De SIREX à SIRCID
En l'espèce, M. B. C. se plaint de figurer dans le fichier SIREX, devenu SIRCID, mis en oeuvre par la Direction du renseignement et de la sécurité de la défense. L'existence du SIREX, ou Système d'information de la recherche et de l'exploitation du renseignement de contre-ingérence, a été portée à la connaissance du public en 2014, lorsque les services ont mis en oeuvre la procédure officielle de création des fichiers de renseignement. La finalité du fichier est de protéger les personnels, les matériels et installations sensibles contre tout acte hostile qui serait susceptible de porter atteinte aux capacités opérationnelles. Il ne concerne pas directement les opérations militaires, mais plutôt les actions de subversion, de terrorisme ou d'espionnage. A ce titre, il peut collecter les informations à l'extérieur ou à l'intérieur des frontières, concerner des étrangers comme des citoyens français. Par un décret du 16 septembre 2022, le SIREX devient le SIRCID, Système d’information du renseignement de contre ingérence de la défense. La finalité demeure identique, mais c'est le procédé qui change, car le SIRCID permet de stocker et d'exploiter les mêmes données à partir d'une solution logicielle entièrement française.
La création du traitement
La sensibilité des fichiers de renseignement, comme d'ailleurs les fichiers de police, explique qu'ils soient soumis à une procédure de création particulière. Contrairement à la plupart des traitements automatisés qui sont de plus en plus soumis à une simple procédure de déclaration, ces fichiers sensibles sont créés par décret après avis motivé de la Commission nationale de l'informatique et des libertés (CNIL). La procédure est opaque, car loi du 6 janvier 1978 prévoit qu'un décret en Conseil d'État peut dispenser de publication l'acte de création de ce type de traitement. Dans ce cas, l'avis de la CNIL demeure aussi confidentiel, même si son "sens" est mentionné. Dans le cas du SIREX, il était ainsi noté que la CNIL avait émis un avis "avec réserve", sans que l'on puisse connaître le sens de cette réserve.
OSS 117, Rio ne répond plus. Michel Hazanavicius. 2009
Le droit d'accès indirect
Tout cela ne simplifie pas la tâche de la personne qui craint de figurer dans ce fichier. Elle-même dispose d'une procédure qui est qualifiée de "droit d'accès indirect", utilisée pour obtenir communication et, éventuellement, rectification ou effacement des données personnelles contenues dans ces fichiers particulièrement sensibles. Entendons-nous bien : ce "droit d'accès indirect" n'a rien d'un droit d'accès. La notion ne figure pas dans la loi et le Conseil d'État n'en fait pas usage en l'espèce.
Ce "droit d'accès indirect" renvoie en effet à une procédure bien particulière qui n'implique aucune communication des données au principal intéressé. Dans le cas d'un fichier intéressant la sûreté de l'État, la défense ou la sécurité publique, la personne qui redoute d'être illégalement fichée peut saisir la CNIL qui désigne parmi ses membres un magistrat, pour procéder aux investigations utiles ainsi qu'aux modifications éventuellement nécessaires si le contenu de la fiche n'est pas conforme à la loi. Cette procédure, prévue par l'article 118 de la loi du 6 janvier 1978, peut ainsi conduire à effacer des données, lorsque les informations apparaissent "inexactes, incomplètes, équivoques ou périmées". Quand la Commission constate, en accord avec le gestionnaire du fichier, que les données stockées ne mettent pas en cause les finalités du traitement, elles peuvent être communiquées au requérant. Cette procédure indirecte figurait déjà dans l'ancien article 41 de la loi du 6 janvier 1978. Aujourd'hui, l’article 17 de la directive européenne « Police Justice » autorise les États à la maintenir dans leur droit positif.
La procédure initiée par le requérant
En l'espèce, M. B. C. a saisi, en décembre 2020, le ministre des Armées d'une demande d'accès aux informations susceptibles de le concerner figurant dans le SIRCID. Sa demande a été expressément rejetée le 12 janvier 2021. L'intéressé a alors saisi la CNIL qui l'a informé, le 29 janvier, que le ministre persistait dans son opposition au droit d'accès. En revanche, la Commission n'a pas hésité à procéder aux vérifications prévues par l'article 118 de la loi, mais conformément à ce même article, elle se borne à dire que la procédure a été menée à terme, sans préciser à l'intéressé s'il était fiché ou non.
Celui-ci fait donc un recours dirigé contre le refus du ministère des Armées de lui donner accès aux informations le concernant. Le juge compétent est la "formation spécialisée" du Conseil d'État mentionnée dans l'article L. 773-2 du code de justice administrative. Elle ressemble à une formation de jugement ordinaire, si ce n'est que
ses cinq membres peuvent se faire communiquer toutes les pièces utiles à
leur mission, y compris celles couvertes par le secret de la défense
nationale.
Dans le cas présent, le juge précise que les informations pertinentes lui ont été effectivement transmises par le ministère des Armées. Et il ajoute que "des données concernant M. C... étaient illégalement conservées dans le traitement SIRCID".
L'information sur l'existence des données
Cette formule n'a pas de prix pour le requérant, car elle pulvérise les fondements mêmes du droit d'accès indirect. Alors que ce dernier limite l'information de l'intéressé au seul fait que les vérifications prévues par la loi ont été effectuées, le Conseil d'État, quant lui, confirme que des données personnelles le concernant étaient bel et bien conservées dans le SIRCID. Logiquement, le juge donne alors injonction au ministère d'effacer ces données.
La formation spécialisée du Conseil d'État rompt ainsi avec sa jurisprudence antérieure. On se souvient que ses premières décisions, rendues le 19 octobre 2016, se bornaient à mentionner que "la vérification a été effectuée et n'appelle aucune autre mesure de la part du Conseil d'Etat". Autrement dit, le droit d'accès indirect conservait toute son opacité et, à l'issue de la procédure contentieuse, le requérant ne savait toujours pas s'il était fiché ou non. M. B. C., lui, est informé du fichage en même temps qu'il est informé du caractère erroné de ce fichage.
La décision du 10 mars 2023 met ainsi en lumière les limites de ce type de fichier. L'existence du fichier se justifie certainement, mais le problème récurrent est celui de l'actualisation, du suivi des informations qui y figurent. Elles sont rarement vérifiées, et des informations qui ne devraient plus y figurer, ou qui n'auraient jamais dû y figurer, demeurent stockées. Cette situation ne relève pas d'une volonté délibérée de pratiquer un fichage de masse, mais bien davantage d'un manque de moyens, d'un manque de personnels pour assurer la vérification constante de la pertinence des données conservées. A sa manière, la formation spécialisée du Conseil d'État joue ainsi un rôle d'aiguillon destiné à rappeler leurs obligations aux administrations concernées.
Les fichiers de renseignement : Chapitre 8 section 5, § 1 B