Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821‑4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au chapitre Ier du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821‑4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs auxquels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851‑2, la procédure d'urgence absolue prévue à l'article L. 821‑5 de ce code n'est pas applicable. En application de l'article L. 871‑6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851‑2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831‑1 à L. 832‑5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833‑1 à L. 833‑11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841‑1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

Par la création d'un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement.

Toutefois, ce registre national est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation ou d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre.

Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause.

Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire. Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

Dans le cadre d'élections des représentants du personnel au sein des instances de représentation du personnel de la fonction publique hospitalière, si le vote électronique par internet est susceptible de constituer une modalité de vote au même titre que le vote à l'urne et le vote par correspondance, il implique, en raison de ses spécificités et des conditions de son utilisation, que des garanties adaptées soient prévues pour que le respect des principes généraux du droit électoral – complète information de l'électeur, libre choix de celui-ci, égalité entre les candidats, secret du vote, sincérité du scrutin et contrôle du juge – soit assuré à un niveau équivalent à celui des autres modalités de vote. Dès lors, d'une part, que l'identification du demandeur qui sollicite la mise en œuvre d'une procédure de « réassort » (nouvelles communications des éléments d'authentification nécessaires pour participer au scrutin) s'effectue par la seule vérification de son nom, prénom, date et lieu de naissance, informations qui peuvent aisément être connues de tiers, et, d'autre part, que le moyen de communication par lequel sont envoyés l'identifiant et le nouveau mot de passe est celui indiqué par le demandeur qui sollicite ce « réassort », sans qu'il soit garanti qu’il ne serait accessible qu'à l'électeur, et alors même qu'un même numéro de téléphone ou une même adresse électronique ne peut être utilisé que pour une seule demande de « réassort », les requérants sont fondés à soutenir que les modalités retenues pour le vote électronique par internet n'offraient pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote. Compte tenu de l'importance du recours au vote électronique dans les scrutins en cause et de l'impossibilité de déterminer le nombre de cas dans lesquels a été mise en œuvre, pour chacune des instances concernées, la procédure dite de « réassort », les syndicats requérants sont fondés à demander l'annulation de l'ensemble des opérations électorales en vue de la désignation des représentants du personnel.

Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

1) a) Politique d'habilitation pour les dossiers des patients informatisés (DPI) dans un hôpital. Est admissible un paramétrage du DPI prévoyant qu'un médecin peut consulter tout le dossier de ses patients, sans limite d'antériorité, à l'exception de séjours qui peuvent être paramétrés au sein du DPI en accès restreints, car présentant une sensibilité particulière pour la vie privée, ainsi que certains évènements futurs programmés à accès restreints. Un tel paramétrage répond à l'exigence de définir des droits en fonction du métier exercé au sein de la structure hospitalière en application de l'article L.1110-12 du Code de la santé publique et satisfait à l'exigence de protection de la confidentialité des données par une politique d'habilitation appropriée résultant de l' article 32 du RGPD.

b) N'est pas admissible, en revanche, le paramétrage qui prévoit que les médecins peuvent consulter les dossiers de tous les patients présents dans le DPI alors même qu'ils ne feraient pas partie de leur équipe de soins. Un tel paramétrage est contraire aux articles L.1110-4 et L.1110-12 du code de la santé publique, qui exigent que les habilitations tiennent compte de la notion d'équipe de soins.

2) a) Eu égard au volume et à la sensibilité des données traitées au sein du DPI, des contrôles réguliers de ces accès doivent être opérés, afin d'identifier ceux susceptibles d'être frauduleux ou illégitimes (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace » lorsqu'il est mis en place). Il est fortement recommandé d'exercer ces contrôles par le biais d'une analyse automatisée ou semi-automatisée, permettant de garantir la sécurité et la confidentialité des données à caractère personnel traitées.

b) L'absence de contrôle régulier des journaux d'accès au DPI, alors qu'il contient des données sensibles qui concernent un nombre important de personnes, constitue un manquement à l'article 32 du RGPD.

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la Politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif de Dossiers Patients Informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;

• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110-12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise » ; cela permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

En application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître.

1) La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion.

2) En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif dossiers patients informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;
• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110‑12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise ». Ce mode permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

Décret n° 2018‑1254 du 26 décembre 2018 prévoyant l’accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et des prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l’identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l’établissement.

1) Il résulte de l’article L. 823‑9 du code de commerce que les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l’article R. 625‑3 du code de justice administrative, que l’accès à l’ensemble des données de santé, issues du dossier médical des patients, mentionnées à l’article R. 6113‑1 du code de la santé publique (CSP), est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

En revanche, il n’en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expériment, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données, dont l’article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l’article L. 6113‑7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d’une part, à prévoir qu’ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l’obligation de secret à laquelle ils sont soumis, et d’autre part, à limiter leur accès aux seules données « nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d’illégalité en tant qu’il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l’article L. 1110‑4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113‑1 du CSP sont placés sous la responsabilité du médecin responsable de l’information médicale, qu’ils interviennent dans le cadre de leur contrat de sous‑traitance, qu’ils sont soumis à l’obligation de secret, dont la méconnaissance est punie conformément aux articles 226‑13 et 226‑14 du code pénal, qu’ils peuvent accéder « aux seules données à caractère personnel nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions et qu’ils ne peuvent conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiables qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu, le décret attaqué n’a pas prévu de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

Secret médical, Accès aux données du dossier médical des patients, commissaires aux comptes, mesures techniques et organisationnelles, prestataires extérieurs, garanties suffisantes, exercice de leur mission

L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

1) Des Modifications ou suppressions de données contenues dans un système de traitement automatisé de données, en violation de la réglementation en vigueur, sont frauduleuses au sens de l'article 323‑3 du code pénal, y compris si elles sont opérées par une personne ayant un droit d'accès au système, lorsqu'elles ont été sciemment dissimulées à au moins un autre utilisateur d'un tel système, même s'il n'est pas titulaire de droits de modification.

2) Se rend coupable de l'infraction prévue à l'article 323‑1 du code pénal la personne qui, sachant qu'elle n'y est pas autorisée, pénètre ou se maintient dans un système de traitement automatisé de données.

1) L'article 4, paragraphe 1, sous c), de la directive (UE) 2016/680 (directive « Police‑justice ») du 27 avril 2016 (principes relatifs au traitement des données à caractère personnel), lu à la lumière des articles 7 et 8 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales en général, si cette réglementation :

• définit de manière suffisamment précise la nature ou les catégories des infractions concernées,

• garantit le respect du principe de proportionnalité, et

• soumet l'exercice de cette possibilité, sauf cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante.

2) Les articles 13 et 54 de la directive 2016/680 (droit à l'information et droit d'accès), lus à la lumière de l'article 47 et de l'article 52, paragraphe 1, de la charte des droits fondamentaux doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale qui autorise les autorités compétentes à tenter d'accéder à des données contenues dans un téléphone portable sans informer la personne concernée, dans le cadre des procédures nationales applicables, des motifs sur lesquels repose l'autorisation d'accéder à ces données, délivrée par un juge ou une entité administrative indépendante, à partir du moment où la communication de cette information n'est plus susceptible de compromettre les missions incombant à ces autorités en vertu de cette directive.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable au projet de décret pris pour l'application des articles L. 744 - 6 et L. 744 - 7 CESEDA et portant création du traitement automatisé de données à caractère personnel prévu par ces articles sous réserve de plusieurs observations.

L'article L. 744-6 du CESEDA confie à l'Office français de l'immigration et de l'intégration (OFII) la charge d'évaluer la vulnérabilité des demandeurs d'asile et permet que les informations recueillies dans ce cadre puissent faire l'objet d'un traitement automatisé de données, dans les conditions fixées par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le décret mettant en œuvre ce fichier est justifié par un intérêt public et échappe, en application du IV de l'article 8 de la même loi, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article.

Le Conseil d'État estime que le projet de décret pouvait légalement prévoir l'enregistrement des données de vulnérabilité, à l'exception toutefois des données de santé à caractère personnel qui n'auraient pas été volontairement communiquées par le demandeur d'asile, ainsi que l'accès à ces données par les personnels de l'OFII, les agents chargés de l'accueil des demandeurs d'asile relevant des ministères de l'intérieur et des affaires sociales et de l'Office français de protection des réfugiés et des apatrides, dans la limite de leurs attributions et du besoin d'en connaître.

Le Conseil d'État souligne également la légalité de ce projet de décret.

En application des dispositions des articles L. 611‑3 et L. 611‑5 du code de l’entrée et du séjour des étrangers et du droit d’asile, seul un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, peut fixer les modalités de mise en œuvre relatives notamment à la durée de conservation et aux conditions de mise à jour des informations enregistrées, à la détermination des fonctionnaires habilités à y accéder ainsi qu’à la définition des conditions dans lesquelles les personnes concernées peuvent exercer leur droit d’accès, du traitement automatisé d’un fichier dont la finalité est de faciliter l’éloignement des étrangers en situation irrégulière et comporte, parmi les informations collectées, une photographie d’identité des intéressés.

En conséquence, illégalité de la création d’un fichier de cette nature, dénommé fichier « ELOI », par arrêté ministériel en date du 30 juillet 2006.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire.

Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

Les visites de sûreté portuaire sont donc maintenues. L'absence d'habilitation ne constitue pas un motif de refus.

L'article 14 de la loi d'orientation et de programmation pour la performance de la sécurité intérieure insère les articles 230-20 et suivants dans le code de procédure pénale relatifs aux logiciels de rapprochement judiciaire. L'utilisation de ces logiciels permet la mise en œuvre de traitements de données à caractère personnel recueillies à l'occasion d'enquêtes judiciaires ouvertes pour toutes catégories d'infraction, quelle que soit leur gravité. Il appartient au législateur d'adopter les garanties de nature à assurer la conciliation entre les objectifs de sauvegarde de l'ordre public et les libertés constitutionnellement protégées en tenant compte de la généralité de l'application de ces logiciels.

En premier lieu, les dispositions des articles 230-20 et suivants n'ont pas pour objet et ne sauraient avoir pour effet de permettre la mise en œuvre d'un traitement général des données recueillies à l'occasion des diverses enquêtes de police judiciaire. L'article 230-23 prévoit que, sans préjudice des pouvoirs de contrôle attribués à la Commission nationale de l'informatique et des libertés, le traitement de données à caractère personnel au moyen des logiciels de rapprochement judiciaire est opéré sous le contrôle du procureur de la République ou de la juridiction d'instruction compétente. Ainsi, ces logiciels ne pourront conduire qu'à la mise en œuvre, autorisée par ces autorités judiciaires, de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de faits et pour les seuls besoins de ces investigations. Réserve.

En second lieu, eu égard à la possibilité ouverte par ces dispositions d'un enregistrement de données même liées à des faits de faible gravité, la conservation prolongée de ces données ne saurait être prolongée à l'initiative du enquêteur au-delà de trois ans après leur enregistrement. Censure.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821 - 4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821 - 4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs aux quels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851 - 2, la procédure d'urgence absolue prévue à l'article L. 821 - 5 de ce code n'est pas applicable. En application de l'article L. 871 - 6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851 - 2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831 - 1 à L. 832 - 5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833 - 1 à L. 833 - 11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841 - 1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.