La civilité à la SNCF : Merci les Woke !

Le Conseil d'État affirme, dans un arrêt du 31 juillet 2025, que SNCF Connect ne peut imposer à ses clients, qui achètent un billet de train sur internet, de communiquer leur civilité. Immédiatement, certains commentateurs se sont élevés avec vigueur contre le wokisme du Conseil d'État, ajoutant qu'il devenait impossible de dire "Monsieur" ou "Madame" dans la conversation courante. 

S'ils consentaient à lire l'arrêt, ils seraient rapidement rassurés. Certes, le Conseil d'État était saisi par une association Mousse qui se présente sur son site comme "les justiciers du LGBPQI+". Mais à y regarder de plus près, l'association est accompagnée d'un avocat qui connaît le droit et qui invoque des arguments juridiques qui pourraient aussi bien être développés par n'importe quelle association d'usagers ou n'importe quel voyageur isolé. Concrètement l'association conteste la décision de la Commission nationale de l'informatique et des libertés (CNIL) qui avait écarté sa réclamation tendant à exiger de SNCF Connect la suppression de l'exigence de civilité. L'autorité indépendante estimait alors que cette exigence n'emportait aucune atteinte au RGPD. C'est donc cette décision de rejet qui a donné lieu à un recours devant le Conseil d'État, et l'association en obtient l'annulation.

La décision du Conseil d'État n'a rien de woke. Elle se borne à faire une stricte application du Règlement général de protection des données (RGPD), comme le lui demandait l'association requérante.

 

Finalité du fichier et minimisation des données

 

Le RGPD impose, comme la loi Informatique et Libertés de 1978 avant lui, que seules les données personnelles strictement nécessaires à la finalité du traitement peuvent être recueillies et conservées. Cette règle constitue la mise en oeuvre du principe de finalité qui signifie que les informations recueillies doivent être pertinentes par rapport à la finalité du traitement, et leur utilisation ultérieure compatible avec cette finalité. Si tel n’est pas le cas, un « détournement de finalité » est constitué. 

Lorsque le fichier est créé par décret, le Conseil d’État sanctionne donc le détournement de finalité constitué lorsque les données recueillies et conservées vont au-delà de celles qui sont strictement nécessaires à cette finalité. L'article 6 du RGPD évoque désormais un principe de minimisation des données, version un peu modernisée de la stricte nécessité traditionnelle. Quel que soit le terme employé, l'étendue du contrôle est identique. Dans une ordonnance du 6 juillet 2021, le juge des référés constate que les  données conservées pour permettre la gestion du passe sanitaire pendant l’épidémie de Covid étaient « limitées à ce qui est nécessaire au regard de la finalité du fichier".  

Dans le cas contraire, le détournement de finalité a pour conséquence l’illégalité du fichier. Dans un arrêt d’assemblée du 26 octobre 2011, le Conseil d’État censure ainsi le fichier Titres Électroniques Sécurisés (TES), qui autorisait le stockage d’empreintes digitales supplémentaires, inutiles pour sanctionner une usurpation d’identité, finalité officielle du fichier.  Dans une décision QPC du 22 mars 2012, le Conseil constitutionnel sanctionne pour le même motif la loi créant ce même fichier, car ses caractéristiques techniques « permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne", particulièrement "à des fins de police administrative ou judiciaire". Derrière cette formulation, c’est encore le détournement de finalité qui est sanctionné, les données conservées n'étant pas strictement nécessaires à la finalité officielle du fichier. Considéré sous cet angle, le principe de minimisation des données conservées garantit que le traitement ne sera pas utilisé à d'autres fins que celles précisées lors de sa création.

L'arrêt rendu le 31 juillet 2025 n'est donc qu'une application de ce principe, et le Conseil d'État se borne finalement à une constatation de bon sens. Il n'est évidemment pas indispensable de faire savoir si l'on est "Monsieur" ou "Madame" pour acheter un billet de train. Ces informations ne sont pas strictement nécessaires à la finalité du fichier.

 

 Un homme et une femme. Nicole Croisille et Pierre Barouh. 1966

Archives de l'INA 

 

La question préjudicielle 

Avant de se prononcer, le Conseil d'État a tout de même saisi la Cour de justice de l'Union européenne (CJUE) d'une question préjudicielle, portant sur l'interprétation des articles 5, 6 et 21 du RGPD, c'est-à-dire les dispositions qui affirment les principes de finalité du traitement et de minimisation des données, ainsi que le droit de l'individu de s'opposer à ce que soient recueillies des données personnelles non indispensables.

Dans sa décision du 9 janvier 2025, la CJUE réaffirme le principe de minimisation des données, condition de la licéité d'un traitement de données à caractère personnel. Le RGPD dresse d'ailleurs une liste des cas dans lesquels un traitement est licite. Parmi eux figure celui dans lequel le fichier est indispensable à l'exécution d'un contrat. En l'espèce, il s'agit d'un contrat de transport et, pour se défendre, SNCF Connect invoque les trains de nuit, dans lesquels des compartiments couchettes sont réservés aux femmes seules. Sans doute, mais la CJUE observe que la civilité peut être demandée aux seuls acheteurs de billets dans ces trains, bien peu nombreux si l'on considère l'ensemble du trafic.

La CJUE écarte aussi cette analyse, parce qu'il n'est pas contesté que la civilité demandée a pour première finalité de personnaliser la communication commerciale. Sur ce plan, elle ne peut donc pas être présentée comme une nécessité pour l'exécution du contrat de transport. Elle lui est au contraire totalement extérieure. Dans sa décision du 31 juillet 2025, le Conseil d'État reprend exactement cette analyse et annule la décision de la CNIL. Cette dernière se trouve donc de nouveau saisie de l'affaire, et il lui appartiendra de déterminer si elle doit user de son pouvoir d'injonction et/ou de sanction pour faire cesser cette demande de civilité.

Considérer l'arrêt du 31 juillet 2025 comme un simple exemple de wokisme du Conseil d'État relève ainsi d'un véritable contresens. Si l'on consent à oublier un peu la question de l'exigence de civilité chère aux militants LGBTQ+, on s'aperçoit que le principe de minimisation est un instrument efficace de la protection des données personnelles. Seuls ceux qui n'ont jamais été agacés par les sites qui leurs demandent leur date de naissance pour vendre un ticket de cinéma oseront critiquer cette décision. Les autres se réjouiront d'une jurisprudence bien utile pour lutter contre l'exploitation commerciale de leurs données personnelles. 

 

 Le principe de finalité  : Manuel de Libertés publiques version E-Book et version papier, chapitre 8,  section 5

 

 

La rectification des données relatives à l'identité de genre.

La décision Deldits rendue par la Cour de justice de l'Union européenne (CJUE) le 13 mars 2025 marque l'aboutissement d'une évolution jurisprudentielle tendant à une meilleure reconnaissance de la transsexualité. De manière très concrète, la décision de la CJUE, intervenant après celle d'autres juridictions et notamment de la Cour européenne des droits de l'homme (CEDH) met fin à une pratique de certains États subordonnant la reconnaissance par l'état civil d'un changement de l'identité de genre à la preuve d'un traitement chirurgical préalable.

Dans le cas présent, V. P. est une personne de nationalité iranienne qui a obtenu le statut de réfugié en Hongrie, durant l'année 2014. A l'appui de sa demande d'asile, V. P. avait invoqué sa transidentité et produit différentes attestations de gynécologues et de psychiatres. Tous affirmaient que si V. P. était né femme, son identité de genre était masculine. V. P. avait toutefois été enregistré comme femme dans les fichiers recensant les réfugiés. En 2022, V. P. avait déposé une demande auprès de l'autorité en charge de l'asile, visant à rectifier la mention de son genre et à modifier son prénom dans ces fichiers. Mais cette demande a été rejetée, car V. P. n'avait pas démontré avoir subi de traitement chirurgical de réassignation sexuelle. La situation de V. P. était d'ailleurs aggravée par le fait que, depuis 2020, la Hongrie, pays bien peu libéral dans ce domaine, a supprimé toute possibilité de reconnaissance juridique d'un changement d'identité de genre, y compris pour les ressortissants hongrois.

Sur le plan juridique, la demande de V. P. s'appuyait sur l'article 16 du règlement général de protection des données qui confère à la personne fichée "le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes". La Cour de Budapest-Capitale, dans le cadre de ce contentieux, décide de surseoir à statuer et de poser à la CJUE une question préjudicielle portant sur l'interprétation de l'article 16. Contraint-il le droit national, au nom du principe d'exactitude, à corriger des données personnelles relatives au genre lorsqu'elles ont changé depuis l'inscription de la personne dans les registres ? Si la réponse est positive, les juges hongroises demandent alors si elles peuvent subordonner la modification à la preuve que l'intéressé à subi un traitement chirurgical de réassignation sexuelle. 

 

Le devoir de rectification

 

La réponse à la première question est positive. La CJUE rappelle que l'article 16 du RGPD "concrétise le droit fondamental" consacré à l'article 8 § 2 de la Charte européenne des droits fondamentaux, selon lequel toute personne a le droit d'accéder aux données collectées la concernant et, le cas échéant, d'en obtenir rectification. De fait, l'article 16 doit être lu à la lumière de l'article 5 du RGPD qui garantit le droit à l'exactitude des données. Cela signifie que toute donnée inexacte doit être effacée ou rectifiée sans tarder. Dans un arrêt Mousse du 9 janvier 2025, la CJUE rappelle d'ailleurs que ce droit de rectification constitue l'un des aspects essentiels du droit à la protection des données, et donc à la vie privée. 

L'autorité gestionnaire du fichier doit apprécier l'exactitude d'une donnée au regard de la finalité du fichier. En l'espèce, il s'agit d'un traitement recensant les titulaires du droit d'asile en Hongrie, et les données doivent être exactes au moment de leur collecte. Le sexe assigné à V. P. à sa naissance par l'état civil iranien n'est donc plus exact lorsque V. P. a demandé l'asile et il avait lui-même fait savoir qu'il souhaitait figurer dans le fichier avec une identité de genre masculine. Il était donc indispensable d'opérer la rectification, puisque les données étaient inexactes dès leur collecte.

Même si elle n'insiste pas beaucoup sur cette question, la CJUE sanctionne tout de même, en quelque sorte par ricochet, un droit qui écarte désormais tout changement de l'identité de genre sur l'état civil de l'ensemble des citoyens hongrois. Elle affirme ainsi qu'"un État membre ne saurait invoquer l’absence, dans son droit national, de procédure de reconnaissance juridique de la transidentité pour faire obstacle au droit de rectification". Dans une décision du 4 octobre 2024 Mirin, concernant la situation des transgenres en Roumanie, la Cour exige ainsi que la reconnaissance d'un changement d'identité dans un membre doit entrainer cette même reconnaissance dans les autres États. Certes, ce n'est pas le cas de V. P., de nationalité iranienne, mais ce peut être de n'importe quel ressortissant de l'Union européenne s'installant en Hongrie sur le fondement du principe de libre circulation.

Voutch

 

L'exigence d'un traitement chirurgical

 

La seconde question préjudicielle porte sur la possibilité ou non, pour les autorités hongroises, de subordonner le changement d'identité de genre à l'existence d'un traitement chirurgical de transformation sexuelle. Sur le plan strictement juridique, le problème posé est donc celui des moyens de preuve susceptibles de démontrer l'inexactitude des données conservées. Or, l'article 16 du RGPD est muet sur cette question. La Hongrie peut-elle en déduire qu'elle peut librement définir les règles de preuve du changement d'identité ?

La réponse de la CJUE est négative car il s'agirait alors d'écarter le principe d'exactitude, du moins pendant la période durant laquelle le traitement chirurgical n'est pas achevé. Or une dérogation à l'article 5 n'est envisageable, aux termes mêmes du RGPD qui si elle "respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs énumérés par ce même règlement ". Pour la CJUE, ces conditions ne sont pas remplies en l'espèce. 

Il apparaît d'abord que la limitation du droit de rectification ne repose, en Hongrie, sur aucune disposition législative. Ensuite, il est clair qu'elle porte atteinte au droit à la vie privée et à l'intégrité de la personne.

Surtout, la CJUE fait directement état de la jurisprudence de la CEDH.  Celle-ci considère, depuis un arrêt Garçon et Nicot c. France du 6 avril 2017, que le changement d'état civil n’est pas le point d’aboutissement d’un parcours médical mais doit l’accompagner. La loi française du 18 novembre2016 de modernisation de la justice du XXIe siècle permet aujourd’hui de prouver le transsexualisme par tout autre moyen, notamment le fait de se présenter publiquement comme appartenant au sexe revendiqué ou d’avoir déjà changé son prénom.

Le dialogue des juges permet ainsi la création d'un standard européen libéral dans le domaine des droits et libertés des personnes transsexuelles, standard dont on ne rappellera jamais assez qu'il ne s'applique qu'aux personnes majeures, ayant suffisamment de maturité pour assumer pleinement le genre auquel elles veulent être rattachées. On assiste ainsi à une normalisation qui leur permet de mener une vie privée conforme à leur identité. De manière plus générale, se développe ainsi une approche psychologique et non plus uniquement médicale de la transsexualité. L'idée générale est qu'une personne qui se sent prisonnière du genre assigné à sa naissance a le droit de s'en délivrer et de vivre dans un corps où elle se sent bien. 

 

L'identité de genre  : Chapitre 8, section 1 § 2  du manuel de libertés publiques sur internet

La surveillance par drone de l'espace public.

Le cadre juridique de la surveillance par drone de l'espace public est désormais clarifié avec la décision rendue par le Conseil d'État le 30 décembre 2024. Il écarte en effet le recours déposé par la Ligue des droits de l'homme, la Quadrature du net et d'autres associations, contestant la légalité du décret du 19 avril 2023. 

Les opposants au décret avaient placé leur ultime espoir dans cette requête et le Conseil d'État met donc fin aux derniers doutes sur l'usage des drones en matière de sécurité publique.  La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure autorise ainsi les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs. Le décret du 19 avril 2023 prévoit le régime juridique de cet usage. Le Conseil d'État estime que les garanties juridiques que cet ensemble normatif apporte sont suffisantes pour assurer l'ordre public en protégeant la sécurité des personnes et des biens.

Des décisions au cas par cas

L'article L 242-5 du code de la sécurité intérieure énonce que l'usage de dispositifs de captation d'images est subordonné à une décision écrite et motivée du préfet, ou, à Paris, du préfet de police. Il lui appartient de s'assurer du respect des règles applicables et la demande qui lui est transmise doit être suffisamment complète pour lui permettre d'exercer efficacement de contrôle. Au demeurant, l'autorisation du préfet doit se limiter à ce qui est strictement nécessaire au regard de l'espace géographie concerné et du nombre de caméras procédant aux enregistrements. D'une manière générale, l'autorisation peut être délivrée pour trois mois lorsqu'il s'agit de lutter contre le terrorisme et la grande criminalité, ou d'assurer le contrôle des frontières. En revanche, la surveillance de chaque manifestation suppose une demande spécifique.

En jugeant que ces dispositions n'entrainent pas une atteinte excessive aux droits des personnes, le Conseil d'État se place dans la droite ligne de la jurisprudence du Conseil constitutionnel. Dans sa décision du 20 janvier 2022, celui-ci avait déjà estimé que la liste des circonstances dans lesquelles l'usage des drones était possible était satisfaisante, comme les garanties apportées par le législateur. Il avait ajouté que l'autorisation préfectorale ne pouvait être accordée qu'après que le préfet se soit assuré de l'impossibilité d'utiliser des moyens intrusifs pour la vie privée. 

Femme à la fenêtre. Jacques Voyet 1926-2010 

Le régime juridique de l'usage des drones

Les associations requérantes contestaient surtout la légalité de la captation et de la conservation de données considérées comme sensibles. Les images captées par un drone pourraient en effet donner lieu à des applications biométriques permettant d'identifier des personnes qui ne constituent, en aucun cas, un menace pour l'ordre public. Les requérants se plaignent donc que les dispositifs embarqués ne donnent pas lieu à une autorisation de la Commission nationale de l'informatique et des libertés (CNIL).

Sur ce point, le Conseil d'État mentionne que le droit positif est désormais relativement élaboré. Les drones ne peuvent ni capter du son, ni comporter des traitements de reconnaissance faciale, principes rappelés dans l'article L 242-4 du code de la sécurité intérieure. La loi de 2022 a posé cette garantie, et on se souvient que le juge des référés du Conseil d'État, dès une ordonnance du 18 mai 2020, était intervenu sur cette question à propos de la surveillance des rassemblements pendant la période de déconfinement après le Covid. Il avait alors suspendu une autorisation d'usage des drones, car aucun dispositif ne garantissait que le drone volait suffisamment haut pour empêcher l'identification des personnes. Or, s'il volait bas pour précisément capter des images identifiantes, il violait le Règlement général de protection des données (RGPD), puisque l'avis préalable de la Commission nationale de l'informatique et des libertés (CNIL) n'avait pas été demandé.

Aujourd'hui, le Conseil d'État rappelle que les systèmes embarqués sur les drones n'ont pas, en tant que tels, pour objet de capter et de conserver des données sensibles. Mais ils peuvent néanmoins en capter, en quelque sorte de manière collatérale. C'est la raison pour laquelle une analyse d'impact "cadre" est exigée par l'article L 242-5 du code de la sécurité intérieure. Cela signifie concrètement que les garanties mises en place par le système sont transmises à la CNIl qui rend un avis à leur sujet.

En pratique, ces données sensibles captées par accident sont essentiellement les images de l'intérieur des domiciles. Les associations requérantes espéraient obtenir du Conseil d'État la reconnaissance d'une illégalité globale de ce type de captation. Mais le Conseil se montre très réaliste sur ce point. en observant qu'une telle interdiction pourrait compromettre une opération en cours, alors même que l'atteinte à la vie privée est modeste. En effet, les données ainsi recueillies doivent être détruites dans un délai de 48 heures, ce qui réduit considérablement la menace pour la vie privée. Cette analyse laisse ainsi ouverte l'appréciation contextuelle de l'opération, en laissant à l'administration une certaine autonomie dans son déroulement. 

La décision du 30 décembre 2024 était hautement prévisible, car on se souvient que le juge des référés du Conseil d'État avait déjà refusé de suspendre le décret du 19 avril 2023 par une ordonnance du 24 mai 2023. La décision de fond du 30 décembre 2024 valide ainsi, définitivement, le dispositif juridique autorisant l'usage des drones dans le domaine sécuritaire. Les requérants le regretteront sans doute. Mais peut-être pourra-t-on leur apporter une consolation,  en leur faisant observer qu'ils ont contribué à fixer un droit positif clair, permettant de sanctionner plus efficacement d'éventuelles violations ?

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Registre des baptêmes : Tempête dans un bénitier

Est-il possible de faire effacer son nom du registre des baptêmes ? Le Conseil d'État, dans une décision du 2 février 2024, écarte le droit à l'effacement des données personnelles dans le cas particulier d'une personne qui, ayant été baptisée, figure sur le registre des baptêmes géré par le diocèse. La décision est évidemment inédite, sans doute parce que peu de requérants ont eu l'idée de poursuivre ce type de contentieux jusqu'au Conseil d'État.

M. A. B. a décidé de se faire "débaptiser" et il a donc demandé que son nom soit retiré du registre. Si l'association diocésaine a accepté la renonciation au baptême qui à ses yeux qui, à ses yeux, constitue une apostasie, elle a refusé l'effacement des données concernant M. A. B. Elle a seulement ajouté en marge une mention selon laquelle l'intéressé avait "renié son baptême". Notons au passage que cette formulation contient, à l'évidence, une forme de blâme. Dans le vocabulaire utilisé par l'Église, la référence au "reniement" de Pierre est transparente. Sans doute aurait-il été préférable de mentionner que M. A. B. avait "renoncé" à son baptême.

Peut-être M. A. B. aurait-il pu se contenter de cette mention, mais il a contesté devant la Commission nationale de l'informatique et des libertés (CNIL) ce refus d'effacement. Il estime que la mention de son baptême est une donnée personnelle et qu'il est en droit, s'appuyant sur le Règlement général de protection des données, d'exiger son effacement définitif. N'ayant pas obtenu satisfaction devant la CNIL, il s'est tourné vers le Conseil d'État, sans davantage de succès.

 

Les conditions du RGPD

 

Le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018 est un texte européen, dont la CNIL garantit le respect en France. Son article 17 alinéa 1 énumère les motifs susceptibles d'être invoqués pour obtenir l'effacement des données personnelles. On y trouve d'abord les traitements illicites, ce qui n'est évidemment pas le cas du registre des baptêmes. On y trouve aussi les obligations légales d'effacement imposées par le droit de l'UE ou le droit interne, aucune contrainte de ce type n'étant imposée à ce registre. L'opposition de la personne au traitement lui-même n'est pas un motif pertinent en l'espèce, car lors du baptême, personne ne s'est opposé à la mention de l'enfant sur le registre.

Reste l'hypothèse dans laquelle la personne concernée retire son consentement, et c'est évidemment sur ce motif que se fonde M. A. B. Mais il n'est guère satisfaisant puisque, par hypothèse, n'ayant pas donné son consentement lors du baptême, il n'est pas en mesure de le retirer. Ses parents ont évidemment accepté qu'il soit mentionné dans le registre, puisqu'ils ont choisi de le faire baptiser. C'est leur décision, c'est leur consentement, et ce n'est pas celui de l'enfant.

Le Parrain. Francis Ford Coppola. 1972

Scène du baptême

 

La recherche d'un équilibre

L'article 9 du RGPD prévoit qu'un groupement à but non lucratif et poursuivant une finalité religieuse peut développer un fichier qui "se rapporte exclusivement aux membres ou aux anciens membres dudit organisme". La licéité de ce traitement est toutefois subordonnée au principe de non-communication des données aux tiers à cet organisme, sauf consentement de l'intéressé.

Tel est bien le cas en l'espèce, car le registre des baptêmes sert à ficher les personnes baptisées, dans une finalité exclusivement religieuse. Le Conseil d'État note le caractère quelque peu archaïque de ce document "non dématérialisé". Il observe que sa finalité se borne au "suivi du parcours religieux" et que les informations ne sont accessibles qu'à l'intéressé et aux ministres du culte. Il ajoute que ces registres sont conservés dans un lieu clos, jusqu'à leur versement aux archives départementales au terme d'un délai de 120 ans.

Les données conservées, s'il s'agit bien de données personnelles, ne sont pas d'une grande sensibilité. Elles reprennent l'état civil de l'enfant, ainsi que la date du baptême et la mention des parrain et marraine. Mais, bien que peu sensibles, ces données constituent, pour le Conseil d'État, un motif impérieux justifiant leur conservation. En effet, la mention du baptême permet à l'Église d'assurer le suivi religieux de la personne, notamment lors du sacrement du mariage, et lors de son décès. Surtout, le maintien de cette mention permet à M. A. B. de changer d'avis. Dans l'hypothèse où il voudrait réintégrer la communauté des fidèles, il n'aurait pas besoin de recevoir un nouveau baptême. Il lui suffirait de demander l'effacement de la mention selon laquelle il a "renié son baptême".

Le Conseil d'État déduit donc que cette mention suffit à exprimer la volonté du requérant de renoncer à la religion catholique. La mention de son baptême dans le registre, même s'il n'a plus qu'un intérêt historique, demeure nécessaire à la gestion des fidèles par l'Eglise. Avec cette décision, le Conseil d'État trouve une solution permettant de trouver un équilibre entre des intérêts opposés. Cette solution est d'ailleurs celle qui avait été adoptée par la Cour d'appel de Caen le 10 septembre 2013, décision rendue antérieurement au RGPD.

La référence au versement du registre aux archives témoigne aussi d'une autre préoccupation. Depuis l'époque où les registres paroissiaux étaient les seuls documents mentionnant l'état civil des personnes, les fichiers des églises demeurent une source documentaire importante pour les chercheurs. Dans 120 ans, ils seront assurés de disposer d'un fichier dont l'intégrité sera garantie, et ils pourront même apprendre que M. A. B., il y a bien longtemps, a renié son baptême et s'est donné la peine de demander son effacement dans le registre. De quoi susciter la réflexion des historiens et peut être celle des psychologues.

La protection des données personnelles : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5

 

 

 

Les Invités de LLC. Bruno Mathis : L'open data, l'open source et les craintes de la Cour de cassation

Bruno Mathis est chercheur associé au Centre de droit et d'économie de l'ESSEC

L'open data, l'open source 

et les craintes de la Cour de cassation

 

Le 8 octobre 2016 est adoptée la loi pour une République numérique et ses articles prévoyant la mise à disposition du public des décisions de justice. C'est alors une bonne nouvelle pour le chercheur devant qui s'ouvre tout un champ d'investigations possibles, sur l'analyse du contentieux ou le fonctionnement même de la justice. 

Le législateur a choisi de pseudonymiser les décisions de justice, ce que Légifrance faisait déjà pour les arrêts motivés des cours suprêmes et une sélection d’arrêts d’appel. La Cour de cassation lance dès 2016 un projet pour les pseudonymiser elle-même grâce à l’intelligence artificielle, et, après avoir testé un progiciel d’un éditeur privé, décide de développer sa propre solution à base d’apprentissage automatique.

En avril 2020, sinon avant, la Cour décide que sa solution sera en open source. La perspective est également une opportunité pour le chercheur, qui pourrait pseudonymiser automatiquement des décisions qui seraient en sa possession en version intègre, avant d’engager une autre expérimentation. Un exemple est d’extraire des données relatives au parcours du contentieux, de la première saisine jusqu’au dernier recours. Si des arrêts civils d’appel et de cassation sont disponibles en suffisamment grand nombre en open data pour être prêts à l’emploi, l’essentiel des jugements civils de première instance ne sera mis à disposition, au mieux, qu’en 2026. Pseudonymiser des jugements avec le même algorithme ayant pseudonymisé des arrêts permettrait d’éviter un biais dans l’expérimentation. Pourquoi perdre du temps à construire un nouvel outil de pseudonymisation, puisque la Cour a promis de mettre le sien en open source ?

Après avoir fait des pieds et des mains pour l’obtenir, la Cour se voit confier, par un décret de juin 2020, la responsabilité de l’open data des décisions de justice judiciaire. Plus connue comme juridiction suprême, la Cour devient éditeur de logiciel et opérateur technique, non sans risquer le conflit d’intérêts. 

 

 Les chiffres. Joseph Brauner. 1927

 

La demande adressée à la Cour de cassation

 

En octobre 2021, l’auteur de ces lignes demande à la Cour de cassation de lui communiquer, en vertu de l’article L311-1 du Code des relations entre le public et l'administration (CRPA), l’analyse d’impact relative à la protection des données (AIPD) du traitement d’open data des décisions de justice. La Cour envoie alors une AIPD après « occultation des mentions qui ne sont pas communicables en application des articles L. 311-5 et L. 311-6 du même code », c’est-à-dire après l’avoir caviardée aux deux tiers. La partie en clair n’explique même pas clairement que l’outil appelé LABEL sert à corriger manuellement les défauts de pseudonymisation résiduels, après application automatique du modèle d’apprentissage, ni que son développement, comme le recrutement de vingt agents pour l’utiliser, informations publiquement disponibles, ont été décidés au titre de mesure de réduction du risque. Le document précise que « la présente étude d’impact sera mise à jour en fonction des évolutions techniques qui le permettront », et non pas en fonction de l’évolution des risques. Le système n’est pas défini à partir de l’analyse des risques, c’est le contraire. Il n’est pas utile de demander la version intégrale de l’AIPD.

En juillet 2022, une demande est adressée à la Cour de cassation pour obtenir le code source de la pseudonymisation automatique. Elle ne porte pas sur le jeu d’apprentissage lui-même, c’est-à-dire la liste des décisions de justice en version intègre assorties des annotations portées manuellement en vue de leur apprentissage par l’algorithme, mais sur le modèle qui en résulte et le code source qui l’utilise. Pour simplifier, le modèle d’apprentissage remplace par des chiffres tous les mots des décisions apprises ; sans lui, pas de réutilisation possible. La requête fait valoir que le code source est mentionné dans une liste non limitative de documents considérés comme administratifs par l’article L300-2 du CRPA. L’absence de réponse deux mois plus tard conduit alors à la saisine de la Commission d’accès aux documents administratifs (CADA). 

 

L'avis de la CADA

 

L’avis, négatif, de la CADA, indique que «  le premier président de la Cour de cassation s’oppose à la communication des documents sollicités au motif qu’il existe un risque que des opérations de rétro-ingénierie […] permettent de reconstituer les données qui ont été occultées ». La Commission estime que ce risque présente « un caractère suffisant de vraisemblance pour être tenu pour acquis », sans fournir de référence à la littérature scientifique à l’appui de cette affirmation.

Relisons l’AIPD « communicable ». Deux titres de paragraphes laissés en clair, sur « la sécurisation des flux inter-applicatifs » et la « sécurisation des accès aux bases de données » suggèrent l’identification implicite d’un risque de dissémination fortuite, ou d’interception, de données personnelles et d’un risque d’intrusion à froid. La partie en clair ne fait pas valoir le risque aujourd’hui allégué de rétro-ingénierie né de la mise à disposition du public de l’outil, encore moins ledit risque né du simple fait de sa communication. Elle ne fournit pas de précisions sur la taille de l’échantillon de décisions de justice ayant fait l’objet d’un apprentissage supervisé, sans doute de quelques dizaines à quelques milliers. Elle ne tente pas de rapprocher la probabilité d’une reconstitution de données personnelles, par rétro-ingénierie du modèle d’apprentissage, appliquée à cet échantillon une seule fois, avec la probabilité de défaut de pseudonymisation appliquée à quelques millions de décisions de justice mises en open data chaque année. L’AIPD ne se demande pas si la rétro-ingénierie est possible sans y déployer des efforts disproportionnés, réservés à des spécialistes en intelligence artificielle, qui feraient perdre à ces données leur caractère personnel au sens du considérant 26 du RGPD. À supposer que ces données personnelles soient reconstituées sans de tels efforts, et sans altération, l’AIPD ne tente pas davantage d’évaluer le risque que cette reconstitution entraîne une atteinte à la vie privée ou aux droits fondamentaux de ces personnes.

Ou alors ce risque serait mentionné dans la partie occultée ? L’article L311-5 du CRPA mentionne des exceptions à la communicabilité au titre de l’intérêt de l’État (secret des délibérations du pouvoir exécutif, secret de la défense nationale, etc…), et le suivant au titre de la vie privée des personnes, du secret des affaires et du secret médical. Cela n’expliquerait pas pourquoi une exception, mentionnée par l’un de ces articles, justifierait de ne pas faire état de ce risque de rétro-ingénierie à ce moment-là, mais n’empêcherait pas d’en faire état aujourd’hui et de l’opposer au demandeur. Le résultat tient en tous cas du paradoxe : pour ouvrir les décisions de justice, il faudrait fermer l’algorithme qui les produit.

L’emploi d’un argument d’autorité et les contradictions de la Cour ont conduit à un recours auprès du tribunal administratif.

Que craint vraiment la Cour de cassation ? Une atteinte aux droits fondamentaux des personnes ou un examen de ce qu’elle fait dans son nouveau rôle d’éditeur de logiciel ?

Transferts de données vers les États-Unis : vers un arrêt Schrems III ?

L'Américaine Fiona Scott Morton a été nommée économiste en chef à la Direction générale de la concurrence par la Commission européenne. Elle se trouve directement sous l'autorité de la commissaire européenne à la concurrence, Margrethe Vestager, celle-là même qui a pour mission de combattre les pratiques anti concurrentielles des Gafam. 

Ce choix suscite bon nombre d'interrogations. D'une part, on peut s'étonner qu'une Américaine, fut-elle très compétente, soit nommée haut fonctionnaire de l'Union européenne, surtout à un poste clef. N'existe-t-il pas d'économistes de talent ayant la nationalité d'un État membre ? D'autre part, Mme Morton a consacré une partie de sa riche carrière à défendre les grands groupes du secteur numérique comme Apple, Amazon et Microsoft,  ce qui lui fait courir un gros risque de conflits d'intérêts. Au-delà même de ces éléments, une question plus globale se pose et on peut se demander si les groupes américains, après avoir utilisé tous les instruments de lobbying possibles pour faire prévaloir leurs intérêts auprès des bureaux n'ont pas tout simplement décidé de les occuper. 

Cette malencontreuse nomination contribue évidemment au considérable déclin de l'image de l'Union européenne. Conçue à l'origine comme l'instrument d'une paix durable entre les États européens, elle apparaît aujourd'hui comme un champ de bataille entre les lobbyistes, au plus grand profit des intérêts américains.

L'affaire Morton fait sans doute passer au second plan un autre problème, finalement de même nature. La Commission européenne vient d'annoncer le 10 juillet 2023, une "décision d'adéquation" qui permet l'échange de données personnelles entre l'Union européenne et les États-Unis, à la suite d'un accord "Data Privacy Framework". Cette formule figure dans l'article 45 du Règlement général de protection des données (RGPD). Il est ainsi rédigé : "Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique". La récente "décision d'adéquation" est donc celle par laquelle la Commission constate que les systèmes juridiques européens et américains offrent des niveaux de protection des données personnelles jugés équivalents. 

Mais ces niveaux de protection n'ont jamais été équivalents, ne serait-ce que parce que les fondements juridiques de la protection des données personnelles sont bien différents. Elle est régie au plan européen par le RGPD, texte impératif qui n'interdit d'ailleurs pas aux États d'adopter une législation encore plus protectrice. Aux États-Unis, la protection des données personnelles est assurée par un système de certifications et de codes de conduite auxquels les entreprises déclarent se conformer. Quant aux transferts de données effectués au profit des services de renseignement américains, ils sont demeurés très largement incontrôlés. Les citoyens européens sont évidemment victimes de cette situation, notamment ceux installés aux États-Unis qui ne disposent d'aucune voie de recours sérieuse lorsque leurs données personnelles sont captées, au nom de la sécurité nationale américaine.

Cette différence dans les standards de protection est si importante que la Cour de justice de l'Union européenne (CJUE) a déjà annulé deux décisions d'équation. Elle a été saisie à deux reprises par l'avocat autrichien Maximilian Schrems, l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement ces accords d'équivalence, sans équivalence. Et il a déjà obtenu deux victoires importantes devant la CJUE.

 

Schrems I et le Safe Harbor

Maximilian Schrem a contesté une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

A l'époque, le recours s'appuyait sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précisait que "les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers acquiert un niveau de protection adéquat".  

La CJUE remarquait alors que le caractère "adéquat" de la protection américaine relèvait de l'auto-proclamation. Les entreprises américaines déclaraient adhérer aux principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité aux données personnelles provenant de pays de l'Union européenne. Quant au contrôle, il se faisait par certification. Il ne s'agissait cependant pas d'un système de certification par un organisme indépendant, mais d'un système d'"auto-certification" par laquelle l'entreprise déclarait respecter les principes généraux de protection des données, et se contrôlait elle-même. Enfin, la captation des données par les services de renseignement américains n'était pas même envisagée.

Pas dupe sur l'efficacité du système, la Cour a donc pulvérisé le Safe Harbor. Les lobbys se sont remis au travail, et un nouvel accord a été conclu, le Privacy Shield.

That's Hell Folks. Nathalie Faintouch (née en 1965)

 

Schrems II et le Privacy Shield

 

Entrée en vigueur le 1er août 2016, une seconde décision de la Commission a déclaré l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Aux termes de cet accord, les firmes américaines pouvaient conduire un nouveau processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.  

Et précisément Maximilian Schrems veillait. Cette fois, il était en conflit ouvert avec Facebook. Invoquant les révélations d'Edward Snowden, il demandait la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats-Unis, la NSA en particulier. Le requérant s'appuyait une nouvelle fois sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données. Quant à Facebook, il invoquait le respect du Privacy Shield.

Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a donc invalidé, dans un arrêt du 6 juillet 2020, la nouvelle décision de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield.  La seule différence avec l'arrêt Schrems 1 réside dans le fondement juridique retenu par la Cour, puisque, cette fois, le RGPD était en vigueur. Pour le reste, est surtout sanctionnée l'absence de dispositions relatives aux données captées par les services de renseignement américains. Une vague annexe II de la décision d'adéquation se borne à mentionner que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européens pouvaient faire l'objet d'une collecte de masse par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée.

Toujours pas dupe, la CJUE a donc pulvérisé le Privacy Shield comme elle avait pulvérisé Safe Harbor.

 

Schrems III et le "Data Privacy Framework" ?

La question de la durée de vie de la décision d'adéquation du 10 juillet 2023, et l'on peut supposer que Maximilian Schrems est déjà occupé à peaufiner son recours. 

Il est toujours délicat d'annoncer le succès ou l'échec d'une requête avant qu'elle ait été déposée, et la plus grande prudence s'impose. On s'interroge tout de même sur la manière dont la Commission a géré les échecs des accords successifs, sans finalement tenir compte des observations de la Cour. Car le nouvel accord "Data Privacy Framework"n'est guère plus sérieux que les précédents. Il énonce en toute simplicité que les transferts de données pourront se faire « en toute sécurité de l'UE vers des entreprises américaines participant au cadre », sans nécessité de « mettre en place des garanties supplémentaires en matière de protection des données ».

Quant à l'accès des services de renseignement américains aux données personnelles des internautes européens, la question est régie aux États-Unis par un Executive Order purement cosmétique signé par la Président Biden. Il précise qu'il sera limité à "ce qui est nécessaire et proportionné pour la sécurité nationale". En cas de litige, est prévu "un mécanisme de recours indépendant et impartial". Observons bien qu'il ne s'agit pas d'un tribunal mais d'un "délégué à la protection des libertés civiles" directement issu de la communauté du renseignement. Si celui-ci écarte la requête, l'internaute pourra se tourner vers une "Cour" composée de "membres extérieurs au gouvernement". Observons cette fois qu'il ne s'agit pas nécessairement de magistrats. 

Surtout, et c'est sans doute ce qui fera le plus frémir Maximilian Schrems, l'Exécutive Order énonce que la surveillance de masse prévue par le Foreign Intelligence Surveillance Act (FISA Act) est "proportionnée" en vertu d'une "interprétation américaine" non divulguée. Or le FISA Act permet aux agences américaines de surveiller les communications des étrangers à à l'étranger... Cette "interprétation américaine" non divulguée s'analyse donc comme une gigantesque claque infligée aux Européens qui doivent accepter d'être espionnés au nom des intérêts américains. Bien entendu, la "protection équivalente" ne suppose tout de même pas que les Etats européens puissent espionner les citoyens américains sur leur sol... Il reste à se demander comment la CJUE va apprécier l'insulte.

Evidemment la question essentielle est la suivante : comment la Commission européenne a-t-elle pu accepter le "Data Privacy Framework" . Car il faut qu'il ait été signé, et ceux qui l'ont signé ne pouvaient ignorer qu'il allait à l'encontre des droits les plus élémentaires des citoyens européens en autorisant tout simplement qu'ils soient espionnés par les services américains. La réponse se trouve dans le lobbying, ce qui nous ramène évidemment au cas de Mme Morton. Les États-Unis seraient-ils en traint de faire une OPA hostile sur l'Union européenne ?

---

L'usage des drones à des fins de police administrative

Le juge des référés du Conseil d'État met fin, dans une ordonnance du 24 mai 2023 M. X et Association de défense des libertés constitutionnelles (ADELICO), aux incertitudes qui pouvaient encore exister sur la légalité du recours aux drones en matière de police administrative. Il refuse de suspendre le décret du 19 avril 2023 relatif à la mise en oeuvre de traitements d'images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative. Ce texte a été pris sur le fondement de la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure qui autorise les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs.

 

Les précédents jugements

 

Alors même que le décret d'avril 2023 est très récent, l'ordonnance du juge des référés du Conseil d'État n'est pas la première décision de justice visant à contester l'usage des drones, notamment lorsqu'ils sont utilisés pour surveiller les manifestations. La suspension d'arrêtés préfectoraux autorisant leur utilisation avait déjà été demandée devant le juge des référés de différents tribunaux administratifs, notamment à  Paris, Lyon et Bordeaux le 1er mai 2023. Tous avaient refusé la suspension. En revanche, le juge des référés du tribunal administratif de Rouen avait suspendu un arrêté préfectoral autorisant l'usage des drones au Havre, mais dans la seule mesure où l'arrêté couvrait une période de huit heures après le début du cortège. 

L'ordonnance du Conseil d'État n'est pas en contradiction avec celles préalablement rendues par les juges des tribunaux administratifs. Au contraire, elle vient conforter la position de l'ensemble des juges saisis dans ce domaine. Après une période durant laquelle l'usage des drones, en matière de police administrative, n'était pas prévue ni encadrée par le droit, ils prennent acte de la création d'un véritable fondement juridique à cette pratique.

 

 Drone. Jason Bourque. 2017

 

Le précédent de 2020

 

Il y a eu une époque, pas si lointaine, où le drone était l'objet d'une sorte d'improvisation juridique. En 2020, les forces de police avaient utilisé à Paris quatre drones pour repérer les rassemblements de personnes, dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les images captées étaient transmises à un centre de commandement, qui décidait de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parleur intégré au drone pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. 

Le juge des référés du Conseil d'État, dans une ordonnance du 18 mai 2020, avait suspendu l'arrêté préfectoral autorisant un tel usage des drones. Sa décision ne reposait pas sur une opposition de font à cette technologie en matière de gestion des rassemblements, mais bien davantage sur l'absence de garanties offertes aux personnes dont l'image était ainsi captée. Aucun dispositif ne garantissait en effet que le drone volait suffisamment haut pour empêcher l'identification des personnes. Or, s'il volait bas pour précisément capter des images identifiantes, il violait le Règlement général de protection des données (RGPD), puisque l'avis préalable de la Commission nationale de l'informatique et des libertés (CNIL) n'avait pas été demandé.

 

Les garanties apportées par la loi

 

Depuis lors, la loi du 24 janvier 2022 est intervenue, et elle définit le socle juridique sur lequel repose l'usage des drones. L'article L 242-2 du code de la sécurité intérieure (csi) précise que les images captées ne peuvent être visionnées que pendant la durée strictement nécessaire à l'intervention. De même est-il prévu, dans l'article L 242-4 csi que ces dispositifs ne peuvent "ni procéder à la captation du son, ni comporter de traitements automatisés de reconnaissance faciale". Les images ainsi recueillies ne peuvent faire l'objet d'aucune interconnexion avec un autre traitement automatisé. Le décret du 19 avril 2023, celui-là même dont il est demandé la suspension, définit concrètement comment ces garanties sont mises en oeuvres.

Certes, mais elles peuvent être considérées comme insuffisantes et c'est précisément la thèse que soutiennent les requérants. Ils reprochent ainsi au dispositif juridique de ne pas comporter la doctrine d'emploi des drones, c'est-à-dire les situations précises dans lesquelles les drones peuvent être utilisés. De même déplorent-ils qu'il ne soit mentionné nulle part que l'usage des drones s'arrête au domicile des personnes et que le dispositif d'information du public ne soit pas détaillé.

La décision du Conseil constitutionnel du 20 janvier 2022

Les garanties apportées à l'usage des drones en matière de police administrative ont pourtant été jugées suffisantes par le Conseil constitutionnel, dans sa décision du 20 janvier 2022. Il constate que le législateur a dressé une liste précise des finalités d'ordre public qui justifient l'utilisation des drones, notamment lorsque la sécurité des personnes et des biens est particulièrement exposée à des risques de commission de certaines infractions, ou pour protéger des bâtiments publics de tentatives d'intrusion ou de dégradation. S'y ajoutent la menace terroristes et la sécurité des rassemblements de personnes sur la voie publique. Cette dernière finalité est évidemment la plus contestée au nom d'une liberté de manifestation actuellement souvent revendiquée comme absolue. Quoi qu'il en soit, cette liste est considérée comme satisfaisante par le Conseil constitutionnel. De la même manière, il note que l'autorisation préfectorale non seulement détermine cette finalité mais précise aussi le nombre de dispositifs utilisés ainsi que la durée de leur usage. 

Le Conseil constitutionnel a donc déclaré conforme à la Constitution les dispositions législatives autorisant l'usage des drones en matière de police administrative. Dans de telles questions, il était évident que le référé déposé par les requérants demandant la suspension du décret d'application de la loi de 2022 avait peu de chances de prospérer. Sans doute ont-ils pensé que les juges administratifs, qui se sont montrés très protecteurs de la liberté de manifestation en suspendant récemment bon nombre d'arrêtés d'interdiction, continueraient en quelque sorte sur leur lancée, dans une sorte de grand élan protecteur de la liberté de manifester. Mais le Conseil d'État, même en référé, n'est pas aussi enclin que les tribunaux administratifs à adopter des décisions de combat. Surtout, l'ordonnance rendue le 24 mai 2023 ne prive le Conseil d'État d'aucune de ses prérogatives. Il lui appartiendra en effet d'apprécier, au cas par cas, la légalité des arrêtés préfectoraux autorisant l'usage des drones, et de construire une jurisprudence dans ce domaine. Il ne fait aucun doute que les requérants habituels, et notamment l'association ADELICO, l'aideront dans cette mission.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2

Drone, mode d'emploi

Trois ordonnances rendues par le juge des référés des tribunaux administratifs de Paris, Lyon et Bordeaux le 1er mai 2023 refusent la suspension des arrêtés préfectoraux autorisant l'usage des drones pour la surveillance des manifestations du 1er mai. Seul le juge des référés du tribunal administratif de Rouen donne, très partiellement, satisfaction aux demandeurs. Il sanctionne en effet une autorisation d'usage des drones au Havre qui couvrait une période de huit heures après le début du cortège. Il considère donc que l'atteinte à la liberté d'aller et venir et droit au respect de la vie privée est excessive, et suspend l'autorisation "après 14 heures", sans modifier le périmètre de survol.

Ces décisions sont pratiquement identiques, et la suspension partielle prononcée à Rouen ne modifie en rien l'analyse juridique. Celle-ci était prévisible. Après les premières hésitations sur les conditions de légalité de l'usage des drones dans le domaine de la sécurité, les autorités ont en effet renforcé les fondements juridiques de cette pratique. Les ordonnances de référé rendues le 1er mai prennent acte de cette évolution.

Les premières décisions, ou l'hésitation jurisprudentielle

Tout a commencé avec plusieurs ordonnances rendues par le juge des référés du Conseil d'État le 18 mai 2020, saisi sur le même fondement du référé-liberté. A l'époque, il agissait dans un contexte de sortie progressive du confinement lié à la crise sanitaire. Les forces de police avaient alors utilisé, dans la ville de Paris, quatre drones équipés d'un zoom optique et d'un haut-parleur, utilisés deux à trois heures par jour. Le télépilote du drone filmait les lieux dans lesquels des rassemblements étaient susceptibles de se former, en violation des mesures prescrites par l'état d'urgence sanitaire. Les images étaient transmises en temps réel dans un centre de commandement, où il était décidé de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parler pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser. Le juge des référés avait suspendu l'arrêté préfectoral autorisant cette pratique pour un motif de procédure. En l'absence de dispositif technique imposant au drone de voler suffisamment haut pour ne pas capter de données identifiantes, il considère que la procédure doit être celle imposée par le Règlement général de protection des données (RGPD). Elle suppose donc un avis préalable de la CNIL, qui n'avait pas été saisie en l'espèce.

La seconde décision dans ce domaine est venue du Conseil constitutionnel. Le 20 mai 2021, il s'est prononcé sur la conformité à la Constitution de la loi "pour une sécurité globale préservant les libertés". Parmi les multiples dispositions annulées par le Conseil, se trouvent celles permettant 'utilisation des drones par les forces de police aux fins de recherche, de constatation ou de poursuite des infractions pénales, ou aux fins de maintien de l'ordre. 

Le Conseil constitutionnel ne conteste pas l'intérêt que peuvent représenter les drones pour ces différentes missions qui ne concernent pas seulement le contrôle des manifestations, mais aussi le repérage des points de drogue ou des rodéos urbains. Il affirme au contraire que le législateur peut autoriser de telles pratiques "pour répondre aux objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions". Mais il note que la mobilité des drones, et la hauteur à laquelle ils peuvent évoluer, rendent possible la captation de l'image d'un grand nombre de personnes et le suivi de leur déplacement, alors même qu'elles n'ont rien à voir avec les finalités d'ordre public poursuivies. Le Conseil censure donc ces dispositions car le législateur aurait dû assortir l'usage des drones de garanties particulières destinées à garantir le respect de la vie privée des personnes.

Cette décision du Conseil offre ainsi au législateur un véritable mode d'emploi des drones dans le domaine de la sécurité. Des textes nouveaux interviennent donc pour rendre l'usage des drones conforme à la jurisprudence du Conseil constitutionnel.

 

 Gus, septembre 1969

Les textes récents

 

La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis d’autoriser les services de la police et de la gendarmerie nationales à recourir à la captation d’images au moyen de caméras installées sur des aéronefs, drones, hélicoptères, ballons captifs. Cette fois, le Conseil constitutionnel déclare, le 20 janvier, le texte conforme à la Constitution. En effet, le législateur a précisément rédigé la loi, de manière à empêcher la captation de données identifiantes.

Les conditions d'usage des drones sont clairement précisées. Il doit avoir pour seule finalité d'assurer la sécurité des interventions des services chargés de la sécurité, pour la seule durée de ces intervention. Un usage généralisé et discrétionnaire des drones est donc illicite, ce qui suppose une définition de sa durée. De même, les images enregistrées concernent les lieux publics, ce qui interdit tout enregistrement dans une habitation privée. Enfin, les instruments biométriques de reconnaissance faciale sont prohibés, comme tout rapprochement ou interconnexion de données. Concrètement, le drone peut donc être utilisé à des fins de police administrative, pour filmer de haut les mouvements de groupes de personnes, sans que les individus puissent être identifiés.

Les manifestations sur la loi travail ont incité les pouvoirs publics à accélérer la mise en oeuvre de ces dispositions. Un décret du 19 avril 2023 définit ainsi un cadre juridique précis pour l'usage des drones en matière de police administrative. Intégré dans la partie réglementaire du code de la sécurité intérieure, il dresse la liste des cas dans lesquels les drones peuvent être utilisés. Y figure notamment "la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public ainsi que l'appui des personnels au sol, en vue de leur permettre de maintenir ou de rétablir l'ordre public, lorsque ces rassemblements sont susceptibles d'entraîner des troubles graves à l'ordre public".

Les différents juges des référés des tribunaux administratifs saisis ne manquent pas de se référer à cette disposition. Il est évident que les manifestations récentes ont donné lieu à des troubles graves à l'ordre public, le plus souvent provoqués par une petite minorité de manifestants violents. Les juges notent également que l'usage des drones est limité à la durée de la manifestation, et d'ailleurs l'arrêté du préfet de Seine Maritime est suspendu pour la seule période allant au-delà de la durée estimée du rassemblement.

Les associations requérantes ont développé un ensemble de moyens qui auraient peut-être pu se révéler efficaces avant la loi du 24 janvier 2022 et le décret du 19 avril 2023. Hélas pour elles, les pouvoirs publics ont voulu éviter une mésaventure telle que celle du 18 mai 2020. Ils ont donc considérablement musclé le droit applicable à l'utilisation des drones en matière de police administrative. Ils ont, en quelque sorte, anticipé les recours. In fine, la question est celle de savoir si les associations requérantes ne se trompent pas de combat. Ils voient les drones, et le disent dans leur recours, comme une atteinte à la liberté de manifester. Mais au contraire, l'utilisation de cette technique, dès lors que les données recueillies ne sont pas identifiantes car filmées de très haut, permet par exemple de déceler la présence de Black Blocs, de voir les violences dès leurs prémices. Il s'agit alors de protéger les manifestants, les vrais, ceux qui viennent pour faire valoir leurs revendications.

La liberté de manifestation : Manuel de Libertés publiques version E-Book et version papier, chapitre 12, section 1 § 2