postérieure au RGPD, autorisent en effet la Commission à prendre des sanctions à l'encontre des responsables de traitement qui ne respectent pas le texte européen. Cette disposition est suffisamment large pour faire de la CNIL l'autorité de contrôle du respect du droit européen en France.

Who took the cookie ? Nursery Rhyme

Le contrôle de proportionnalité

La suite de l'arrêt est sans grande surprise. Le Conseil d'État juge que les amendes infligées par la CNIL ne sont pas disproportionnées, compte tenu notamment de la manne financière que les cookies rapportent à Google. Le Conseil d'État observe à ce propos un véritable refus de coopération de l'entreprise, qui a toujours refusé de communiquer à la CNIL le montant de ses revenus publicitaires.

Cette persistance de Google dans son refus d'appliquer le droit européen apparaît aussi dans le caractère cosmétique des modifications apportées en matière de cookies. 

Au moment où la procédure de sanction est engagée, 7 cookies étaient déposés sur son terminal dès que l'utilisateur accédait au site. Sur la page Google.fr, un bandeau s'affichait en pied de page, intitulé "Rappel des règles de confidentialité de Google". L'internaute avait alors le choix entre deux boutons, l'un intitulé "Me le rappeler plus tard", l'autre "Consulter maintenant". Le malheureux qui souhaitait "consulter" prenait alors connaissance d'un texte qui ne mentionnait ni les règles de confidentialités annoncées ni la possibilité de refuser les cookies. Pour parvenir à ces informations, il devait aller au bout d'une longue fenêtre de texte, surtout ne pas cliquer sur un des liens hypertextes proposés, et finalement choisir de cliquer sur un bouton "Autres options". Bien peu d'internautes devaient avoir cette patience ou cette curiosité.

Après l'engagement d'une procédure de sanction, Google a fait connaître sa volonté d'améliorer les choses. Depuis septembre 2020, l'internaute arrivant sur Google.fr voit s'ouvrir une fenêtre intitulée "Avant de continuer". Avec une information très succincte sur les cookies, deux boutons sont de nouveau proposés, l'un sobrement intitulé "J'accepte", l'autre proposant "Plus d'informations". Hélas, le Conseil d'État observe que les indications fournies n'explicitent toujours pas la finalité des cookies et ne disent toujours rien sur les moyens de s'y opposer.

Ce rappel très détaillé montre que la mauvaise volonté de Google et son refus de se plier au droit européen et français sont des éléments permettant au Conseil d'État de juger de la proportionnalité de la sanction. De même le juge valide-t-il sans davantage d'interrogation, la décision de la CNIL de rendre publique sa sanction.

Les sanctions contre Google commencent à s'accumuler, 100 millions d'Euros le 7 décembre 2020, puis 150 millions le 31 décembre 2021 pour les mêmes motifs de gestion des cookies. Le recours contre cette seconde sanction semble bien délicat si l'on considère le résultat du premier.

En l'état actuel des choses, il n'y a aucune raison pour que les sanctions ne continuent pas à se multiplier. On peut évidemment penser que le chiffre d'affaires du groupe Alphabet lui permet de surmonter facilement ces petits inconvénients. Mais Google a aussi d'autres soucis, en particulier une menace beaucoup plus grave venant directement des États-Unis. Après seize mois d'enquête, le département de la Justice ainsi que seize États américains ont décidé de ressortir le Sherman Antitrust Act de 1890. Ils accusent en effet Google d'avoir eu recours à des comportements concurrentiels pour dominer le secteur des moteurs de recherche. On pourrait voir dans cette action un premier pas vers le démantèlement du géant. Peut-être Google devrait-il songer qu'il est de son intérêt de mettre fin à son contentieux avec l'Europe pour mieux se consacrer à ces problèmes encore plus graves ? Même un géant des GAFA ne peut pas se battre sur tous les fronts à la fois.

Sur la protection des données  : Chapitre 8 du Manuel