Vu la procédure suivante :
Par une requête, enregistrée le 13 avril 2021 au secrétariat du contentieux du Conseil d’Etat, l’association Dataring demande au Conseil d’Etat :
1°) d’annuler pour excès de pouvoir le décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé » StopCovid » ;
2°) de mettre à la charge de l’Etat la somme de 3 000 euros au titre de l’article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– la convention internationale relative aux droits de l’enfant ;
– la convention n°108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
– le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le décret n° 2020-650 du 29 mai 2020 ;
– le code de justice administrative ;
Après avoir entendu en séance publique :
– le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
– les conclusions de Mme A… de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Le décret du 12 février 2021, dont l’association Dataring demande l’annulation pour excès de pouvoir, a modifié le décret du 29 mai 2020 relatif au traitement de données dénommé » StopCovid « , en changeant en » TousAntiCovid » la dénomination du traitement et en ajoutant à l’information donnée aux personnes utilisatrices de l’application quant au risque de contamination par le virus de la covid-19 résultant de ce qu’elles se sont trouvées à proximité d’une personne atteinte par ce virus une information supplémentaire quant au risque de contamination résultant de la fréquentation d’un lieu où se trouvait au même moment une personne contaminée. Le décret permet en outre aux utilisateurs de l’application de disposer d’un accès prioritaire aux tests de dépistage, de bénéficier de diverses informations sur la situation sanitaire nationale et locale et de stocker des données personnelles afin d’éditer les justificatifs requis par les autorités publiques.
Sur la légalité externe du décret attaqué :
2. L’article 35 du règlement du 27 avril 2016 dit règlement général sur la protection des données (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel. Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la Commission nationale de l’informatique et des libertés en application de l’article 20 de la loi du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance, invoquée par l’association requérante, qu’elle n’aurait pas été réalisée avant la signature du décret attaqué n’est pas de nature à entacher celui-ci d’illégalité. Le moyen tiré de la méconnaissance par le décret attaqué de l’article 35 du RGPD ne peut, par suite, qu’être écarté.
Sur la légalité interne du décret attaqué :
3. Il ressort des pièces du dossier que les opérations de traitement autorisées par le décret attaqué relèvent à la fois du RGPD dont le paragraphe 1 de l’article 6 dispose que » Le traitement n’est licite que si, et dans la mesure où, au moins l’une des conditions suivantes est remplie (…) e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement « , et des dispositions communes à l’ensemble des traitements de données à caractère personnel figurant au titre I de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telles celles de l’article 4, aux termes desquelles : » Les données à caractère personnel doivent être : / 1° Traitées de manière loyale et licite (…) ; 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. (…) / 3° Adéquates, pertinentes et au regard des finalités pour lesquelles elles sont collectées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives (…) ; / 5° Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées « . Il résulte de ces dispositions que l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
4. En premier lieu, il résulte du I de l’article 1er du décret du 29 mai 2020 que le traitement de données qu’il institue est mis en œuvre dans le cadre d’une mission d’intérêt public conformément au e) du paragraphe 1 de l’article 6 du règlement du 27 avril 2016, et pour les motifs d’intérêt public mentionnés au i) du paragraphe 2 de l’article 9 du même règlement. Les modifications apportées à ce traitement par le décret attaqué reposent sur la même base légale. A supposer même qu’elles conduisent à la création d’un traitement distinct du traitement initial, le moyen tiré de ce que ces modifications seraient dépourvues de base légale ne peut qu’être écarté.
5. En second lieu, aux termes du 1) de l’article 9 du RGPD : » Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits « . Le paragraphe 1 de l’article 6 de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel en date du 28 janvier 1981 énonce que : » Le traitement (…) de données à caractère personnel pour les informations qu’elles révèlent sur l’origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, les convictions religieuses ou autres convictions, la santé ou la vie sexuelle, n’est autorisé qu’à la condition que des garanties appropriées, venant compléter celles de la présente convention, soient prévues par la loi « . Aux termes de l’article 6 de la loi du 6 janvier 1978 : » I. – Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. (…) / « . Selon l’article 5 de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, » Les données à caractère personnel faisant l’objet d’un traitement automatisé sont : (…) c) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées « , ainsi qu’il est de même énoncé à l’article 4 de la loi du 6 janvier 1978 et au c) du paragraphe 1 de l’article 5 du RGPD.
6. D’une part, si l’association requérante soutient que la mise en place, par le décret attaqué, d’une localisation par » QR-code » des personnes physiques est insuffisamment encadrée en ce qui concerne des lieux pouvant révéler des données sensibles et qu’une identification des personnes est possible à partir de l’enregistrement des lieux qu’ils ont fréquentés, il ressort des pièces du dossier que la nouvelle fonctionnalité introduite dans l’application n’autorise pas la mise en œuvre d’un suivi des déplacements de l’utilisateur mais se borne à permettre l’enregistrement, à partir de protocoles différents et sur un serveur distinct et séparé de celui permettant le suivi des contacts, de données permettant d’informer les utilisateurs qu’ils ont fréquenté un lieu où se trouvait pendant la même période de temps une personne dépistée positive à la covid-19. Ces données sont limitativement énumérées au 11° du I de l’article 2 du décret du 29 mai 2020 modifié par le décret attaqué et elles concernent le pseudonyme, le type d’activité, la superficie et la plage horaire de fréquentation des lieux mettant un » QR-code » à disposition des utilisateurs de l’application. Par ailleurs, le décret prévoit que ces données sont conservées sur le serveur central et sur le téléphone de l’utilisateur pendant quinze jours à compter de leur enregistrement sur ce téléphone et que l’utilisateur a la possibilité, depuis son terminal, de supprimer de son historique tout lieu visité. Il en résulte que le risque d’identification indirecte susceptible de résulter de l’enregistrement de ces lieux sur le serveur, même dans le cas de personnes ayant eu un très faible nombre de contacts ou fréquenté des lieux où se trouvaient un faible nombre de personnes au cours de la même période, est particulièrement limité.
7. D’autre part, si l’association requérante reproche au décret attaqué d’autoriser un double enregistrement de données sur des serveurs distincts et sans que cela apparaisse nécessaire et efficace au vu des finalités poursuivies, il ressort des pièces du dossier que l’introduction de la nouvelle fonctionnalité d’enregistrement des visites par l’utilisateur de certains lieux ouverts au public est utile pour lutter plus efficacement contre l’épidémie de covid-19 et que l’existence de deux serveurs distincts sans possibilité de communication de l’un à l’autre constitue une garantie pour limiter les atteintes à la vie privée et protéger les données.
8. Enfin, si l’association requérante invoque les stipulations de l’article 16 de la convention internationale relative aux droits de l’enfant, aux termes desquelles » 1. Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. 2. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes « , ces stipulations ne font pas obstacle à ce que soit autorisé l’enregistrement, dans un traitement automatisé, de données relatives à des mineurs, sous réserve que, conformément aux exigences générales applicables aux traitements de données personnelles, l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée réponde à des finalités légitimes et que le choix, la collecte et le traitement des données soient effectués de manière adéquate et proportionnée au regard de ces finalités.
9. Il s’ensuit que le moyen tiré de ce que le décret attaqué méconnaîtrait les principes de proportionnalité, de nécessité et de minimisation des données collectées doit être écarté.
10. Il résulte de tout ce qui précède que l’association Dataring n’est pas fondée à demander l’annulation pour excès de pouvoir du décret qu’elle attaque. Dès lors, ses conclusions doivent être rejetées, y compris celles présentées au titre de l’article L. 761-1 du code de justice administrative.
D E C I D E :
————–
Article 1er : La requête de l’association Dataring est rejetée.
Article 2 : La présente décision sera notifiée à l’association Dataring, à la Première ministre et à la ministre de la santé et de la prévention.
Copie en sera adressée à la Commission nationale de l’informatique et des libertés.
Délibéré à l’issue de la séance du 10 juin 2022 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, M. Frédéric Aladjidi, présidents de chambre ; Mme Nathalie Escaut, Mme Anne Egerszegi, M. Alain Seban, M. Thomas Andrieu, M. Alexandre Lallet, conseillers d’Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 27 juin 2022.
Le président :
Signé : M. Jacques-Henri Stah
La rapporteure :
Signé : Mme Myriam Benlolo Carabot
La secrétaire :
Signé : Mme Claudine Ramalahanoharana
ECLI:FR:CECHR:2022:451655.20220627
Actualités en droit administratif français 