Le requérant dénonçait une atteinte à son droit au respect de sa vie privée, en raison de l'ordre qui lui avait été fait de se soumettre à un prélèvement biologique destiné à un enregistrement dans le fichier national automatisé des empreintes génétiques (FNAEG) et pour lequel son refus d'obtempérer avait donné lieu à une condamnation pénale.

1) Durée de conservation – En 2010, le Conseil constitutionnel a déclaré conformes à la Constitution les dispositions législatives relatives au fichier incriminé, sous réserve « de proportionner la durée de conservation de ces données personnelles, compte tenu de l'objet du fichier, à la nature ou à la gravité des infractions concernées ». Au jour du prononcé du jugement de la Cour, cette réserve n'avait pas reçu de suite appropriée.

Selon le code de procédure pénale, la durée de conservation des profils ADN ne peut dépasser « quarante ans » s'agissant des personnes condamnées pour l'une des infractions énumérées. Il s'agit là d'un maximum qui aurait dû être aménagé par décret. Ce décret n'ayant pas vu le jour, la durée de quarante ans n'est plus un simple maximum mais devient en pratique la norme.

Ainsi, aucune différenciation n'est actuellement prévue en fonction de la nature et de la gravité de l'infraction commise. Or les situations susceptibles d'entrer dans le champ d'application légal du fichier en cause présentent une importante disparité, pouvant aller jusqu'à des faits particulièrement graves (à l'instar notamment des infractions sexuelles, du terrorisme ou encore des crimes contre l'humanité ou de la traite des êtres humains).

La présente affaire (de simples coups de parapluie donnés dans un contexte politique et syndical en direction de gendarmes qui n'ont pas même été identifiés) se distingue clairement de celles qui concernaient spécifiquement des infractions aussi graves que la criminalité organisée ou des agressions sexuelles.

2) Procédure d'effacement – L'accès à une telle procédure n'est prévu que pour les personnes soupçonnées, et non pour celles qui ont été condamnées (à l'instar du requérant). Or, aux yeux de la Cour, les personnes condamnées devraient également se voir offrir une possibilité concrète de présenter une requête en effacement des données mémorisées.

1) Le FNAEG relève du Contrôle de la Commission nationale de l'informatique et des libertés en application des dispositions et selon les modalités prévues par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Selon les dispositions de l'article 706-54 du code de procédure pénale, il est en outre placé sous le contrôle d'un magistrat.

Il est constitué en vue de la Finalité d'identification et de recherche des auteurs de certaines infractions et ne centralise que les traces et empreintes concernant les mêmes infractions. L'inscription au fichier concerne, outre les personnes condamnées pour ces infractions, celles à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles les aient commises. Pour ces dernières, les empreintes prélevées dans le cadre d'une enquête ou d'une information judiciaires sont conservées dans le fichier sur décision d'un officier de police judiciaire agissant soit d'office, soit à la demande du procureur de la République ou du juge d'instruction. Une Procédure d'effacement est, dans ce cas, prévue par le législateur, lorsque la conservation des empreintes n'apparaît plus nécessaire compte tenu de la Conservation du fichier. Le refus du procureur de la République de procéder à cet effacement est susceptible de recours devant le juge des libertés et de la détention dont la décision peut être contestée devant le président de la chambre de l'instruction.

Enfin, toute personne bénéficie d'un Droit d'accès direct auprès du responsable du fichier en application de l'article 39 de la loi Informatique et Libertés.

Dès lors, ces dispositions sont de nature à assurer, entre le respect de la vie privée et la sauvegarde de l'ordre public, une Conciliation qui n'est pas manifestement déséquilibrée.

2) Selon l'article 706-55 du code de procédure pénale, le FNAEG centralise les traces et empreintes génétiques concernant des crimes et délits précisément et limitativement énumérés. Outre les atteintes aux intérêts fondamentaux de la nation, toutes ces infractions portent atteinte à la sécurité des personnes ou des biens, incriminent des faits en permettant la commission ou ceux qui en tirent bénéfice. À l'exception de l'infraction prévue au second alinéa de l'article 322-1 du code pénal, toutes sont au moins punies de peines d'emprisonnement.

Pour l'ensemble de ces infractions, les rapprochements opérés avec des empreintes génétiques provenant des traces et prélèvements enregistrés au fichier sont aptes à contribuer à l'identification et à la recherche de leurs auteurs. Il en résulte que la Liste d'infractions prévue par l'article 706-55 est en adéquation avec l'objectif poursuivi par le législateur et que cet article ne soumet pas les intéressés à une rigueur qui ne serait pas nécessaire.

En application de l'article 230-6 du code de procédure pénale, les services de la police nationale et de la gendarmerie nationale peuvent mettre en œuvre traitements automatisés de données à caractère personnel recueillies au cours des enquêtes préliminaires ou de flagrance ou au cours des investigations exécutées sur commission rogatoire et concernant tout crime ou délit et certaines contraventions de la cinquième classe. En application du premier alinéa de l'article 230-7 du même code, ces traitements peuvent contenir des informations sur les personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteurs ou complices, à la commission de ces infractions. En application du premier alinéa de l'article 230-8 du code de procédure pénale, ces traitements sont opérés sous le contrôle du procureur de la République territorialement compétent. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernées des personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien. Le procureur de la République peut également ordonner l'effacement des données personnelles en cas de décision de non-lieu ou de classement sans suite. En application de l'article 230-9 du code de procédure pénale, un magistrat est chargé de suivre la mise en œuvre et la mise à jour de ces traitements. Il dispose des mêmes pouvoirs d'effacement que le procureur de la République. Il résulte d'une jurisprudence constante qu'aucune personne mise en cause autre que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite ne peut obtenir, sur le fondement des dispositions contestées, l'effacement des données qui la concernent. En autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public.

Toutefois, en premier lieu, en prévoyant que les fichiers d'antécédents judiciaires peuvent contenir les informations recueillies au cours d'une enquête ou d'une instruction concernant une personne à l'encontre de laquelle il existe des indices graves ou concordants rendant vraisemblable qu'elle ait pu participer à la commission de certaines infractions, le législateur a permis que figurent dans ce fichier des données particulièrement sensibles. Ainsi, l'article R. 40-26 du code de procédure pénale prévoit que peuvent être enregistrés les éléments d'état civil, la profession ou la situation familiale de la personne et une photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale. En deuxième lieu, les fichiers d'antécédents judiciaires sont susceptibles de porter sur un grand nombre de personnes dans la mesure où y figurent des informations concernant toutes les personnes mises en cause pour un crime, un délit et certaines contraventions de la cinquième classe. En troisième lieu, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées dans un fichier d'antécédents judiciaires. Ainsi, l'article R. 40-27 du code de procédure pénale prévoit qu'elles sont conservées pendant une durée comprise entre cinq ans et quarante ans selon l'âge de l'individu et la nature de l'infraction. En dernier lieu, ces informations peuvent être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Dès lors, en privant les personnes mises en cause dans une procédure pénale, autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, le premier alinéa de l'article 230-8 du code de procédure pénale porte une atteinte disproportionnée au droit au respect de la vie privée.

Lorsqu’aucune mesure de sûreté n’a été prononcée par la juridiction à l’encontre d’une personne déclarée pénalement irresponsable, la déclaration d’irresponsabilité pénale n’est pas une information susceptible d’être légalement nécessaire à l’appréciation de la responsabilité pénale de la personne éventuellement poursuivie à l’occasion de procédures ultérieures. Dès lors, eu égard aux finalités du casier judiciaire, elle ne s’aurait, sans porter une atteinte non nécessaire à la protection de la vie privée qu’implique l’article 2 de la Déclaration de 1789, être mentionnée au bulletin n°1 du casier judiciaire que lorsque des mesures de sûreté ont été prononcées et tant que ces interdictions n’ont pas cessé leurs effets. Réserve.

Les articles 230-6 et suivants et R. 40-26 et suivants du code de procédure pénale, qui permettent à des enquêteurs de recourir à la technique de reconnaissance faciale sans autorisation préalable d'un magistrat sont conformes à l'article 8 de la Convention européenne des droits de l'homme, tel qu'interprété par la Cour européenne des droits de l'homme. En effet, l'ingérence dans l'exercice du droit au respect de la vie privée résultant du recours à cette technique est justifiée par l'objectif légitime de poursuivre les auteurs d'infractions, et proportionnée au but recherché, dès lors que, d'une part, seules les données personnelles des personnes déclarées coupables des infractions les plus graves peuvent être contenues dans le fichier dont dépend l'outil utilisé pour la reconnaissance faciale, d'autre part, le juge, saisi par voie de requête en nullité, peut vérifier que seuls des agents spécialement habilités à cette fin ont accédé à ce fichier.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire.

Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

Les visites de sûreté portuaire sont donc maintenues. L'absence d'habilitation ne constitue pas un motif de refus.

Le traitement de données à caractère personnel, dans lequel est enregistrée une photographie permettant le recours à un dispositif de reconnaissance faciale, ne constitue pas un dispositif disproportionné dès lors qu'il comporte des garanties appropriées permettant d'assurer que :

• la collecte des données biométriques relatives aux personnes mises en cause ne peut avoir lieu que dans les conditions prévues aux articles R. 40‑24 et R. 40‑25 du code de procédure pénale ;
• le traitement est opéré sous le contrôle du procureur de la République qui, d'office ou à la demande de la personne concernée, peut ordonner l'effacement ou la rectification des données biométriques ;
• le dispositif de reconnaissance faciale ne peut être mobilisé par les services compétents qu'en cas de nécessité absolue et sous la responsabilité des agents qui l'utilisent ;
• seuls certains magistrats et agents étant autorisés par décret à accéder aux données biométriques, cet accès est soumis à des obligations de traçabilité ;
• la mise en œuvre du traitement fait l'objet d'un suivi par un magistrat désigné par le ministre de la justice et est soumise au contrôle de la CNIL ;
• le responsable de traitement prend les mesures de sécurité appropriées au regard de la sensibilité des données en cause.

Proportionnalité

Si les données nominatives figurant dans le traitement des antécédents judiciaires (TAJ) portent sur des informations recueillies au cours d'enquêtes préliminaires ou de flagrance ou d'investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que certaines contraventions de cinquième classe, les décisions en matière d'effacement ou de rectification prises par le procureur de la République ou par le magistrat désigné à cet effet, qui ont pour objet la tenue à jour de ce fichier et sont détachables d'une procédure judiciaire, constituent non pas des mesures d'administration judiciaire, mais des actes de gestion administrative du fichier. Elles peuvent, par suite, faire l'objet d'un recours pour excès de pouvoir devant le juge administratif.

Les dispositions de la Directive 2016/680 du Parlement européen et du Conseil, du 27 avril 2016 lues à la lumière de l'article 54 de la convention d'application de l'accord Schengen du 19 juin 1990, et de l'article 50 de la Charte des droits fondamentaux, doivent être interprétées en ce sens qu'elles ne s'opposent pas au traitement des données à caractère personnel figurant dans une notice rouge émise par l'Organisation internationale de police criminelle (Interpol), tant qu'il n'a pas été établi, par la voie d'une existence d'une décision judiciaire définitive prise dans un État partie à l'accord Schengen du 14 juin 1985, ou dans un État membre, que le principe ne bis in idem s'applique s'agissant des faits sur lesquels cette notice est fondée, pour autant qu'un tel traitement satisfait aux conditions prévues par cette directive, notamment en ce qu'il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, au sens de l'article 8, paragraphe 1, de ladite directive.

L'article 14 de la loi d'orientation et de programmation pour la performance de la sécurité intérieure insère les articles 230-20 et suivants dans le code de procédure pénale relatifs aux logiciels de rapprochement judiciaire. L'utilisation de ces logiciels permet la mise en œuvre de traitements de données à caractère personnel recueillies à l'occasion d'enquêtes judiciaires ouvertes pour toutes catégories d'infraction, quelle que soit leur gravité. Il appartient au législateur d'adopter les garanties de nature à assurer la conciliation entre les objectifs de sauvegarde de l'ordre public et les libertés constitutionnellement protégées en tenant compte de la généralité de l'application de ces logiciels.

En premier lieu, les dispositions des articles 230-20 et suivants n'ont pas pour objet et ne sauraient avoir pour effet de permettre la mise en œuvre d'un traitement général des données recueillies à l'occasion des diverses enquêtes de police judiciaire. L'article 230-23 prévoit que, sans préjudice des pouvoirs de contrôle attribués à la Commission nationale de l'informatique et des libertés, le traitement de données à caractère personnel au moyen des logiciels de rapprochement judiciaire est opéré sous le contrôle du procureur de la République ou de la juridiction d'instruction compétente. Ainsi, ces logiciels ne pourront conduire qu'à la mise en œuvre, autorisée par ces autorités judiciaires, de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de faits et pour les seuls besoins de ces investigations. Réserve.

En second lieu, eu égard à la possibilité ouverte par ces dispositions d'un enregistrement de données même liées à des faits de faible gravité, la conservation prolongée de ces données ne saurait être prolongée à l'initiative du enquêteur au-delà de trois ans après leur enregistrement. Censure.

1) L'inscription d'une personne dans ce fichier judiciaire automatisé des auteurs d'infractions sexuelles ne constitue pas une sanction mais une mesure de police qui vise à prévenir le renouvellement de ces infractions et à faciliter l'identification de leurs auteurs. Les auteurs des saisines ne sauraient dès lors utilement soutenir qu'ils méconnaîtraient le principe de nécessité des peines qui résulte de l'article 8 de la Déclaration de 1789.

2) Eu égard, d'une part, aux garanties apportées par les conditions d'utilisation et de consultation du fichier judiciaire automatisé des auteurs d'infractions sexuelles et par l'attribution à l'autorité judiciaire du pouvoir d'inscription et de retrait des données nominatives, d'autre part, à la gravité des infractions justifiant l'inscription des données nominatives dans le fichier et au taux de récidive qui caractérise ce type d'infractions, les dispositions de l'article 48 de la loi portant adaptation de la justice à l'évolution de la criminalité sont de nature à assurer, entre le respect de la vie privée et la sauvegarde de l'ordre public, une conciliation qui n'est pas manifestement déséquilibrée. De même, en raison du motif de consultation qu'elles assignent aux consultations du fichier par des autorités administratives, et compte tenu des restrictions et prescriptions dont elles les assortissent, cet article ne porte aucune atteinte excessive ni au respect de la vie privée ni aux exigences de l'article 9 de la Déclaration de 1789.

3) Les adaptations apportées, en faveur des mineurs délinquants, au régime du fichier judiciaire automatisé des auteurs d'infractions sexuelles sont inspirées par la nécessité de rechercher leur relèvement éducatif et moral. Elles ne sont pas contraires au principe fondamental reconnu par les lois de la République en matière de droit pénal des mineurs.

4) L'article 706‑53‑5 nouveau du code de procédure pénale impose à la personne inscrite dans le fichier des auteurs d'infractions sexuelles, lorsqu'elle a été définitivement condamnée pour un crime ou un délit puni de dix ans d'emprisonnement, de justifier de son adresse tous les six mois en se présentant à cette fin auprès d'un service de police ou de gendarmerie. La gravité de la condamnation encourue, qui détermine le champ d'application de l'obligation, constitue un critère objectif et rationnel de distinction en relation directe avec la finalité du fichier.

L'obligation faite aux personnes inscrites de faire connaître périodiquement l'adresse de leur domicile ou de leur résidence ne constitue pas une sanction, mais une mesure de police destinée à prévenir le renouvellement d'infractions et à faciliter l'identification de leurs auteurs. L'objet même du fichier rend nécessaire la vérification continue de l'adresse de ces personnes. La charge qui leur est imposée dans le but de permettre cette vérification ne constitue pas une rigueur qui ne serait pas nécessaire au sens de l'article 9 de la Déclaration de 1789.

Le Conseil d'État, saisi d'un projet de décret relatif au système national d'inf ormation Schengen de deuxième génération (N - SIS II), lui a donné un avis favorable, sous réserve d'observations relatives à l'enregistrement des empreintes digitales.

L'article R. 231 - 9 du c ode de la sécurité intérieure, dans sa version résultant du proje t, disposait que les empreintes digitales des personnes signalées pourraient désormais figurer parmi les données enregistrées dans le traitement N - SIS II. Cet enregistrement est prévu à l'article 20 du règlement (CE) n° 1987/2006 du 20 décembre 2006 et de la décision 2007/533/JAI du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II), d'application immédiate.

D'après les informations fournies au Conseil d'État, les empreinte s devaient provenir pour la plupart du fichier automatisé des empreintes digitales (FAED). Si une telle utilisation de ces données n'est pas contraire aux finalités du FAED, telles qu'elles sont mentionnées au décret n° 87 - 249 du 8 avril 1987 relatif au fi chier automatisé des empreintes digitales géré par le ministère de l'intérieur, ce texte ne prévoit pas que les empreintes peuvent être transmises aux services chargés du traitement N - SIS II. Le Conseil d'État (section de l'intérieur) attire donc l'attenti on du Gouvernement sur la nécessité de modifier ce décret dans les meilleurs délais.

Le Conseil d'État relève en revanche, comme l'avait également signalé la Commission nationale de l'informatique et des libertés, que les empreintes digitales enregistrées dans le traitement N - SIS II ne pourront en aucun cas provenir du traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité dénommé « titres électroniques sécurisés » (TES). En effet, ce traitement a pour seul o bjet de procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation des titres en question ainsi que de prévenir et détecter leur falsification et contrefaçon.

1) Si les articles L. 233 - 1 et L. 233 - 1 - 1 du code de la sécurité intérieure autorisent les seuls services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu'ils prévoient, ils n'ont pas pour effet d'interdire aux autorités compétentes de mettre en œuvre, sur le fondement de l'article L. 251 - 2 de ce même code, des disp ositifs de lecture automatisée des plaques d'immatriculation des véhicules. Toutefois, ces autorités ne peuvent le faire que pour l'une des finalités énumérées par cet article et dans le respect du titre V du livre II de ce même code.

2) La mise en œuvre d'un dispositif de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants aux seules fins de répondre aux éventuelles réquisitions des forces de l'ordre pour l'exercice de leurs missions de police judiciaire ne constitue pas une finalité déterminée et n'est pas au nombre des finalités justifiant la mise en place d'un tel dispositif visées par l'article L.251 - 2 du CSI.

ème ème

1) L’article L. 251‑2 du Code de la sécurité intérieure (CSI) liste les finalités pour lesquelles la transmission et l’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection peuvent être mis en œuvre par les autorités publiques compétentes. Mettre les données collectées à la disposition de la gendarmerie nationale pour l’exercice de ses missions de police judiciaire, qui n’est pas parmi les finalités visées par cet article, ne constitue pas, pour un dispositif de transmission et d’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection, une finalité légitime.

2) L’article L. 233‑1 du CSI autorise uniquement les services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu’il prévoit. Par conséquent, une commune ne saurait mettre en œuvre un tel dispositif, même si les données collectées étaient destinées à être mises à disposition de la gendarmerie nationale à des fins d’aide à l’identification des auteurs d’infractions.

mise à disposition de la gendarmerie nationale

Développement des contrôles automatisés à grande échelle des véhicules à des fins de réduction des pollutions et de la congestion du trafic routier. Le projet de loi d'orientation des mobilités, dans la version dont le Conseil d'État a été saisi, prévoyait la mise en place de dispositifs de contrôle automatisé des données signalétiques des véhicules (dit « LAPI », c’est‑à‑dire de lecture automatique des plaques d’immatriculation) dans trois cas :

• Le premier était destiné à contrôler les voies réservées à certaines catégories de véhicules, parmi lesquelles les véhicules transportant un nombre minimal d’occupants et les véhicules à très faibles émissions.
• Le deuxième avait pour objet d’assurer le respect des restrictions de circulation dans la ZFE dont la mise en place sera obligatoire pour les collectivités sur le territoire où les niveaux de pollution sont régulièrement dépassés.
• Le troisième permettait de vérifier l’acquittement, par les véhicules entrant dans un périmètre urbain défini par une autorité organisatrice de la mobilité, de la taxe appelée « tarif de congestion » instituée par cette autorité à titre de « péage urbain » afin de réduire la circulation automobile et diminuer la pollution atmosphérique.

Le recueil systématique des photographies des véhicules et, par conséquent, tant de leurs plaques d’immatriculation que de leurs conducteurs et passagers, susceptibles ainsi d’être identifiés, est de nature à permettre la saisie sur une grande échelle de données personnelles relatives au déplacement des individus concernés.

Le Conseil d'État a cependant admis la possibilité, au regard des principes constitutionnels, de mettre en place de tels dispositifs de recueil de données potentiellement identifiantes en raison des motifs d’intérêt général poursuivis en termes de politique des transports et de l’environnement. La création de voies réservées comme les restrictions d’accès au profit de certains véhicules, notamment les véhicules à très faibles émissions, est indissociable de la mise en place d’un contrôle automatisé systématique des véhicules circulant sur ces voies ou dans ces zones, seul à même d’assurer le respect de ces dispositions. Il en va de même pour le contrôle automatisé systématique des véhicules assujettis au tarif de congestion, indispensable pour vérifier le respect de l’obligation faite aux assujettis à cette imposition.

En outre, s’agissant des ZFE, le projet de loi, pour préserver les libertés auxquelles l’extension de ce dispositif est susceptible de porter atteinte, encadrait strictement le déploiement et la mise en œuvre du contrôle en limitant l’étendue et les points où il est effectué, le dispositif étant soumis à autorisation préfectorale.

Pour le péage urbain, si le projet de loi ne limitait pas le nombre des points de contrôle ni ne comportait de contraintes concernant leur emplacement contrairement à ce qui était prévu pour les voies réservées et les zones à faibles émissions, il prévoyait plusieurs garanties : suppression des données dès que la vérification a permis de constater l’acquittement du tarif, consultation du système d’immatriculation des véhicules aux fins d’identification du titulaire du certificat d’immatriculation du véhicule pour les seuls véhicules en infraction, conservation des données collectées subordonnée à un masquage destiné à empêcher l'identification des occupants et limitée à huit jours.

Le Conseil d'État a considéré que les limitations et précautions dont étaient ainsi assorties ces procédures de contrôle sont de nature à assurer la conciliation qu’il incombe au législateur d’effectuer entre, d’une part, le respect de la vie privée des personnes et la liberté d’aller et venir, et, d’autre part, la répression des infractions aux règles édictées dans la ZFE pour réduire la pollution ou celle des comportements visant à éluder le paiement de la taxe.

Dans le cadre de la mise en œuvre de dispositifs de lecture automatisée de plaques d'immatriculation (LAPI), le respect du principe de minimisation impose une vigilance particulière quant au respect de la vie privée des passagers des véhicules, des passants et des riverains et proscrit la prise de vue d'individus, y compris les occupants des véhicules.

En l'espèce, la mise en œuvre d'un tel dispositif à certaines entrées et sorties d'un village de vacances pour des finalités de sécurité des biens et des personnes (notamment dans le cadre d'évacuation d'urgence ou de la vérification d'absence d'entrée irrégulière sur le parc) apparaissait proportionnée, mais la captation de données à caractère personnel autres que les plaques minéralogiques était excessive. En particulier, la capture de l'identité des occupants du véhicule était disproportionnée au regard de la finalité du traitement.

En application du deuxième alinéa de l'article L. 242‑4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son ni effectuer des traitements automatisés de reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.

Le projet de décret étend la liste des nationalités éligibles au dispositif PARAFE aux ressortissants de cinq États tiers à l’entrée et à l’ensemble des ressortissants de pays tiers, sans condition de nationalité, à la sortie.

La CNIL estime que ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entraînent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités d’information concrètes de mise en œuvre du traitement, s’agissant notamment de l’information des personnes. La CNIL souligne que l’obligation d’informer les personnes pèse sur le responsable de traitement. Outre les mesures déjà prévues (éléments de communication comportant des mentions obligatoires, tenue d’audits…), des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l’ensemble des informations énumérées à l’article 13 du RGPD.

Pour assurer l’effectivité des droits des personnes, l’information sur le traitement doit, en outre, être complétée d’éléments relatifs:
- au caractère facultatif, prévu par l’article R. 232‑6 du CSI, du recours au sas PARAFE pour le franchissement des frontières;
- et – le cas échéant – à l’articulation de PARAFE avec d’autres dispositifs de facilitation des contrôles.

Enfin, l’information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL constate qu’elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.

2) L’article R. 232‑8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l’authentification biométrique du voyageur et la consultation prévue à l’article R. 232‑9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399: le fichier des personnes recherchées, le système d’information Schengen et le fichier des documents de voyage volés et perdus d’Interpol. Ces traitements font alors l’objet d’une mise en relation avec PARAFE.

Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».

La CNIL ne remet pas en cause l’absence d’obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis‑à‑vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l’équilibre entre l’objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021‑061, publié). Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l’ensemble des mises en relation réalisées avec d’autres traitements.

Le projet d'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers perm et le transfert systématique et continu des données PNR de l'ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d'autres autorités et d'autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l'accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

La Cour juge que certaines stipulations du projet d'accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui-ci ne soit révisé pour mieux encadrer et préciser les ingérences. Cet accord doit, pour être compatible avec les articles 7 et 8 ainsi qu'avec l'article 52, paragraphe 1, de la Charte des droits fondamentaux:

a) déterminer de manière claire et précise les données des dossiers passagers à transférer depuis l'Union européenne vers le Canada;

b) prévoir que les modèles et les critères utilisés dans le cadre du traitement automatisé des données des dossiers passagers seront spécifiques et fiables ainsi que non discriminatoires; prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave;

c) soumettre, hormis dans le cadre des vérifications relatives aux modèles et aux critères préétablis sur lesquels sont fondés les traitements automatisés des données des dossiers passagers, l'utilisation de ces données par l'autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, de même que toute communication desdites données à d'autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs; subordonner cette utilisation et cette communication, sauf cas d'urgence dûment justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l'utilisation intervient à la suite d'une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales;

d) limiter la conservation des données des dossiers passagers après le départ des passagers aériens à ce que les passagers à l'égard desquels il existe des éléments objectifs permettant de considérer qu'ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave;

e) soumettre la communication des données des dossiers passagers par l'autorité canadienne compétente aux autorités publiques d'un pays tiers à la condition qu'il existe soit un accord entre l'Union européenne et ce pays tiers équivalent à l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, soit une décision de la Commission européenne, au titre de l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, couvrant les autorités vers lesquelles la communication des données des dossiers passagers est envisagée;

f) prévoir un droit à l'information individuelle des passagers aériens en cas d'utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu'en cas de divulgation de ces données par l'autorité canadienne compétente à d'autres autorités ou à des particuliers, et

g) garantir que la surveillance des règles prévues par l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l'égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante.

1) Le transfert, le traitement et la conservation des données PNR (transport aérien) prévus par la Directive (UE) 2016/681 peuvent être considérés, au regard des exigences des articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1 de la Charte des droits fondamentaux de l'Union européenne, comme étant limités au strict nécessaire aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à condition que les pouvoirs prévus par ladite directive fassent l’objet d’une interprétation restrictive. La Cour précise notamment que : le système établi par la directive PNR ne doit couvrir que les informations clairement identifiables et circonscrites dans les rubriques figurant dans l’annexe I de celle‑ci, lesquelles sont en rapport avec le vol effectué et avec le passager concerné, ce qui implique, pour certaines rubriques figurant dans cette annexe, que seuls les renseignements visés expressément sont couverts. L’application du système établi par la directive PNR doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant de ces formes, l’application de ce système ne saurait être étendue à des infractions qui, bien qu’elles remplissent le critère prévu par cette directive relatif au seuil de gravité et qu’elles soient notamment visées à l’annexe II de celle‑ci, relèvent de la criminalité ordinaire compte tenu des spécificités du système pénal national. L’éventuelle extension de l’application de la directive PNR à tout ou partie des vols intra‑UE, qu’un État membre peut décider en faisant usage de la faculté prévue par cette directive, doit être limitée au strict nécessaire. À cet effet, elle doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. À cet égard, la Cour précise que : dans la seule situation où ledit État membre constate qu’il fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible, l’application de cette directive à tous les vols intra‑UE en provenance ou à destination dudit État membre, pour une durée limitée au strict nécessaire mais renouvelable, n’excède pas les limites du strict nécessaire ; en l’absence d’une telle menace terroriste, l’application de ladite directive ne saurait s’étendre à l’ensemble des vols intra‑UE, mais doit être limitée aux vols intra‑UE relatifs notamment à certaines liaisons aériennes ou à des schémas de voyage ou encore à certains aéroports pour lesquels il existe des indications de nature à justifier cette application. Aux fins de l’évaluation préalable des données PNR, qui a pour objectif d’identifier les personnes pour lesquelles est requis un examen plus approfondi avant leur arrivée ou leur départ et qui est, dans un premier temps, effectuée au moyen de traitements automatisés, la Cour considère que l’unité d’information passager (UIP) ne peut, d’une part, confronter ces données qu’aux seules bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement. Ces bases de données doivent être non discriminatoires et exploitées, par les autorités compétentes, en rapport avec la lutte contre des infractions terroristes et des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant, d’autre part, de l’évaluation préalable au regard de critères préétablis, l’UIP ne saura utiliser des technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus d’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères. Lesdits critères doivent être déterminés de manière à ce que leur application cible, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité et à tenir compte tant des éléments « à charge » que des éléments « à décharge », tout en ne donnant pas lieu à des discriminations directes ou indirectes.

Compte tenu du taux d’erreur inhérent à de tels traitements automatisés des données PNR et du nombre assez conséquent de résultats « faux positifs », ayant été obtenus à la suite de leur application au cours des années 2018 et 2019, l’aptitude du système établi par la directive PNR à réaliser les objectifs poursuivis dépend essentiellement du bon fonctionnement de la vérification des résultats positifs, obtenus au titre de ces traitements, que l’UIP effectue, dans un deuxième temps, par des moyens non automatisés. À cet égard, les États membres doivent prévoir des règles claires et précises de nature à guider et à encadrer l’analyse effectuée par les agents de l’UIP. Dans ce contexte, la Cour souligne que les autorités compétentes doivent s’assurer que l’intéressé peut comprendre le fonctionnement des critères d’évaluation préétablis et des programmes appliquant ces critères, de manière à ce qu’il puisse décider, en pleine connaissance de cause, s’il exerce ou non son droit à un recours juridictionnel. De même, dans le cadre d’un tel recours, le juge chargé du contrôle de la légalité de la décision adoptée par les autorités compétentes ainsi que, hormis les cas de menaces pour la sûreté de l’État, l’intéressé lui‑même doivent pouvoir prendre connaissance tant de l’ensemble des motifs que des éléments de preuve sur lesquels cette décision a été prise, y compris des critères d’évaluation préétablis et du fonctionnement des programmes appliquant ces critères.

La communication et l’évaluation postérieures des données PNR, c’est‑à‑dire après l’arrivée ou le départ de la personne concernée, ne peuvent être effectuées que sur la base de circonstances nouvelles et d’éléments objectifs qui soient de nature à fonder un soupçon raisonnable d’implication de cette personne dans des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers, ou permettent de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre des infractions terroristes présentant un tel lien. La communication des données PNR aux fins d’une telle évaluation postérieure doit, en principe, sauf en cas d’urgence dûment justifiée, être subordonnée à un contrôle préalable effectué soit par une juridiction soit par une autorité administrative indépendante, sur demande motivée des autorités compétentes, et ce indépendamment du point de savoir si cette demande a été introduite avant ou après l’expiration du délai de six mois suivant le transfert de ces données à l’UIP.

2) La Directive (UE) 2016/681 s’oppose à une législation nationale qui autorise le traitement de données PNR à d’autres fins que la lutte contre les infractions terroristes et les formes graves de criminalité. Ainsi, une législation nationale admettant de surcroît, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité est susceptible de méconnaître le caractère exhaustif des objectifs énumérés par ladite directive. De même, le système établi par la directive PNR ne peut être prévu aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine. Il s’ensuit également que les données PNR ne sauraient être conservées dans une base de données unique pouvant être consultée aux fins de la poursuite tant des finalités de la directive PNR que d’autres finalités.

3) La Directive (UE) 2016/681 s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente, habilitée à approuver la communication des données PNR à l’expiration des six mois suivant le transfert de ces données à l’UIP.

4) L’article 12 de la Directive (UE) 2016/681, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à une législation nationale qui prévoit une durée générale de conservation de ces données de cinq ans, applicable indifféremment à tous les passagers aériens. En effet, après l’expiration de la période de conservation initiale de six mois, la conservation des données PNR n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens pour lesquels ni l’évaluation préalable, ni les éventuelles vérifications effectuées au cours de la période de conservation initiale de six mois, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs – tels que le fait que les données PNR des passagers concernés ont donné lieu à une concordance positive vérifiée dans le cadre de l’évaluation préalable – de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le voyage aérien effectué par ces passagers. En revanche, au cours de la période initiale de six mois, la conservation des données PNR de l’ensemble des passagers aériens soumis au système instauré par cette directive ne paraît pas, par principe, excéder les limites du strict nécessaire.

5) La directive, lue à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, s’oppose à un système de transfert et de traitement des données PNR de l’ensemble des transports effectués par d’autres moyens (train, bateau, etc.) à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné. Dans une telle situation, comme pour les vols intra‑UE, l’application du système établi par la directive PNR doit être limitée aux données PNR des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certaines gares ou certains ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les transports pour lesquels de telles indications existent et de réexaminer régulièrement cette application en fonction de l’évolution des conditions ayant justifié leur sélection.