Le Conseil d'État (section de l'intérieur), saisi d'un projet de décret relatif au « système API - PNR France » et modifiant le code de la sécurité intérieure (partie réglementaire), lui donne un avis favorable, sous réserve des dispositions relatives à la collecte et au traitement des données d'enregistrement et d'embarquement (données API) des membres d'équipage.

Il relève que si la directive (UE) 2016/681 relative à l'utilisation des données des dossiers passagers (PNR), autorise expressément la collecte des données API, seules les données des passagers dont le personnel d'équipage est expressément exclu sont concernées conformément à la définition donnée par l'article 3.

Le Conseil d'État estime que s'il est loisible au Gouvernement de créer, par voie réglementaire, un traitement automatisé de données à caractère personnel relatives aux données des membres d'équipage, seule une modification de nature législative serait de nature à mettre à la charge des transporteurs aériens l'obligation de transmettre de telles données.

L'article 116 de la loi n° 2016‑731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale a introduit, dans le code de la défense, un article L. 2381‑1. Le I de cet article prévoit que, dans le cadre d'une opération mobilisant des capacités militaires se déroulant sur un théâtre d'opérations extérieures, des membres des forces armées et des formations rattachées pourront procéder à des relevés signalétiques ou à des prélèvements biologiques destinés à établir, dans certaines hypothèses, l'identification de personnes décédées ou capturées au cours des combats. Le II du même article a pour objet de permettre à l'autorité militaire, sur ces mêmes théâtres d'opérations extérieures, lors des enquêtes préalables à une décision de recrutement ou d'accès à une zone protégée, de consulter les données collectées en application du I. Le législateur a renvoyé à un décret en Conseil d'État le soin de fixer la liste des enquêtes qui donneront lieu à cette consultation ainsi que les modalités d'information des personnes concernées.

Saisi d'un projet de décret relatif à ces enquêtes administratives, le Conseil d'État (section de l'administration) souligne que le II de l'article L. 2381‑1 du code de la défense ne permet pas aux autorités militaires de pratiquer, lors de telles enquêtes, des prélèvements d'empreintes biologiques ; cette disposition se bornant à autoriser l'autorité militaire à consulter les données collectées sur le fondement du I. Les cas dans lesquels il est permis de pratiquer des prélèvements d'empreintes génétiques sont définis de manière limitative à l'article 16‑11 du code civil. Par ailleurs, le Conseil d'État rappelle que si le pouvoir réglementaire peut, même dans le silence de la loi, imposer pour les besoins des enquêtes des relevés signalétiques, notamment la prise d'empreintes digitales, la Commission nationale de l'informatique et des libertés doit alors être préalablement saisie et rendre un avis motivé et publié.

Une telle disposition réglementaire aurait en effet pour objet et pour effet d'autoriser un traitement « de données à caractère personnel mis en œuvre pour le compte de l'État qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes » au sens du 2 du I de l'article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

1) S'agissant des traitements de l'État, lorsqu'un Acte réglementaire le régissant désigne le ou les ministères exerçant la responsabilité de traitement au nom de l'État, cela ne fait pas obstacle à la compétence de la CNIL pour contrôler et, le cas échéant, prononcer une injonction à l'égard des autres administrations de l'État à qui l'acte réglementaire confie un rôle dans la mise en œuvre du traitement.

2) S'agissant du traitement des antécédents judiciaires (TAJ), l'article R. 40-23 du code de procédure pénale dispose que le ministère de l'Intérieur exerce la responsabilité de traitement. Cependant, la responsabilité du traitement relevant, in fine, de l'État, la formation restreinte estime qu'elle est compétente pour adresser un rappel aux obligations et une injonction aux administrations de l'État qui ne relèvent pas du ministre de l'Intérieur auxquelles le code de procédure pénale confie un rôle dans la mise en œuvre du traitement. Elle s'estime donc compétente pour prononcer ces mesures à l'égard du ministère de la Justice, à qui les articles 230-8, 230-9 et R. 40-31 et suivants du code de procédure pénale confient, au sein de l'État, un rôle pour assurer le respect par le traitement des règles fixées par la loi Informatique et Libertés.

1) L'article 23 du RGPD permet de limiter ou d'écarter le droit d'opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n'est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s'agir d'un acte réglementaire. La CNIL estime que, s'agissant des traitements participant à l'exécution d'une mission d'intérêt public, tant l'État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s'ils disposent d'un pouvoir réglementaire, limiter ou exclure le droit d'opposition.

2) Cependant, l'exercice de cette faculté est soumis à une double limite : d'une part, s'agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l'article 34 de la Constitution ; d'autre part, veiller à ce que les conditions prévues à l'article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l'article 23, le Comité européen pour la protection des données a notamment rappelé l'obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l'objectif poursuivi. Il a également souligné que l'acte écartant l'opposition doit faire l'objet d'une publicité suffisante et être accessible.