[Brèves] Traitement automatisé de données à caractère personnel intéressant la sûreté de l'État : Quid d'une demande d'accès aux données à caractère personnel figurant dans le fichier des personnes recherchées ?

► Dans un arrêt, rendu en sa formation spécialisée, relatif à une demande d'accès aux données à caractère personnel figurant dans le fichier des personnes recherchées (FPR), le Conseil d'État détermine le cadre juridique applicable à un tel traitement, la durée de conservation des données à caractère personnel y figurant et les diligences lui incombant concernant la communication de ces données.

Le FPR facilite la recherche, la surveillance ou le contrôle de certaines personnes, à la demande des autorités judiciaires, militaires ou administratives (v. Direction de l'information légale et administrative (Premier ministre), Fichier des personnes recherchées (FPR), 29 décembre 2020).

Faits et procédure. L'intéressé saisit le ministre de l'Intérieur afin de pouvoir accéder aux données susceptibles de le concerner figurant dans le FPR. Il demande l'annulation du refus du ministre de l'Intérieur de lui donner accès aux données susceptibles de le concerner et figurant dans le fichier litigieux et d'enjoindre au ministre de les lui communiquer.

Cadre juridique applicable au FPR. Les traitements ou parties de traitements intéressant la sûreté de l'État mentionnés par l'article L. 841-2 du Code de la sécurité intérieure (N° Lexbase : L4592LNE) relèvent des seuls titres I et IV de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), notamment de ses articles 116 à 120, et sont hors champ d'application de la Directive n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (N° Lexbase : L9729K7H).

Ainsi, les moyens tirés de la méconnaissance par le titre III de la loi « Informatique et Libertés » des dispositions de cette Directive du 27 avril 2016 ne peuvent être utilement soulevés à l'appui d'une contestation relative à un des traitements ou parties de traitements intéressant la sûreté de l'État mentionnés à l'article L. 841-2 du Code de la sécurité intérieure.

Aussi, les moyens tirés de la méconnaissance des droits garantis à la personne concernée par le titre III de de la loi « Informatique et Libertés » ne sont pas invocables au soutien d'une demande d'accès, de rectification ou d'effacement de données figurant dans ces traitements ou parties de traitements intéressant la sûreté de l'État.

Par ailleurs, il résulte des termes de l'article 9 du décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées (N° Lexbase : L3703IM4) que le moyen tiré de ce que les restrictions d'accès aux données n'étaient pas prévues par l'acte autorisant le traitement, comme l'exige le septième alinéa du I de l'article 10 de la loi « Informatique et Libertés », manque en fait.

Durée de conservation des données à caractère personnel figurant dans le FPR. L'intéressé soutient que la collecte et la conservation des données le concernant, ainsi que les restrictions qui sont portées à l'exercice de son droit à la communication des informations le concernant, portent une atteinte au droit au respect de la vie privée au sens de l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales (N° Lexbase : L4798AQR), en ce sens qu'aucune disposition ne limite la durée de conservation des données concernant les signalements relevant du 8° de l'article 2 du décret du 28 mai 2010.

Toutefois, sont applicables au traitement de données ici en cause l'ensemble des garanties offertes par l'article 4 de la loi « Informatique et Libertés », au nombre desquelles figure celle selon laquelle : « Les données à caractère personnel doivent être : / […] 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». En outre, aux termes de l'article 7 du décret du 28 mai 2010 relatif au fichier des personnes recherchées : « Les données à caractère personnel enregistrées dans le fichier sont effacées sans délai en cas […] d'extinction du motif de l'inscription. » 

Ainsi, le moyen tiré de ce que les règles applicables à la durée de conservation des données en cause violent l'article 8 de la CESDH est écarté.

Diligences incombant au Conseil d'État concernant la communication des données à caractère personnel relatives à l'intéressé. Les dispositions de l'article 118 de la loi « Informatique et Libertés » font obstacle à ce que le ministre de l'Intérieur indique à la personne qui demande l'accès aux informations contenues dans les traitements relevant de l'article L. 841-2 du Code de la sécurité intérieure les raisons pour lesquelles la communication des informations le concernant susceptibles de figurer au FPR compromettrait les finalités du fichier, la sûreté de l'État, la sécurité publique ou la défense nationale.

Il appartient en revanche au Conseil d'État, saisi en sa formation spécialisée, d'opérer cette vérification et d'ordonner, le cas échéant, la communication des informations non susceptibles de compromettre les finalités du fichier, la sûreté de l'État, la sécurité publique ou la défense nationale.

Modalités d'examen des éléments susceptibles d'être relatifs à la situation de l'intéressé fournis par le ministre et par CNIL. Le ministre de l'Intérieur et la CNIL ont communiqué au Conseil d'État, dans les conditions prévues à l'article R. 773-20 du Code de justice administrative (N° Lexbase : L5059KKL), les éléments susceptibles d'être relatifs à la situation de l'intéressé.

Il appartient à la formation spécialisée, créée par l'article L. 773-2 du Code de justice administrative (N° Lexbase : L4990KKZ), saisie de conclusions dirigées contre le refus de communiquer les données relatives à une personne qui allègue être mentionnée dans un fichier figurant à l'article R. 841-2 du Code de la sécurité intérieure (N° Lexbase : L7369L4P), de vérifier, au vu des éléments qui lui ont été communiqués hors la procédure contradictoire, si le requérant figure ou non dans le fichier litigieux. Dans l'affirmative, il lui appartient d'apprécier si les données y figurant sont pertinentes au regard des finalités poursuivies par ce fichier, adéquates et proportionnées. Pour ce faire, elle peut relever d'office tout moyen ainsi que le prévoit l'article L. 773-5 du Code de justice administrative (N° Lexbase : L4993KK7).

Lorsqu'il apparaît soit que le requérant n'est pas mentionné dans le fichier litigieux soit que les données à caractère personnel le concernant qui y figurent ne sont entachées d'aucune illégalité, la formation de jugement rejette les conclusions du requérant sans autre précision.

Dans le cas où des informations relatives au requérant figurent dans le fichier litigieux et apparaissent entachées d'illégalité soit que les données à caractère personnel le concernant sont inexactes, incomplètes, équivoques ou périmées soit que leur collecte, leur utilisation, leur communication ou leur consultation est interdite, elle en informe le requérant sans faire état d'aucun élément protégé par le secret de la défense nationale. Cette circonstance, le cas échéant relevée d'office par le juge dans les conditions prévues à l'article R. 773-21 du Code de justice administrative (N° Lexbase : L5060KKM), implique nécessairement que l'autorité gestionnaire du fichier rétablisse la légalité en effaçant ou en rectifiant, dans la mesure du nécessaire, les données illégales. Dans pareil cas, doit être annulée la décision implicite refusant de procéder à un tel effacement ou à une telle rectification.

En l'espèce, la formation spécialisée a procédé à l'examen des éléments fournis par le ministre et par la CNIL, laquelle a effectué les diligences qui lui incombent dans le respect des règles de compétence et de procédure applicables. Il résulte de cet examen qu'aucune illégalité n'a été révélée. Le Conseil d'État retient que les conclusions de l'intéressé, y compris ses conclusions à fin d'injonction et tendant à l'application de l'article L. 761-1 du Code de justice administrative (N° Lexbase : L3227AL4), doivent être rejetées.

© Reproduction interdite, sauf autorisation écrite préalable