1) a) Un traitement de données à caractère personnel relève du champ d'application du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) ou de la directive (UE) n° 2016/680 du même jour selon sa finalité.

b) Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d'échange automatique d'informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.

Alors même que le traitement litigieux a plusieurs objets, dont la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables franco‑américains. Il s'ensuit qu'il relève du champ d'application du RGPD et non de celui de la directive (UE) n° 2016/680.

2) Un traitement ayant pour finalité de lutter contre la fraude et l'évasion fiscales est au nombre des traitements visés à l'article 31 de la loi n° 78‑17 du 6 janvier 1978 dès lors qu'il a parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales.

Le Conseil d'État constate qu'existent des traitements de données à caractère personnel qui relèvent à la fois du champ de la directive, en raison de certaines de leurs finalités mixtes, et du champ du règlement (UE) 2016/679 ou du droit interne, en raison de leurs autres finalités. Cette situation est traitée par l'article 9 de la directive (UE) 2016/680, qui dispose que le traitement à d’autres fins de données collectées dans le champ de la directive n'est possible que si un tel traitement est autorisé par le droit de l'Union ou le droit de l'État‑membre et que, dès lors que les données sont traitées à d'autres fins, le règlement s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.

1) D’une part, le Conseil d'État en conclut que, lorsqu’un traitement de données répond à des finalités mixtes, il convient que sa mise en œuvre soit prévue par un acte législatif ou réglementaire ou un acte répondant aux exigences de clarté, de précision et d’éventail rappelées au considérant 33 de la directive. Le Conseil d'État relève d'ailleurs que l'existence d'un tel acte est également nécessaire lorsqu'il est envisagé d'apporter des restrictions aux droits des personnes concernées en application des articles 13, 15 et 16 de la directive, transposés à l'article 70‑21 de la loi du 6 janvier 1978.

2) D’autre part, le Conseil d'État estime que l'article 9 de la directive impose un double régime aux traitements de données à finalités mixtes.

S’agissant des traitements relevant à la fois du champ de la directive et de celui du règlement, ce double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées. Le Conseil d'État relève en effet qu'existent deux droits prévus par le règlement et absents de la directive : le droit à l'oubli et le droit à la portabilité des données. Dans les deux cas, le règlement prévoit que ces droits ne sont pas applicables lorsque le traitement est nécessaire « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Ces droits devraient donc être inapplicables aux traitements de données dont les finalités mixtes. Les autres droits des personnes concernées (information, accès, opposition…) sont plus ouverts dans le règlement que dans la directive.

Le Conseil d'État estime que, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées aux finalités prévues par la directive, soit aux autres finalités du traitement de données, il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du règlement, qui permet une diminution de la portée des droits de la personne concernée sous plusieurs conditions, dont la sécurité publique et la préservation des procédures pénales, afin de déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Pour être conforme aux exigences du second paragraphe de l'article 23 du règlement, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales.

S'agissant des traitements relevant à la fois du champ de la directive et de celui du droit interne, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne peuvent être exclusivement rattachées à l'un ou l'autre de ces deux champs, les restrictions apportées à ces droits ne pourront excéder celles prévues par la directive.

Dans la mesure où dispositifs de vidéosurveillance ont été installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente relevant de la compétence de la police et de la gendarmerie nationales, il s'agit de dispositifs de « vidéosurveillance » car ces derniers filment des lieux non ouverts au public. À ce titre, le code de la sécurité intérieure, qui régit les dispositifs de « vidéoprotection » filmant la voie publique ou des lieux ouverts au public, n'est pas applicable et seules les dispositions de l'a loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du RGPD encadrent la mise en œuvre de tels traitements automatisés. Le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative et des règles de contrôle d'accès ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires. En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive « Police‑Justice ». Les traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente devraient donc relever d'un régime mixte (RGPD et directive « Police‑Justice » tel que transposée au titre III de la loi du 6 janvier 1978 dite « Informatique et Libertés ») en fonction des finalités poursuivies.

Les finalités d'un traitement mis en œuvre, mis en œuvre dans un contexte de crise sanitaire, liées au suivi du respect de mesures individuelles de quarantaine et d'isolement et à l’accompagnement des personnes, relèvent du RGPD par leur visée sanitaire. Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparaît également au titre des finalités du même traitement, que celui‑ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique.

Dans ces conditions, et dès lors que le critère de l’autorité compétente prévu par la Directive « Police – Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaître dans les dispositions réglementaires encadrant le traitement en cause.

Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).

En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.

Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».

En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.